Kasan Insight :: 과학, 기술 그리고 법

- 제약/화학/바이오 분야의 실용적 법률정보와 해결방안

K사는 해킹으로 인하여 2013. 8. 8.부터 2014. 2. 5.까지 약 1천만명의 사용자들에 대한 개인정보를 유출하였습니다. 이에 대하여 방송통신위원회는 2014. 6. 26. 이 사건 해킹사고와 관련하여 KT가 구 정보통신망법 제28조 제1항 제2호, 그 시행령 제15조, 구 ｢개인정보의 기술적·관리적 보호조치 기준｣(2015. 5. 19. 방송통신위원회 고시 제2015-3호로 개정되기 전의 것) 제4조 제2항, 제5항, 제9항을 위반하였다고 보아, 구 정보통신망법 제64조의3 제1항 제6호에 따라 과징금 7,000만 원을 부과하는 처분을 하였습니다.

방송통신위원회는 다음과 같은 처분 사유를 지적하였습니다.

(1) 제1처분사유: 일단 로그인을 하면 타인의 고객서비스계약번호(9자리)를 입력하더라도 인증 단계 없이 타인의 정보(이름 등)까지 조회 가능(이 사건 고시 제4조 제5항, 제9항 위반)

(2) 제2처분사유: 특정 IP에서 일 최대 수십만 건의 개인정보를 조회하였음에도 비정상적인 접근을 탐지, 차단하지 못함(이 사건 고시 제4조 제5항 위반)

(3) 제3처분사유: 사내망에서 인가받은 자가 접근할 수 있는 웹페이지에, 해커가 인터넷망을 통하여 접속하였음에도 탐지·차단하지 못함(이 사건 고시 제4조 제5항 위반)

(4) 제4처분사유: 사용 중지된 퇴직자 ID로 8만 건의 개인정보를 조회하였음에도 비정상적 접근을 탐지, 차단하지 못함(이 사건 고시 제4조 제2항, 제9항 위반)

개인정보의 안전성 확보 여부에 대한 판단 법리에 대하여 대법원은 정보통신서비스제공자가 구 정보통신망법 제28조 제1항이나 정보통신 서비스이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, ① 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, ② 정보통신서비스 제공자의 업종·영업 규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, ③ 정보보안에 필요한 경제적 비용 및 효용의 정도, ④ 해킹 기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, ⑤ 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여, 정보통신서비스제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다고 보고 있습니다(대법원 2015. 2. 12. 선고 2013다43994 판결 등).

서울행정법원은 위 사건에서 정보통신망법 제64조의3에 의하면 방송통신위원회는 정보통신서비스 제공자 등의 위반행위에 대하여 과징금 부과 여부에 관하여 재량을 가집니다. 그런데 KT가 이 사건 고시 제4조 제2항을 위반하였으나 이 사건 고시 제4조 제5항, 제9항을 위반하였다고 볼수 없으므로, 법원은 KT가 이 사건 고시 제4조 제5항, 제9항도 위반하였음을 전제로 한 이 사건 처분은 재량권을 일탈·남용하여 위법하다고 판단하여 이 사건 처분을 취소하였습니다.

방송통신위원회는 위 판결에 대하여 항소를 하였고, 위 사건은 서울고등법원에서 2016누64533 사건으로 항소심이 진행 중에 있습니다. 위 사건에 대하여 항소심 판결이 나오면 다시 구체적으로 말씀을 드리겠습니다. 개인정보를 보관 사용하는 정보통신사업자에 해당하는 업체, 벤처, 중소기업 등은 위 사건에서 퇴직자들의 시스템에 대한 접근권한이 유지되지 않도록 유의하여야 할 것입니다.

KASAN_정보통신사업자의 개인정보 보호조치 의무와 과징금 처분 – 서울행정법원 2016. 8. 18. 선고 201

정회목 변호사

S사는 인터넷 포털 서비스업을 영위하는 업체로서 2011. 7.경에 발생한 해킹사고로 서비스에 가입한 사용자들 약 3500만명의 가입 당시 성명, 주민등록번호, 아이디(ID), 비밀번호, 이메일 주소, 주소, 전화번호 등 개인정보가 유출되는 사고를 당했습니다. 유출사고는 S사의 직원이 공개용 압축프로그램을 사용하던 중에 해커가 심어 놓은 악성 프로그램인 dll 파일을 함께 다운로드 받아 발생했습니다. 악성 프로그램은 키로깅 정보를 파일로 저장하게 하고 해커가 생성된 정보를 확인하고 서버에 관리자 아이디로 로긴하여 사용자들의 개인정보를 FTP를 이용하여 모두 다운로드 받은 것입니다.

이 사건에서 개인정보의 유출을 방지하기 위한 기술적 관리적 조치를 취하였는지가 쟁점이었습니다.

2015. 3. 20.에 있었던 서울고등법원(2013나20037)의 판결에서 이 사건 해킹사고 당시 정보통신망 관련 법령에서 정한 기술적 관리적 보호조치의 내용, 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 피고가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여, S사가 개인정보 유출 방지에 관한 기술적 관리적 보호조치를 이행하지 아니한 과실로 인하여 이 사건 해킹사고가 발생하였다고 보기 어렵다고 판단하여 S사가 승소하였습니다. 

