정보통신망을 활용한 바이럴 마케팅이 상당한 효과를 거두기 시작하면서 이와 관련된 새로운 형태의 형사사건이 등장하고 있습니다. 이와 관련하여 이번에 소개하여 드릴 판결은 바이럴 마케팅에 사용되는 자동 등록 프로그램, 메시징 프로그램 등을 개발하여 판매한 자에 대한 것입니다. 비록 2심이지만 무죄가 나온 판결이어서 그 요지를 간략하게 소개합니다.

 

- 공소사실의 요지

피고인 B

자신이 개발한 자동 댓글 작성 프로그램, 쪽지 발송 프로그램, 지식인 자동 답변 프로그램, 자동 포스팅 등록 프로그램 등을 판매금액, 사용설명서와 함께 게시한 후 이를 보고 구입 의사를 밝힌 자들에게 4,840개의 프로그램을 판매하고 그 판매 대금으로 약 14천만원을 송금 받음

이러한 프로그램은 포털사이트의 정보통신시스템에 비정상적으로 접근하여 짧은 시간에 대량의 패킷을 전송하게 되고, 정보통신시스템 측에서는 이러한 요청에 응답을 하기 위한 서버 리소스를 소요하게 되는 바, 이러한 행위는 DDOS 공격과 같은 효과를 발생하고, 프록시 설정을 통한 접근 기능이 있어 IP를 통한 차단이 불가능하므로 포털사이트 등의 정보통신시스템, 데이터 등의 운용을 방해하게 됨

이로써 피고인 B정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손, 멸실, 변경, 위조하거나 그 운용을 방해할 수 있는 악성프로그램을 전달, 유포

피고인 A, 피고인 B의 공동범행: 피고인 B의 범행과 프로그램의 종류, 일시, 판매량 및 판매대금을 제외하고 동일

 

- 1심 판결 요지

① 피고인들이 유포한 프로그램들은 통상의 사용자들이 이용하는 방식이 아닌 단시간 내에 대량으로 정보통신시스템을 이용할 수 있도록 만들어주는 프로그램으로 통상의 이용보다 필요 이상의 부하를 일으킨다는 점, ② 위 프로그램들을 원격제어로 구동할 수 없다고 하더라도 피고인들로부터 위 프로그램을 구입한 사람들이 동시다발적으로 이를 사용할 경우 네트워크에 상당한 부하를 일으켜 정상적 이용에 위협이 될 수 있는 점, ③ 쪽지발송 프로그램을 포함한 위 프로그램들은 광고성 메시지의 다량 발생으로 필터링으로 인한 부하를 야기할 뿐 아니라 이용자들에게도 피해를 주는 점 등을 근거로 유죄 선고

 

- 2심 항소심 판결 요지

악성프로그램의 판단 기준

이 사건 프로그램들은 네이버 등이 운용하는 서버 등 정보통신시스템이 예정하고 있는 기능을 벗어난 요청을 하지 않고, 사람이 통상적으로 수행하는 요청을 대체하여 그보다 빠른 속도로 자동적으로 댓글 작성, 쪽지 발송 등의 행위를 반복 수행할 뿐이며, 그 과정에서 해당 정보통신시스템에 통상적인 경우보다 큰 부하를 유발하기는 하나, 정보통신망법 제48조 제3항에서대량의 신호 또는 데이터를 보내는 등의 방법으로 정보통신망에 장애를 발생하게 하는 행위를 별도로 규율하고 있는 점 등에 비추어 보면, 단지 통상적인 경우보다 큰 부하를 유발한다는 이유만으로 해당 정보통신시스템의 운용을 방해할 수 있는 프로그램에 해당한다고 보기는 어렵다.

다만, 그로 인하여 정보통신망법 제48조 제2항에서 정하는 다른 행위유형, 당해 정보통신시스템의 훼손·멸실·변경·위조에 준할 정도로 정보통신시스템이 물리적으로 기능을 수행하지 못하거나 그 기능 수행을 저해할 위험을 야기하는 경우에는운용방해’에 해당한다고 볼 수 있다.

