2013∼2014년 KT 마이올레 홈페이지에서 고객정보 1,170여만건이 유출되어 7,000만원의 과징금 부과처분을 받았던 KT가 이를 취소해달라는 소송을 내 최종 승소했다. 퇴직자의 접근권한을 완전히 말소하지 않은 잘못은 있으나 합리적으로 기대 가능한 정도의 기술적 보호조치를 다하지 않았다고 단정하기 어렵다는 이유다.

대법원 제3부(주심 안철상 대법관)는 8월 19일 KT가 "과징금 부과처분을 취소하라"며 개인정보보호위원회(경정 전 방송통신위원회)를 상대로 낸 소송의 상고심(2018두56404)에서 피고의 상고를 기각, 원고 승소 판결한 원심을 확정했다. 김앤장이 1심부터 KT를 대리했다. 

2013년 8월 8일부터 2014년 2월 25일까지 해커가 KT의 마이올레 홈페이지(my.olleh.com)에서 타인의 요금명세서를 조회하는 방식으로 1,170만 8,875건(이용자 수 기준 9,818,074명)의 고객 개인정보를 유출하고, 또 다른 해커가 올레클럽 홈페이지의 DB 서버에 약 2,753회 접속하여 8만 3,246건의 고객 개인정보가 유출되는 사고가 발생했다. 해커는 사용 중지된 퇴직자 ID로 고객들의 개인정보를 조회한 것으로 조사됐다. 마이올레 홈페이지는 일반 가입자가 요금명세서를 조회할 수 있는 홈페이지이고, 올레클럽 홈페이지는 KT 상담사 또는 일반 가입자가 포인트 조회 등을 할 수 있는 홈페이지이다.

이에 방통위가 보호조치를 다하지 않아 ｢개인정보의 기술적 · 관리적 보호조치 기준｣(방통위 고시) 4조 2항, 5항, 9항을 위반했다고 보아 KT에 과징금 7,000만원을 부과하자 KT가 소송을 냈다.

위 고시 4조 2항은 "정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다"고 규정하고 있으며, 9항은 "정보통신서비스 제공자등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취하여야 한다"고 규정하고 있다.

1심과 항소심 재판부는 "퇴직자의 사용자 계정(ID)을 말소한 것은 맞지만, 이는 사실상 '계정 사용 중지'에 불과하고, 그것만으로는 고시 제4조 제2항에서 정한 퇴직자의 개인정보처리시스템에 대한 (일체의) '접근권한 말소'에 해당한다고 보기 어렵다"고 밝혔다. 또 "해커가 불상의 방법으로 취득한 URL 주소에는 '퇴직자 ID 변환값'이 포함되어 있고 해커는 그 URL 주소를 통하여 '고객의 별포인트 조회'를 할 수 있었다"며 "따라서 원고가 퇴직자의 접근권한을 완전히 말소하지 않음으로 인하여 해커가 개인정보처리시스템에 접근하여 개인정보를 누출하였다고 볼 수 밖에 없다"고 판단했다.

1 · 2심 재판부는 그러나 "원고가 ｢개인정보의 기술적 · 관리적 보호조치 기준｣(방통위 고시) 제4조 제2항을 위반하였다"고 판단하면서도, ①고시 제4조 제9항은 기본적으로 정보통신서비스 제공자 측의 내부적 요인으로 개인정보가 유출되지 않도록 조치를 취하라는 것으로, 파라미터 변조와 같은 해킹을 통한 개인정보 누출 방지를 직접적으로 규율하지는 않고, ②고시 제4조 제9항의 개인정보처리시스템은 기본적으로 소위 내부 영역에 있는 데이터베이스관리시스템을 의미하여, 웹 서버나 웹 페이지는 이에 포함되지 않으며, ③원고가 수차례에 걸쳐 웹 취약점을 점검하고 이를 최소화하는 조치를 취하였다는 등의 이유를 들어 이 사건 해킹사고 중 마이올레 홈페이지 부분과 관련하여 원고가 고시 제4조 제9항에 따른 보호조치의무를 위반한 것으로 볼 수 없다고 판단, 과징금 처분을 취소하자 방통위가 상고했다.