이와 관련한 다른 사건에서 대법원은 “구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2012. 8. 17. 대통령령 제24047호로 개정되기 전의 것, 이하 ‘구 정보통신망법시행령’이라 한다) 제15조는 구 정보통신망법 제28조 제1항 각호에 규정된 각 기술적∙관리적 조치의 기준으로 제1항 내지 제5항에서 구체적인 보호조치를 정하고 있을 뿐만 아니라, 제6항에서 ‘방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.’ 라고 규정하고 있고, 이에 따라 방송통신위원회가 마련한 이 사건 고시는 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망법 제 28조 제1항, 구 정보통신망법시행령 제15조 제6항에 따라 준수해야 할 기술적∙관리적 보호조치의 구체적인 기준을 규정하고 있으므로, 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적 관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다“고 판단한 바가 있습니다(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결 등 참조).

위 항소심 사건에서 원고들은 상고하였으나 대법원은 2018. 1. 25. 상고를 기각하여 항소심의 결론대로 확정되었습니다. 다만, 이후 개정된 개인정보보호법, 정보통신망법 등에서 기술적, 관리적 조치의 범위와 내용이 보다 구체적으로 설정되어 있으므로 현재에는 개인정보 보호의 정도가 보다 개선되었습니다. 개인정보를 사용 및 보관해야 하는 사업자, 스타트업, 벤처, 중소기업 등은 변경된 기술적, 관리적 조치에 주의하여야 할 것입니다.

KASAN_개인정보보호 기술적 관리적 조치 – 대법원 2018. 1. 25. 선고 2015다24904 판결.pdf

정회목 변호사

[질문 또는 상담신청 입력하기]

-- 글리벡(Gleevec)의 GIST 치료용도특허 무효심판에서 선행기술문헌의 기술내용 해석: 특허법원 2016. 1. 21. 선고 2014허4913 판결 -- 

특허법원에서 선행문헌으로부터 파악되는 기술내용에 대해 특허심판원 심결과 다른 입장을 취한 흥미로운 판결입니다. 미국특허소송의 사례를 보면, 통상의 기술자가 가지고 있는 평균적 기술지식(PHOSITA)이 무엇인지, 선행기술문헌의 기술내용이 무엇인지를 치열하게 다투는 경우가 많습니다. 모두 사실문제로서 소송 당사자가 서증과 전문가 증인 등 구체적 증거로서 입증해야 할 사항입니다. 우리나라 대법원도 증거로 입증해야 할 사실문제라고 판결한 적이 있습니다.

이와 같이 특허법리는 동일하지만, 우리나라 특허소송실무에서 미국처럼 입증방법으로 전문가 증인을 활용하는 사례는 그리 많지 않았습니다. 다만, 최근 들어 위 특허법원 소송과 같이 전문가 증인을 활용하는 사례가 점차 증가하고 있습니다.

선진국의 특허소송에서 전문가 증인이 사건의 승패에 큰 영향을 미치는 경우를 자주 볼 수 있습니다. 그만큼 전문가 증인을 통한 입증방법이 중요한 의미를 갖습니다. 특허법원에서도 전문가 증인 등 다양한 증거방법을 활용하여 충분한 입증을 할 것을 권장하고 있습니다.

1.    선행문헌의 기재내용

선행문헌(논문)에는 당시 해당 화합물 STI571(이매티닙 메실레이트염)에 대해 세계적인 연구센터와 협력하에 다나-파버(Dana-Farber) 암 연구소에서 GIST에 대한 선택적 티로신 키나아제 억제제인 STI571(이매티닙 메실레이트염)의 임상시험이 막 시작되었고, 그 매우 초기 결과는 흥미로워 보인다(원문: very early results look exciting)라고 기재되어 있습니다. 구체적인 시험 결과 데이터는 기재되어 있지 않습니다.

2.    특허심판원 심결

"의약품 개발에서 임상시험은 신약의 유효성과 안전성을 확립하기 위한 것으로 세포 및 동물을 대상으로 한 전임상시험 단계를 거친 의약품들을 대상으로 진행되는데 전임상 단계에서는 약물의 안정성 등을 검토하는 제제학적 시험, 독성시험 및 약력학/약동학적 약리시험 및 일반 약리시험을 수행하게 되고, 이를 통과한 약물들은 인체를 대상으로 한 임상시험에 진입하게 된다. 임상시험에 진입하기 위해서는 그 허가기관에 임상시험 계획 승인 신청을 하고 이를 승인받은 후에야 진행할 수 있는데, 그 승인 신청을 위해서는 효력 시험 자료, 일반 약리시험자료, 안전성 약리시험 자료, 흡수부터 배설에 이르기까지의 대사 관련 자료 등 약리작용에 관한 자료를 모두 제출하여야 한다(「의약품 임상시험 계획 승인에 관한 규정」(식품의약품안전처 고시 제2013-221호, 2013.9.17) 개정고시 전문 참조) 이러한 승인 절차는 다른 국가에서도 임상시험 전 공통적으로 요구되는 것이다).