이 사건의 경우

어떤 프로그램이 악성프로그램에 해당하는지 여부는 원칙적으로 개별 프로그램 자체의 작동 방식과 원리, 기능에 따라 판단하여야 할 것인 바, 이 사건 프로그램들을 사용하는 경우 사람이 통상적으로 같은 작업을 수행하는 경우에 비하여 5배 내지는 500배에 이르는 부하를 발생시키기는 하나, 네이버 등 포털사이트의 1일 접속자수(네이버의 경우 1,000만 명 이상임) 등에 비추어 보면 이 사건 프로그램 하나가 야기하는 그와 같은 부하증가만으로는 해당 포털사이트의 서버 등에 유의미한 영향을 미치지는 못할 것으로 보인다. 게다가 이 사건 프로그램 구매자들은 이를 상당 정도 동시다발적으로 사용하였으리라 보이는데, 그로 인하여 네이버 등의 서버가 다운되는 등의 심각한 장애가 발생한 것으로 보이지도 않는다(E, F의 원심 법정진술 등).

엄청나게 많은 사람들이 이 사건 프로그램들을 매수하여 동시에 사용하는 경우에 포털사이트의 서버 운용에 상당한 장애가 발생할 가능성을 배제할 수는 없지만, 얼마나 많은 사람들이 동시에 사용해야 장애가 발생할 것인지 알 수 없고, 극단적 가정 아래에서 장애 발생 가능성을 배제할 수 없다는 사정만으로 이 사건 프로그램들이악성프로그램에 해당한다고 보게 된다면 이는 형벌 규정의 구성요건을 지나치게 확대해석하는 것으로서 죄형법정주의의 원칙에 반한다.

 

항소심의 경우 정보통신망법 제48조 제2항을 같은 조 제3항과 함께 유기적으로 해석하였습니다. 3항에서 대량의 데이터 전송 등의 행위태양을 규율하는 점을 고려할 때 단지 대량의 패킷을 발생시켜 서버의 부하를 줄 수 있다는 것만으로는 제2항에서 정하고 있는 '운용 방해'에 해당된다고 보기 어렵고 정보통신시스템의 훼손, 멸실, 변경, 위조에 준할 정도로 그 물리적 기능이 수행되지 못함에 이르러야 한다는 취지로 보여집니다.

 

나아가 항소심은 현재 이 사건에서 문제가 된 프로그램과 같은 소위 매크로 프로그램에 대한 처벌규정 도입 논의가 존재한다는 것 역시 제48조 제2항으로 매크로 프로그램까지 처벌될 수 없음을 뒷받침하는 것으로 본 듯 합니다.

 

그러나 해당 조문이 분명하게 정보통신시스템의 훼손, 멸실, 변경, 위조와는 별도로 '운용을 방해할 수 있는'이라는 태양을 포섭하도록 규정되어 있음에도 이를 정보통신시스템의 훼손, 멸실, 변경, 위조에 준할 정도에 이르러야 한다고 해석할 수 있는 것인지는 의문이 있고, 가사 그렇다 하더라도 대량의 패킷 전송을 통하여 응답시간이 지연되는 등의 결과가 발생하는 경우 이를 정보통신시스템의 기능 수행을 저해할 위험을 야기하는 것으로 볼 여지는 없는지에 대한 의문이 남습니다.

 

한편 최근 부산지방법원 2017. 10. 31. 선고 2017고단2372 판결에서는 "정보통신망법 제48조 제2항의운용을 방해할 수 있는 프로그램은 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하지 않으면서 정보통신망의 안정성과 정보의 신뢰가 파괴될 수 있도록 정보통신망과 관련된 정보통신시스템, 데이터 또는 프로그램 등의 기능이 제대로 작동되지 못하도록 하는 프로그램을 의미"한다고 판시하고 있음 또한 참고할 수 있을 것입니다.