대법원도 "원고가 마이올레 홈페이지를 통한 개인정보 유출과 관련하여 고시 제4조 제9항에 따른 조치, 즉 자신이 취급 중인 개인정보가 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 다하지 않았다고 단정하기는 어렵다"며 "원고가 해킹사고 중 마이올레 홈페이지 부분과 관련하여 고시 제4조 제9항에 따른 보호조치의무를 위반하지 않았다고 본 원심 판단은 그 결론에 있어 정당한 것으로 수긍할 수 있다"고 밝혔다.

대법원은 "마이올레 홈페이지와 같이 상당한 규모의 소스코드가 작성되는 소프트웨어의 경우, 입력되는 파라미터가 다양하고 그 입력 값에 대응하여 소프트웨어가 작동할 수 있는 경우의 수 역시 매우 방대하기 때문에, 소스코드를 작성하는 개발 단계에서 파라미터 변조라는 예외적인 상황을 모두 예상하여 이를 소스코드에 반영하도록 기대하기란 쉽지 않고, 설령  마이올레 홈페이지 해킹사고 당시 파라미터 변조와 관련된 웹 취약점이 널리 알려졌다고 하더라도, 이를 사전에 완벽하게 방지하는 것이 용이하였다고 평가할 수는 없다"고 지적하고, "특히 이용자가 홈페이지에 정상적으로 로그인을 한 상태라면 이에 기반을 두어 추가적인 정보를 제공받을 권한까지 보장받는다고 보는 것이 일반적이기 때문에, 프로그래머 입장에서는 이러한 전제 아래에서 프로그램을 설계하는 것이 통상적일 것이므로 위 프로그램에 적용된 보안기술이 마이올레 홈페이지 해킹사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준에 미치지 못한다고 보기도 어렵다"고 밝혔다.

대법원은 또 "원고는 위와 같은 해킹 사실이 알려진 이후 위와 같은 웹 취약점을 인지하고 파라미터로 전달된 서비스계약번호가 로그인한 이용자 본인의 것이 아닌 경우 요금명세서 정보가 제공되지 않도록 소스코드를 수정함으로써 취약점을 제거한 것으로는 보이는데, 사후 시정조치가 비교적 손쉽게 이루어졌다는 사정에만 주목하여 고시 제4조 제9항 위반 여부를 판단한다면 이는 결과책임을 묻는 것으로 귀결될 우려가 크다"고 지적하고, "결국 파라미터 변조에 대한 웹 취약점과 관련한 고시 제4조 제9항 조치의무의 위반 여부는, 정보통신서비스 제공자 등이 인터넷 홈페이지 등을 운영 · 관리하면서 오랜 시간에 걸쳐 지속적으로 설계에 반영된 보안기술의 적정성을 검증하고 이를 적절하게 해결할 수 있는 개선 조치를 실시하였는지 여부 등을 고려하여 판단하여야 한다"고 밝혔다. 

대법원은 "정보통신망법령의 문언, 입법 목적 및 규정 체계 등을 고려하면, 고시 제4조 제9항에서 정보통신서비스 제공자 등의 의무로 규정하고 있는 조치는 '정보통신서비스 제공자 등이 취급 중인 개인정보가 인터넷 홈페이지 등에 대한 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 취하여야 할 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치'라고 해석할 수 있다"고 전제하고, "정보통신서비스 제공자 등이 고시 제4조 제9항에서 정한 보호조치를 다하였는지 여부는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종 · 영업규모, 정보통신서비스 제공자 등이 인터넷 홈페이지 등의 설계에 반영하여 개발에 적용한 보안대책 · 보안기술의 내용과 실제 개발된 인터넷 홈페이지 등을 운영 · 관리하면서 실시한 보안기술의 적정성 검증 및 그에 따른 개선 조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹에 의한 개인정보 유출의 경우 이에 실제 사용된 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성, 정보통신서비스 제공자 등이 수집한 개인정보의 내용과 개인정보의 유출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 판단하여야 한다"고 밝혔다.

대법원은 따라서 "처분사유 중 제4처분사유를 제외하고 제1 내지 3처분사유가 인정되지 않는다면 원고의 위반행위의 내용, 위반행위로 인한 개인정보의 피해규모, 구 정보통신망법 제28조 제1항에 따른 기술적 · 관리적 보호조치의 이행 정도 등에 차이가 나타나므로 피고가 원고의 위반행위를 '중대한 위반행위'로 평가하여 과징금을 산정한 것은 재량권을 일탈 · 남용한 것으로 볼 수 있다고 판단한 원심에 잘못이 없다"고 판시했다.

리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)