따라서, 이러한 사정을 참작하면, 비록 비교대상발명 1에 이매티닙의 GIST 치료효과를 확인할만한 구체적인 내용이 기재되어 있지 않더라도, 이매티닙이 GIST 치료제로서 임상시험에 돌입했다는 사실만으로도 비교대상발명 1에서 임상시험에 진입하기에 충분한 정도로 전임상 단계 시험(시험관내 실험 내지 동물실험)에서 이메티닙의 약물동태 자료가 확보되었음을 개시하고 있는 것으로 볼 수 있으며, 이메티닙이 이 사건 우선일 당시 CML(만성 골수성 백혈병)에 대해 이미 임상이 끝난 것이므로, 비교대상발명 1의 임상시험은 곧바로 임상 2상을 의미하고, 이에 더하여 비교대상발명 1은 GIST 치료에 있어서 구성적으로 활성이 있는 c-KIT 수용체 티로신 키나아제를 합리적인 타겟으로 제시하고 있고, 이매티닙이 위 타겟에 대한 선택적 티로신 키나아제 억제제라는 사실에 기초하여 세계적으로 저명한 암 연구소에서 실제로 GIST에 대한 임상시험이 진행중임을 개시하고 있으며, 아주 초기 단계라고 하더라도 임상시험에서 흥미로운 결과를 보였다는 것은 일단 치료에 긍정적인 효과를 보인 것으로 해석하는 것이 합리적으로 보인다.

결론적으로, 비교대상발명 1에는 이매티닙의 GIST 치료기전 및 그 용도와 효과를 실질적으로 개시하고 있다고 볼 수 있겠다."

3.    특허법원 판결

"GIST 환자를 대상으로 STI571(이매티닙 메실레이트염)의 유효성 확인을 위한 임상시험이 바로 그 때 시작되었음을 알 수 있고, 환자를 직접 대상으로 하여 위 임상시험이 임상 매우 초기 결과가 흥미로워서 후속 결과가 기대되는 상황임을 알 수 있다.

그러나, 이러한 기재가 STI571이 GIST 환자에게 시험적으로 적용되고 있다는 사실을 넘어, STI571이 GIST 환자에게 유효하게 작용하고 있다는 사실을 나타내는 것이라고 단정하기 어려우므로, 선행발명 1에 STI571의 '위장관의 기질 종양(GIST) 치료용'의 의약용도가 구체적으로 개시된 것이라고 볼 수 없다."

특히 "임상시험은 통상적으로 일정기간 여러 환자들을 대상으로 진행되는데 초반부에 약이 잘 듣는 환자들이 몰려오기도 하지만, 전체적으로 안듣는 것으로 결론이 날수도 있고, 초반부에는 별로 효과가 없는 것으로 보였는데 중반기 이후부터 약이 듣는 환자들이 시험에 참여하는 경우도 있어서 초기 결과만으로 특정 약물의 효과를 판단하기 어려운 점(전문가 증인 진술) 등을 고려하면, 선행발명 1의 "매우 초기 결과는 흥미로워 보인다(원문: very early results look exciting)"는 등의 기재가 STI571의 '위장관의 기질 종양 치료용'의 의약용도를 구체적으로 개시한 것으로 보기 어렵다."

4.    실무적 함의

여기서 언급하지 않은 많은 쟁점과 판단 내용이 있고, 또한 아직 대법원 판단이 남아 있으므로 현 단계에서의 언급은 섣부르고 어설픈 얘기에 불과할 것입니다. 다만, 교과서 수준의 추상적이고 일반적인 얘기를 하자면 다음과 같습니다.

특허발명의 진보성 판단순서는, (1) 당시 평균적 기술자가 보유하고 있는 기술상식이 무엇인지를 먼저 확정한 후, (2) 그 평균적 기술자의 기술수준에서 선행문헌으로부터 파악되는 기술내용이 무엇인지를 판단하여, (3) 그것과 특허청구발명을 비교하는 방식입니다. 여기서 핵심사항은, 위 (1)과 (2)의 2가지 모두 사실문제로서 당사자가 구체적 증거로서 입증해야 한다는 점입니다. 즉 엄격한 증명의 문제입니다. 따라서, 심판원이나 법원 등 판단자가 구체적 증거로 입증된 사실에다 본인의 지식을 더해 판단하면 안됩니다. 용이하게 발명할 수 있는지 여부와 같은 가치판단과 다릅니다. 따라서, 민사소송법의 사실인정에 관한 법리에 따라 증거에 따라 엄격하게 판단해야 합니다.

특허심판원 심결과 특허법원 판결의 차이는, 특허법리를 엄격하게 적용한다는 전제와 특허법원 단계에서 보강된 증거내용에 따른 입증차이에 기인한 것으로 생각됩니다. 이제 사실입증은 종결되었으므로, 대법원은 확정된 사실에 기초한 법리적 판단만을 할 수 있습니다. 대법원의 진보성 판단의 결론도 중요하지만, 그 판단의 근거가 되는 특허법리를 어떤 내용으로 설시할지 궁금합니다.