첨부: 의정부지방법원 2017. 9. 11. 선고 2017309 판결

유제형 변호사

 

KASAN_[매크로프로그램분쟁] 매크로 프로그램 제작 및 판매행위 정보통신망법 위반혐의 1심 유죄, 2심 무

의정부지방법원 2017. 9. 11. 선고 2017노309 판결.pdf

 

[질문 또는 상담신청 입력하기]

 

 

 

작성일시 : 2018.05.08 13:39
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

정보통신서비스 제공자는 법령에 따라 개인정보의 분실, 도난 등을 방지해야 법령상의 의무가 있는데, 사건 당시 기술적, 관리적 보호조치를 규정한 법령은 정보통신망법 28, 시행령 15, 방통위 고시인 개인정보의 기술적, 관리적 보호조치 기준입니다.

 

대법원에서 쟁점이 것은 방통위 고시 4 4, 5 등이 정하고 있는 기술적, 관리적 보호조치를 다하였는지 여부였습니다.

 

(1) 고시 4 4항은 정보통신서비스 제공자 등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에서 공인인증서 안전한 인증수단을 적용하여야 한다고 규정하고 있습니다. 사건에서 개인정보취급자는 A빌딩에서 다른 장소인 IDC 있는 DB서버에 VPN 이용하여 연결하여 업무를 처리하였습니다. 해킹사고는 해커가 A빌딩에 있던 직원의 컴퓨터에 침입하여 VPN 통해 IDC DB서버에 접속하면서 발생한 것입니다. 이에 대하여 법원은 VPN 이용하여 접속한 것은 외부에서 IDC 접속한 것이 아니므로 고시 4 4 적용되지 않는다고 판시하였습니다.

 

(2) 고시 4 5항은 정보통신서비스 제공자가 불법적인 접근 침해사고 방지를 위해 개인정보처리시스템에 대한 접속권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한하고 접속 IP주소를 재분석하여 불법적인 개인정보 유출시도를 탐지하는 기능을 포함한 시스템을 설치 운영하여야 한다고 규정하고 있습니다. 이에 대하여 주요 정보의 유출을 차단, 예방하는 하드웨어/소프트웨어인 DLP 솔루션을 설치 운영해야 한다고 보기 어렵고, 대량 유출 정보를 실시간으로 모니터링하는 보호조치까지 포함된다고 보기도 어렵다고 판단하였습니다.

 

(3) 고시 4 5 1호에 관해서는, 정보통신서비스 제공자는 게이트웨이 서버와 DB 서버에 접속할 있는 IP주소를 권한이 있는 직원들이 사용하는 컴퓨터의 IP 주소로 한정하였습니다. 사건에서는 키로깅을 통하여 DB 서버의 관리자의 아이디와 비밀번호를 취득하여 게이트웨어 서버와 DB 서버에 접속하였던 것이므로, 고시 규정의 기술적, 관리적 보호조치를 위반하였다고 수는 없다고 보았습니다.

 

(4) 사건에서 개인정보처리자가 퇴근시 로그아웃 하지 않았고, 자동 로그아웃 기능도 설정되지 않았습니다. 법원은 이에 대하여 법령이나 계약상 의무에 위와 같은 사항이 있다고 수는 없다고 보았습니다. 더구나 로그아웃 유무에 따라 키로깅을 통한 해킹을 방지할 없다고 인정하였습니다.

 

(5) 정보통신서비스 사업자의 개인정보보호 업무지침 26 4항에 개인정보 접근 PC에서 FTP 서비스를 제공하는 행위를 금하고 있는 , 사건에서 개인정보 데이터가 FTP 통하여 유출되었습니다. 그러나 법원은 업무지침은 개인정보 접근 PC FTP 서버로 설정하는 행위를 금지하고 있을 뿐이라고 해석하여, 개인정보 접근 PC FTP 클라이언트로 사용하여 전송한 것은 업무지침에 위반한 것으로 보지 않았습니다.

 

대법원은 위와 같은 사유로 개인정보유출 피해자들의 상고이유를 기각하였습니다.

 

정회목 변호사

 

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018.01.31 14:32
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

정보통신서비스 제공자는 법령에 따라 개인정보의 분실, 도난 등을 방지해야 법령상의 의무가 있는데, 사건 당시 기술적, 관리적 보호조치를 규정한 법령은 아래와 같습니다.

