[IT] '개인정보 2540만건 유출' 인터파크에 44억 과징금 적법
[IT] '개인정보 2540만건 유출' 인터파크에 44억 과징금 적법
  • 기사출고 2020.03.22 19:52
이 기사를 공유합니다
[대법] "최대 접속시간 제한 등 보호조치 안 해"

대법원은 제1부(주심 김선수 대법관)는 3월 12일 2016년 5월 발생한 2540만건의 개인정보 유출로 시정명령과 44억 8000만원의 과징금납부명령 등을 받은 인터파크가 방송통신위원회를 상대로 낸 시정명령처분 등 취소소송의 상고심(2019두60851)에서 인터파크의 상고를 기각, 원고 패소 판결한 원심을 확정했다. 법무법인 태평양이 인터파크를, 방통위는 법무법인 민후가 대리했다.

2016년 5월 5∼6일 인터파크에서 총 25,403,576건(중복제거시 20,510,131명)의 개인정보가 유출되는 해킹 사고가 발생했다. 유출된 개인정보는 아이디, 일방향 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목. 이에 방통위가 '인터파크가 개인정보처리시스템에 최대접속시간 제한조치 등 접근통제를 소홀하게 하고, 인터파크가 이용자의 개인정보를 저장한 서버인 HQDB 서버, 웹 서버 등을 포함한 시스템 비밀번호 관리를 소홀히 했다'며 시정명령과 시정명령을 받은 사실의 공표, 교육 및 대책 수립 후 보고, 과징금 44억 8000만원, 과태료 2500만원 등을 명하는 처분을 내리자 인터파크가 소송을 냈다.

1심과 항소심 재판부는 모두 처분사유가 인정되고 과징금이 과하지 않다며 원고의 청구를 기각했다.

1심과 항소심 재판부는 "이 사건의 경우 개인정보취급자가 HQDB 서버에 존재하는 개인정보에 접근하기 위해서는 망분리 프로그램인 미라지웍스 vDesk에 로그인을 하고, 서버접근제어 프로그램인 STG Client에 재차 로그인을 하여야 하는데, 이를 통하여 HQDB 서버에 접속한 이후에는 별다른 로그인 절차를 거치지 않아, 최대 접속시간 조치는 HQDB 서버에 접속된 상태에서 최대 접속시간이 경과한 경우 HQDB 서버에서 로그아웃되어 최소한 서버접근제어 프로그램에 재차 로그인을 하여야 하는 절차가 이루어져야 하는데, (DB 유출에 이용된) PC에서 2016. 5. 2. 08:06 서버접근제어 프로그램에 접근한 이후 2016. 5. 9. 08:04까지 약 7일 동안 서버접근제어 프로그램에 접속이 유지된 상태로 있었는 바, 언제라도 HQDB 서버에 추가적인 인증을 하지 않고도 접근할 수 있는 상태였다"고 지적하고, "원고는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 28조 1항 2호, 정보통신망법 시행령 15조 2항 5호, 개인정보의 기술적 · 관리적 보호조치(보호조치) 기준 4조 10항에서 정한 최대 접속시간 제한 등의 조치를 취하지 않은 것으로 봄이 상당하다"고 밝혔다.

이어 "최초로 감염된 PC에는 내부 서버 및 업무용 PC 등에 접속할 수 있는 공용관리계정의 비밀번호가 평문으로 저장되어 있었고, NAS 공유서버의 패스워드관리대장 엑셀 파일에는 암호가 설정되어 있기는 하였으나 엑셀 파일의 비밀번호가 평문으로 기록된 파일이 저장되어 있었으므로 실질적으로 패스워드관리대장 파일의 암호화가 이루어졌다고 보기는 어렵고, 또한 패스워드관리대장에 개인정보취급자 등이 시스템에 접속할 때 필요한 DB서버, 웹서버의 비밀번호가 기록되어 있는 바, 이는 비밀번호의 일방향 암호화 저장의 보안조치가 취하여지지 아니한 경우에 해당한다"며 "원고는 정보통신망법 28조 1항 4호, 정보통신망법 시행령 15조 4항 1호, 보호조치 기준 6조 1항에 따른 개인정보취급자의 비밀번호 복호화 등의 조치를 취하지 않은 것으로 봄이 상당하다"고 밝혔다.

인터파크는 "처분사유와 개인정보 유출 사이에는 인과관계가 존재하지 않으므로, 과징금 부과처분은 위법하다"고 주장했다.

항소심 재판부는 그러나 "2014. 5. 28. 정보통신망법 개정 이후에는 이용자 개인정보의 분실 · 도난 · 유출 · 위조 · 변조 또는 훼손과 정보통신망법 28조 1항 2호부터 5호까지의 조치를 하지 아니한 행위 사이의 인과관계는 요구되지 않는다"고 지적하고, "설령 이 사건 처분사유와 개인정보 유출 사이에 인과관계가 요구된다고 하더라도, 원고가 최대접속시간 제한조치 등을 하지 않아 해커는 망분리 프로그램 vDesk와 서버접근제어 프로그램 STG-Client의 접속이 종료되지 않은 PC를 통하여 비밀번호 입력 없이도 HQDB 서버에 접속할 수 있었으므로, 처분사유와 개인정보 유출 사이에 인과관계가 인정된다"고 밝혔다.

대법원도 "상고인의 상고이유에 관한 주장은 상고심절차에 관한 특례법 4조에 해당하여 이유 없음이 명백하다"며 심리불속행 기각했다.

리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)

저작권자 © 리걸타임즈 무단전재 및 재배포 금지
김덕성
리걸타임즈다른기사 보기