글쓴이 : 구태언
  • 변호사
  • 테크앤로법률사무소
연락처 : 02-2010-8840
이메일 : taeeon.koo@teknlaw.com
홈페이지 :
주소 : 서울 종로구 종로 1 교보빌딩 15층
소개 :

이 포스트는 1명이 in+했습니다.

개인정보유출 손해배상책임 인정 판례 분석(1) – 2012년 K사 사건

1

개인정보유출 손해배상책임 인정 판례 분석(1) – 2012년 K사 사건

서울중앙지방법원은 2014. 8. 22. K사에게 개인정보가 유출된 원고들에게 각 10만원 및 지연손해금을 지급하라고 판결하였습니다(서울중앙지방법원 2014. 8. 22. 선고 2012가합81628 판결, 현재 항소심 진행 중).

동 판결 분석을 통해 기업들이 특히 주의해야 하는 사항을 살펴봅니다.

————————–

1. 사실관계 요지

     ○ 컴퓨터 프로그래머인 최OO은 황OO의 제안을 받아들여 이 사건 해킹프로그램을 제작함
○ 최OO는 2012. 2. 20.경 황OO을 통해 피고의 VPN을 이용할 수 있는 피고의 대리점PC에 설치된 원격제어프로그램의 ID와 비밀번호를 받은 후 위 대리점 PC에 원격으로 프로그램을 설치한 다음 이를 실행하여 2012. 7. 13.경까지 고객정보 8,730,435건(중복 제거시 8,129,090건)을 최OO의 서버에 전송하여 오라클 DB에 저장하는 등 여러 차례에 걸쳐 이 사건 정보유출 및 제공이 발생함

 

2. 원고들의 주장 및 법원의 판단 요지

(1) VPN, 비밀번호 관련 쟁점(배척)

- 원고 주장 : ① 이 사건 고시 제4조 제4항 및 제7항의 비밀번호 작성규칙을 위반하였다.

- 1심 판단 :

① VPN에 접속을 하는 과정에도 위 고시가 적용된다. 그러나 피고의 인증절차를 전체적으로 보면 VPN의 접속 단계에서 ID와 비밀번호만을 요구하는 것이 위 고시 규정을 위반한 것으로 보기는 어렵다. 따라서 원고들의 이 부분 주장은 이유 없다.

② 피고는 개인정보처리시스템에 보다 근접한 접속 창구에 비밀번호 작성규칙을 수립하여 이를 운영․관리하고 있는 사실이 인정되므로, 원고들의 이 부분 주장은 이유 없다.

 

(2) 접근통제시스템 관련 쟁점(일부 인용, 일부 배척)

- 원고 주장 : 피고의 접근통제시스템이 불완전하여 이 사건 고시 제4조 제5항을 위반하고, 퇴직자의 ID로 서버에 접속하여 개인정보를 조회하였는바, 이 사건 고시 제4조 제2항, 제5항, 피고의 내부정보보호업무처리지침을 위반하였다.

- 1심 판단 :

③ XX 시스템은 그 전체로서 넓은 의미의 개인정보처리시스템에 해당한다. ESB 서버 이후에 접속권한의 인증을 거치지 아니하는 구조가 이 사건 고시 제4조 제5항에서 정하는 기술적․관리적 보호조치의무에 반한다고 보기는 어렵다. 또한 피고의 접근통제장치가 이 사건 고시 제4조 제5항에서 요구하는 기술적․관리적 보호조치에 반한다고 보기 어렵다. 따라서 원고들의 이 부분 주장은 이유 없다.

 피고는 퇴직한 자가 XX 시스템에 접근할 수 있는 권한을 변경 또는 말소하지 아니하여 이 사건 고시 제4조 제2항을 위반하였다.

(3) 암호화 관련 쟁점(인용)

- 원고 주장 : 이 사건 고시 제6조 및 내부정보보호업무처리지침을 위반하였다.

- 1심 판단 : 피고는 전송구간 암호화를 하지 않거나 암호화키를 소홀히 관리하는 등 이 사건 고시에서 요구하는 암호화에 관한 기술적․관리적 보호조치를 다하지 못하였다고 봄이 상당하다. 따라서 원고들의 이 부분 주장은 이유 있다.

(4) 모니터링시스템 관련 쟁점(인용)

- 원고 주장 : 피고는 비정상적인 접근을 탐지․차단하지 못하였는바, 이 사건 고시 제5조 제1항을 위반하였다.

- 1심 판단 : 피고는 주의의무를 다하지 못하고 이 사건 정보유출자들로 하여금 개인정보를 조회하도록 방치하였다고 할 수 있으므로 원고의 이 부분 주장은 이유 있다.

(5) 내부관리계획의 시행 관련 쟁점(배척)

- 원고 주장 : 피고는 개인정보를 안전하게 취급하기 위하여 내부관리계획을 수립․시행하여야 함에도 이러한 의무를 다하지 아니하여 정보통신망법 제28조 제1항 제1호를 위반하였다.

- 1심 판단 : 내부관리계획을 수립하여 이를 시행하였으므로, 내부관리계획수립에 관하여 위 고시규정에서 정하는 의무를 위반하였다고 보기 어렵다. 따라서 원고들의 이 부분 주장은 이유 없다.

 

3. 검토 및 시사점

- 본 사건의 재판부 역시 ‘기술적,관리적 보호조치 기준’ 고시를 중심으로 의무 위반 여부를 검토하였는바, 기업들은 동 기준 고시 준수 여부를 점검할 필요가 있습니다.

- 원고들이 일부 승소할 수 있었던 이유이자 판결에서 인정된 위법 요소의 특징은, 복잡한 기술적인 측면이 아니라 계정관리나 암호화 여부 등 고시에서 요구하는 기초적인 것들이 지켜지지 않았다는 것입니다. 기업들은 법령과 고시에서 요구하고 있는 기초적인 것들을 잘 지키고 있는지를 되돌아 볼 필요가 있습니다.

- 위 판결 중 ‘비밀번호’나 ‘내부관리계획’에 관한 부분에서 볼 수 있듯이 법령, 고시에서 요구하는 최소한의 사항을 이행하고 있다면 법적 책임을 피할 수 있는바, 기업의 정책, 지침, 절차 등을 점검할 필요가 있습니다.


Comment

You must be logged in to post a comment.

loading..