 

정보통신망법 (시행 2011.7.6. 법률 10560, 2011.4.5. 일부개정)

28 (개인정보의 보호조치) 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 컴퓨터바이러스에 의한 침해 방지조치

6. 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

시행령 15 (개인정보의 보호조치) 정보통신서비스 제공자가 취하여야 개인정보의 안전성 확보에 필요한 기술적, 관리적 조치를 보다 구체적으로 규정.

개인정보의 기술적, 관리적 보호조치 기준 (방송통신위원회 고시 2011-1)

 

또한 정보통신서비스를 이용하려는 이용자와 이용계약을 체결하면서 개인정보를 필수적으로 제공하도록 요청하여 수집하였다면, 정보통신서비스 제공자는 수집한 개인정보 등이 분실, 도난, 누출, 변조, 훼손되지 않도록 안전성 확보에 필요한 보호조치를 취하여야 이용계약상의 의무도 부담합니다.

 

그런데 대법원은 개인정보 유출 피해자들의 상고심에서 정보통신서비스 제공자가 위와 같은 법령상, 계약상 의무를 위반하지 않았다고 판단하였습니다.

 

주요 근거는 정보통신서비스의 개방성, 네트워크 시스템과 운영체제 등의 내재적 취약성 등으로 해커 등의 침입에 완벽한 보안을 갖추는 것은 불가능하다고 보아, 정보통신서비스 제공자가 갖추어야 개인정보의 안전성 확보에 필요한 보호조치에 대하여 위와 같은 특수한 사정을 고려해야 한다는 것이었습니다. 결국 여러 사정을 종합적으로 고려하여 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단해야 한다고 판시한 것입니다.

 

구체적으로는 방통위 고시에서 정하고 있는 기술적, 관리적 보호조치를 다하였다면 정보통신서비스 제공자가 필요한 보호조치를 취하여야 법률상 또는 계약상 의무를 위반하였다고 보기 어렵다고 판단하였습니다. 다만, 정보통신서비스 제공자가 마땅히 준수해야 한다고 예상할 있고 사회통념상 합리적으로 기대 가능한 보호조치를 다하지 아니하였거나, 불법행위에 도움을 주지 말아야할 주의의무를 위반하여 타인의 불법행위를 용이하게 하고 피해자의 손해발생과 인과관계가 성립하는 경우에는 예외적으로 위법행위에 대한 책임을 물을 있다고 판단하였습니다.

 

다만, 대법원은 방통위 고시에 특정 보호조치를 의무가 규정되어 있지 않다는 이유만으로 정보통신서비스 제공자가 위와 같은 보호조치 의무를 부담하지 않는 것처럼 판시한 부분에 대하여 적절하지 않다고 판시하였습니다. 그러나 사건은 해커가 이미 원격데스크탑 연결과 키로깅을 통하여 아이디와 비밀번호를 획득하였기 때문에 고시상 또는 적절한 보호조치를 하였더라도 DB서버에 로그인하는 것을 막을 없다고 보았습니다.

 

사건에서 아쉬운 점은 정보통신서비스 제공자의 직원이 업무상 부주의로 키로깅 해킹 프로그램이 업무용 PC 설치되었고 이로 인하여 게이트웨어 서버, DB 서버에 접속하여 개인정보를 유출하였던 것인데, 회사의 책임이 없다고 보이지 않는 사안에서 최소한의 책임이라도 묻지 못한 점이라고 보입니다.

 

첨부: 대법원 2018. 1. 25. 선고 2015249054 판결

대법원 2015다24904 판결.pdf

KASAN_[개인정보유출분쟁] SK 커뮤니케이션즈 개인정보 유출 사건 대법원 2018. 1. 25. 선고 2015다

 

정회목 변호사

 

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018.01.31 13:41
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

K사는 해킹으로 인하여 2013. 8. 8.부터 2014. 2. 5.까지 1천만명의 사용자들에 대한 개인정보를 유출하였습니다. 이에 대하여 방송통신위원회는 2014. 6. 26. 사건 해킹사고와 관련하여 KT 정보통신망법 28 1 2, 시행령 15, 개인정보의 기술적·관리적 보호조치 기준(2015. 5. 19. 방송통신위원회 고시 2015-3호로 개정되기 전의 ) 4 2, 5, 9항을 위반하였다고 보아, 정보통신망법 64조의3 1 6호에 따라 과징금 7,000 원을 부과하는 처분을 하였습니다.

