[손배] '810만건 개인정보 유출 해킹사고'에 KT 배상책임 없어
[손배] '810만건 개인정보 유출 해킹사고'에 KT 배상책임 없어
  • 기사출고 2019.01.12 14:42
이 기사를 공유합니다
[대법] "기술적 · 관리적 보호조치 다해"

2012년 발생한 KT의 대규모 개인정보 유출 사고와 관련, KT는 손해배상책임이 없다는 대법원 판결이 나왔다. 방송통신위원회 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하지 않았다고 보기 어려워 책임을 물을 수 없다는 취지다.

대법원 제1부(주심 권순일 대법관)는 12월 28일 강 모씨 등 342명이 "KT 서버가 해킹당해 개인정보가 유출되었으니 1인당 50만원의 손해를 배상하라"며 KT를 상대로 낸 소송의 상고심(2017다207994)에서 원고들의 상고를 기각, 원고 패소 판결한 원심을 확정했다.

컴퓨터 프로그래머인 최 모씨는 2012년 2월 휴대전화 기기 변경 등에 관한 텔레마케팅(TM)사업을 동업하고 있는 황 모씨를 통해 KT의 대리점 PC에 설치된 원격제어프로그램의 ID와 비밀번호를 받은 후 대리점 PC에 원격으로 해킹프로그램을 설치한 다음 이를 실행하여 같은해 7월까지 KT의 ESB(전사적 서비스 버스) 서버에 보관되어 있던 개인정보 870여만건(중복제거시 810여만건)을 자신의 서버로 유출(1차 정보유출)했다. 이에 정보유출 피해를 본 강씨 등이 소송을 내 1심에선 1인당 위자료 10만원씩의 승소 판결을 받았으나, 항소심 재판부가 1심을 깨고, 청구를 기각하자 상고했다.

대법원은 먼저 "정보통신서비스 제공자가 정보통신망법 28조 1항과 정보통신서비스 이용계약에 근거하여 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단할 때에는 해킹 등 침해사고 당시 일반적으로 알려져 있는 정보보안 기술 수준, 정보통신서비스 제공자의 업종과 영업 규모, 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안조치에 필요한 경제적 비용과 효용의 정도, 해킹기술 수준과 정보보안기술 발전 정도에 따른 피해 발생 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보 누출로 인하여 이용자가 입게 되는 피해 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 하여야 한다"고 전제하고, "방송통신위원회가 마련한 '개인정보의 기술적 · 관리적 보호조치 기준'(방송통신위원회 고시)은 해킹 등 침해사고 당시의 기술 수준 등을 고려하여 정보통신서비스 제공자가 정보통신망법 28조 1항 등에 따라 하여야 할 기술적 · 관리적 보호조치의 구체적 기준을 정하고 있으므로, 정보통신서비스 제공자가 이 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기는 어렵다"고 밝혔다.

이어 "고시 4조 5항에 의하면, 정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한하는 기능을 포함한 시스템을 설치 · 운영하여야 하는데, 피고의 N-STEP 시스템이 N-STEP 포털과 AUT 서버(피고의 고객정보를 보관하는 데이터베이스 서버와는 별도로 설치한 인증 서버)에만 접속권한 인증절차를 두고, 그 이후 단계의 서버에는 별도의 인증절차를 두지 않았다는 것만으로는 고시 규정을 위반한 것으로 보기 어렵고, 피고가 N-STEP 포털 서버와 AUT 서버 단계에 갖추어 놓은 접근 통제장치가 불완전하여 고시 규정이 요구하는 기술적 · 관리적 보호조치를 다하지 않은 것으로 보기 어렵다"고 밝혔다.

대법원은 "고시 5조 1항에 의하면, 정보통신서비스 제공자 등은 개인정보취급자가 개인정보시스템에 접속한 기록을 월 1회 이상 정기적으로 확인 · 감독하여야 하는데, N-STEP 시스템은 AUT 서버라는 별도의 인증 서버를 두어 인증을 받은 사용자만 해당 시스템을 사용할 수 있도록 설계되어 있고, 피고로서는 제3자가 AUT 서버를 우회하여 N-STEP 시스템에 접속할 가능성을 예견하기 어려웠을 것으로 보이므로, 피고가 AUT 서버 단계에서 접속기록을 보관 · 확인 · 감독한 이상 이 규정을 위반했다고 보기 어렵다"고 지적하고, "피고가 고시에서 정한 기술적 · 관리적 보호조치를 취하지 않았다거나 정보통신서비스 제공자에게 요구되는 개인정보의 안전성 확보에 필요한 기술적 · 관리적 조치를 취하지 않아 정보유출사고가 발생했다고 보기 어렵다고 판단한 원심에 잘못이 없다"고 판시했다.

대법원은 또 "고시 6조 3항에 의하면, 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 등을 송 · 수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화하여야 하고, 피고는 N-STEP 시스템을 통해 대리점 컴퓨터에 고객정보를 전송함에 있어 두 가지 방식(IPSec 방식과 3-DES 방식)으로 이를 암호화하여 전송하였다"며 "다만 대리점의 VPN(가상사설망) 장비를 거친 후 대리점 컴퓨터에 이르는 구간에서 여러 고객정보 중 ‘실사용자의 주민등록번호’가 암호화 되지 않은 상태로 노출된 것으로 보이지만, 피고의 고객정보를 유출한 최용회가 이를 확인한 곳은 대리점 PC의 내부 영역이므로 위 규정에 따라 암호화가 요구되는 영역이 아니어 위 고시 규정을 위반하였다고 보기 어렵다"고 덧붙였다.

한편 최씨와 황씨는 2012년 10월 정보통신망법 위반 등의 혐의로 각각 징역 1년 6월을 선고받아 그대로 확정됐다.

법무법인 태평양이 항소심과 상고심에서 KT를 대리했다. 원고들은 1심부터 법무법인 인본이 대리했다.

리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)

저작권자 © 리걸타임즈 무단전재 및 재배포 금지
김덕성
리걸타임즈다른기사 보기