[IT] 해킹 당해 '고객 개인정보 유출' 하나투어, 벌금 1,000만원 확정
[IT] 해킹 당해 '고객 개인정보 유출' 하나투어, 벌금 1,000만원 확정
  • 기사출고 2022.07.26 09:11
이 기사를 공유합니다

[대법] "외부 접속 프로그램 도입하며 안전한 인증 수단 미적용"

2017년 해커로부터 고객 개인정보를 대량 유출 당한 하나투어에게 벌금형이 확정됐다. 대법원 제3부(주심 이흥구 대법관)는 6월 30일 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소된 하나투어 정보보호 책임자 김 모씨와, 양벌규정에 따라 함께 기소된 하나투어에 대한 상고심(2020도11409)에서 피고인들의 상고를 기각, 각 벌금 1,000만원을 선고한 원심을 확정했다.

하나투어는 2017년 9월 28일 해커에 의해 고객의 이메일, 성별, 전화번호, 주소, 여권번호 등 개인정보 3만 4,000여건을 유출 당했다. 해커는 하나투어의 데이터베이스를 관리하는 외주관리업체의 업무용 PC에 원격제어 악성 프로그램을 유포해 이 업체 직원의 개인 노트북에 접속하고, 위 노트북 바탕화면에 기재된 ID, 비밀번호로 고객 개인정보가 보관된 DB에 침입했다. 김씨는 외부에서 회사 개인정보처리시스템에 접속하기 위한 프로그램을 도입하면서도 별도의 안전한 인증 수단을 적용하지 않는 등 개인정보의 안전성을 확보하기 위한 기술적 · 관리적 조치를 하지 않은 혐의로 기소됐다. 

1심 재판부가 김씨와 하나투어에 각 벌금 1,000만원을 선고, 피고인들이 항소했으나, 항소심 재판부는 "김씨가 안전한 인증 수단을 적용할 의무와 이 사건 개인정보 유출사고 사이에 인과관계가 존재한다고 봄이 상당하다"며 항소를 기각했다.

항소심 재판부는 "「개인정보의 기술적 · 관리적 보호조치 기준」(방송통신위원회고시) 제4조 제4항은 '정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증수단을 적용하여야 한다'고 규정하고 있고, 또한 이 고시 해설서는 안전한 인증 수단의 적용이란 개인정보처리시스템에 사용자계정과 비밀번호를 입력하여 정당한 개인정보취급자 여부를 식별 · 인증하는 절차 이외에 추가적인 인증 수단의 적용을 말한다고 기재하고 있으며, 인증 수단의 예로는 인증서, 보안토큰, 일회용 비밀번호가 있다"고 지적하고, "비록 김씨가 4차례에 걸쳐 서로 다른 ID와 패스워드 입력하는 방법으로 접근을 통제하였다고 하더라도, 이는 각 단계별로 정당한 개인정보취급자 여부를 식별 · 인증하는 절차에 불과하여, 위 고시 제4조 제4항에 따른 '안전한 인증 수단'을 적용하였다고 보기는 어렵다"고 밝혔다.

재판부는 "하나투어는 2017년 기준 연간 매출액이 약 4,400억원 정도이고, 종업원 수가 약 2,700명 정도 되는 큰 회사로, 고객의 여행예약내역, 이메일, 전화번호, 주소, 여권번호 등을 비롯한 중요한 개인정보를 관리하고 있으므로, 방통위고시나 그 해설서에 따른 최소한의 기준은 당연히 준수해야 한다"고 지적하고, "이 사건 범죄는 정보통신서비스 제공자의 관리소홀 등으로 개인정보가 유출된 것으로, 유출된 개인정보의 내용(여행예약내역, 이메일, 전화번호, 주소, 여권번호 등)이 다른 범죄에 사용될 가능성이 높고, 유출된 개인정보의 규모도 커 사회적 폐해가 상당한 점 등은 피고인들에게 불리한 정상"이라고 밝혔다. 또 용역계약을 체결한 외주업체 소속 직원이 ID와 비밀번호 등을 컴퓨터에 평문으로 저장한 행위가 개인정보 유출에 큰 원인으로 작용한 점, 하나투어가 개인정보 유출로 인한 2차 피해가 발생하지 않도록 노력한 점 등도 양형에서 고려했다고 덧붙였다.

대법원도 "원심은 피고인들에 대한 공소사실을 유죄로 판단한 제1심판결을 그대로 유지하였다"며 "원심의 판단에 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제28조 제1항 제2호가 정한 '침입차단시스템 등 접근 통제장치의 설치 · 운영', 같은 항 제4호가 정한 '암호화기술 등을 이용한 보안조치', 죄형법정주의에 관한 법리를 오해하는 등으로 판결에 영향을 미친 잘못이 없다"고 판시했다.

법무법인 율촌이 피고인들을 변호했다.

리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)