 

정보통신망법 28(개인정보의 보호조치) 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 컴퓨터바이러스에 의한 침해 방지조치

6. 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

 

시행령 15(개인정보의 보호조치) 28조제1항제1호에 따라 정보통신서비스 제공자등은 개인정보의 안전한 취급을 위하여 다음 호의 내용을 포함하는 내부관리계획을 수립ㆍ시행하여야 한다.

1. 개인정보 관리책임자의 지정 개인정보보호 조직의 구성ㆍ운영에 관한 사항

2. 개인정보취급자의 교육에 관한 사항

3. 2항부터 5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항

28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 호의 조치를 하여야 한다. 다만, 3호의 조치는 전년도 기준 직전 3개월간 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다.

1. 개인정보를 처리할 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템"이라 한다) 대한 접근권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행

2. 개인정보처리시스템에 대한 침입차단시스템 침입탐지시스템의 설치ㆍ운영

3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단

4. 비밀번호의 생성 방법 변경 주기 등의 기준 설정과 운영

5. 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치

28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조ㆍ변조 방지를 위하여 다음 호의 조치를 하여야 한다.

 

개인정보의 기술적·관리적 보호조치 기준 4(접근통제) 정보통신서비스 제공자등은 전보 또는 퇴직 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.

정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 침해사고 방지를 위해 다음 호의 기능을 포함한 시스템을 설치·운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 개인정보취급자의 컴퓨터에 조치를 취하여야 한다.

 

 

방송통신위원회는 다음과 같은 처분 사유를 지적하였습니다.

(1) 1처분사유: 일단 로그인을 하면 타인의 고객서비스계약번호(9자리) 입력하더라도 인증 단계 없이 타인의 정보(이름 )까지 조회 가능( 사건 고시 4 5, 9 위반)

(2) 2처분사유: 특정 IP에서 최대 수십만 건의 개인정보를 조회하였음에도 비정상적인 접근을 탐지, 차단하지 못함( 사건 고시 4 5 위반)

(3) 3처분사유: 사내망에서 인가받은 자가 접근할 있는 웹페이지에, 해커가 인터넷망을 통하여 접속하였음에도 탐지·차단하지 못함( 사건 고시 4 5 위반)

(4) 4처분사유: 사용 중지된 퇴직자 ID 8 건의 개인정보를 조회하였음에도 비정상적 접근을 탐지, 차단하지 못함( 사건 고시 4 2, 9 위반)

 

개인정보의 안전성 확보 여부에 대한 판단 법리에 대하여 대법원은 정보통신서비스제공자가 정보통신망법 28 1항이나 정보통신 서비스이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, 해킹 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업 규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 효용의 정도, 해킹 기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여, 정보통신서비스제공자가 해킹 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다고 보고 있습니다(대법원 2015. 2. 12. 선고 201343994 판결 ).

 

서울행정법원은 사건에서 정보통신망법 64조의3 의하면 방송통신위원회는 정보통신서비스 제공자 등의 위반행위에 대하여 과징금 부과 여부에 관하여 재량을 가집니다. 그런데 KT 사건 고시 4 2항을 위반하였으나 사건 고시 4 5, 9항을 위반하였다고 볼수 없으므로, 법원은 KT 사건 고시 4 5, 9항도 위반하였음을 전제로 사건 처분은 재량권을 일탈·남용하여 위법하다고 판단하여 사건 처분을 취소하였습니다.

 

방송통신위원회는 판결에 대하여 항소를 하였고, 사건은 서울고등법원에서 201664533 사건으로 항소심이 진행 중에 있습니다. 사건에 대하여 항소심 판결이 나오면 다시 구체적으로 말씀을 드리겠습니다. 개인정보를 보관 사용하는 정보통신사업자에 해당하는 업체, 벤처, 중소기업 등은 사건에서 퇴직자들의 시스템에 대한 접근권한이 유지되지 않도록 유의하여야 것입니다.

 

KASAN_정보통신사업자의 개인정보 보호조치 의무와 과징금 처분 – 서울행정법원 2016. 8. 18. 선고 201

 

정회목 변호사

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018.01.25 15:53
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

S사는 인터넷 포털 서비스업을 영위하는 업체로서 2011. 7.경에 발생한 해킹사고로 서비스에 가입한 사용자들 3500만명의 가입 당시 성명, 주민등록번호, 아이디(ID), 비밀번호, 이메일 주소, 주소, 전화번호 개인정보가 유출되는 사고를 당했습니다. 유출사고는 S사의 직원이 공개용 압축프로그램을 사용하던 중에 해커가 심어 놓은 악성 프로그램인 dll 파일을 함께 다운로드 받아 발생했습니다. 악성 프로그램은 키로깅 정보를 파일로 저장하게 하고 해커가 생성된 정보를 확인하고 서버에 관리자 아이디로 로긴하여 사용자들의 개인정보를 FTP 이용하여 모두 다운로드 받은 것입니다.

 

사건에서 개인정보의 유출을 방지하기 위한 기술적 관리적 조치를 취하였는지가 쟁점이었습니다.

 

 

정보통신망법(시행 2011.7.6. 법률 10560, 2011.4.5. 일부개정)

28(개인정보의 보호조치) 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 컴퓨터바이러스에 의한 침해 방지조치

6. 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

 

 

2015. 3. 20. 있었던 서울고등법원(201320037) 판결에서 사건 해킹사고 당시 정보통신망 관련 법령에서 정한 기술적 관리적 보호조치의 내용, 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 피고가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여, S사가 개인정보 유출 방지에 관한 기술적 관리적 보호조치를 이행하지 아니한 과실로 인하여 사건 해킹사고가 발생하였다고 보기 어렵다고 판단하여 S사가 승소하였습니다. 

 

이와 관련한 다른 사건에서 대법원은 정보통신망 이용촉진 정보보호 등에 관한 법률 시행령(2012. 8. 17. 대통령령 24047호로 개정되기 전의 , 이하 정보통신망법시행령이라 한다) 15조는 정보통신망법 28 1 각호에 규정된 기술적관리적 조치의 기준으로 1 내지 5항에서 구체적인 보호조치를 정하고 있을 뿐만 아니라, 6항에서방송통신위원회는 1항부터 5항까지의 규정에 따른 사항과 28 1 6호에 따른 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.’ 라고 규정하고 있고, 이에 따라 방송통신위원회가 마련한 사건 고시는 해킹 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스 제공자가 정보통신망법 28 1, 정보통신망법시행령 15 6항에 따라 준수해야 기술적관리적 보호조치의 구체적인 기준을 규정하고 있으므로, 정보통신서비스 제공자가 사건 고시에서 정하고 있는 기술적 관리적 보호조치를 다하였다면, 특별한 사정이 없는 , 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다 판단한 바가 있습니다(대법원 2015. 2. 12. 선고 201343994, 44003 판결 참조).

 

항소심 사건에서 원고들은 상고하였으나 대법원은 2018. 1. 25. 상고를 기각하여 항소심의 결론대로 확정되었습니다. 다만, 이후 개정된 개인정보보호법, 정보통신망법 등에서 기술적, 관리적 조치의 범위와 내용이 보다 구체적으로 설정되어 있으므로 현재에는 개인정보 보호의 정도가 보다 개선되었습니다. 개인정보를 사용 보관해야 하는 사업자, 스타트업, 벤처, 중소기업 등은 변경된 기술적, 관리적 조치에 주의하여야 것입니다.

 

KASAN_개인정보보호 기술적 관리적 조치 – 대법원 2018. 1. 25. 선고 2015다24904 판결.pdf

 

정회목 변호사

[질문 또는 상담신청 입력하기]

 

 

 

작성일시 : 2018.01.25 14:42
Trackback 0 : Comment 0

댓글을 달아 주세요