2013년 계사년(癸巳年)이 밝았다. 글로벌 경기 악화로 시작된 2012년은, 치열한 대통령선거로 마무리되었기에 그 어느 해보다 다사다난(多事多難)했던 한 해로 기억되고 있다.
정보보안 분야에서는 APT 공격, 전자금융 사기, 모바일 악성프로그램, 핵티비즘 등이 이슈화되었고, 내년에도 이러한 경향은 유지될 것으로 보인다.
한편 정보보호법 분야에서도 예전에 비하여 개인정보에 관한 판례가 많이 축적되는 상황인데, 2012년에 나왔던 판결 중에서 중요한 판결 내용에 대하여 살펴보기로 한다.
1. 싸이월드 미니홈피 방문자 추적 프로그램 사건
(대법원 2012. 1. 12. 선고 2010도2212 판결)
[사건개요] 피고인들은 싸이월드 가입자 미니홈피의 방문자를 추적해 주는 사이트를 운영하면서 유료회원들의 미니홈피에 설치되어 해당 미니홈피 방문자의 정보를 유출할 수 있도록 하는 프로그램을 유포하였고, 이에 검사는 정보통신망법 위반을 이유로 기소함.
[판결내용] ○ 방문자 추적프로그램은 그 설치 후에도 싸이월드 미니홈피의 운용이나 이용이 정상적으로 이루어지고, 이 추적프로그램으로 인하여 싸이월드 서버의 접속을 지연시키는 등 정보통신시스템의 운용을 방해하지 않으므로 정보통신망법 제48조 제2항의 ‘악성프로그램’에는 해당하지 않지만, ○ 유료회원 미니홈피 방문자의 싸이월드 고유 아이디, 방문 일시, 접속 IP, 이름 등은 싸이월드에서 제공하지 않는 정보로서 그 일반회원들은 알 수 없는 것이고, 단순한 방문자의 확인 차원을 넘어선 개인적인 신상정보에 해당하는 것으로서 이용자의 비밀로 볼 수 있어 정보통신망법 제49조 비밀누설죄에 해당한다. (일부 유죄)
[판결해설] 정보통신망법 제48조 제2항의 ‘악성프로그램’과 제49조의 ‘비밀’에 대한 개념을 다시 한 번 정리함
2. 교인 명단 업로드 사건
(대법원 2012. 12. 13. 선고 2010도10576 판결)
[사건개요] 피고인은 자신이 운영하는 인터넷 카페에 개인정보가 담겨 있는 교인명단을 업로드 하여 다른 회원이 받아보게 하였는바, 검사는 정보통신망법 위반을 이유로 기소함.
[판결내용] 정보통신망법 제49조(비밀누설)에서, ‘정보통신망에 의하여 처리#8228;보관 또는 전송되는 타인의 비밀 누설’이란 타인의 비밀에 관한 일체의 누설행위를 의미하는 것이 아니라, 정보통신망에 의하여 처리#8228;보관 또는 전송되는 타인의 비밀을 정보통신망에 침입하는 등의 부정한 수단 또는 방법으로 취득한 사람이나, 그 비밀이 위와 같은 방법으로 취득된 것임을 알고 있는 사람이 그 비밀을 아직 알지 못하는 타인에게 이를 알려주는 행위만을 의미하는 것으로 제한하여 해석함이 타당한바, 부정한 수단 또는 방법으로 교인명단을 취득하였다는 사실을 입증하지 못하는 한 정보통신망법 제49조 위반에 해당할 수 없다.
[판결해설] 정보통신망법 제49조(비밀누설) 위반 행위가 되기 위해서는, 부정한 수단 또는 방법에 의한 비밀 취득이 수반되어야 함을 명시적으로 밝힌 판결임.
3. GS칼텍스 개인정보 유출 사건
(대법원 2012. 12. 26. 선고 2011다59834 판결)
[사건개요] GS칼텍스의 회원을 관리하는 GS넥스테이션 직원이던 정씨는 2008년 7월 회사 서버에 접속해 보너스카드 회원 1151만여명의 이름, 주민번호 등 회원정보를 사무용 컴퓨터에 내려받은 뒤 DVD에 복사해 집단소송을 의뢰받은 변호사 등 몇몇 지인에게 건넸는바, 이에 GS칼텍스 회원들이 개인정보를 허술하게 관리한 GS칼텍스 등을 상대로 손해배상을 청구함.
[판결내용] 개인정보가 담긴 CD 등이 집단소송을 위한 사전작업으로 언론관계자 등에게 유출됐지만 언론보도 직후 개인정보가 저장된 저장매체 등을 소지하고 있던 사건 관련자들로부터 모두 압수ㆍ임의제출되거나 폐기되었는바, 개인정보 유출로 인해 회원들에게 신원확인ㆍ명의도용이나 추가적인 개인정보 유출 등 후속 피해가 발생했다고 볼만한 상황이 발견되지 않는 점 등을 고려하면 위자료로 배상할 만한 정신적 손해가 발생했다고 볼 수 없다. (원고 패소)
[판결해설] 개인정보가 담긴 CD 등이 외부로 빠져나가기 이전에 전부 회수된 경우라면 정신적 피해가 발생했다고 볼 수 없다는 의미의 판결임
4. ‘회피연아’ 판결
(서울고등법원 2012. 10. 18. 선고 2011나19012 판결, 상고심 계속 중)
[사안개요] 차모씨는 인터넷 검색을 하다가 밴쿠버 동계올림픽 선수단 귀국 당시 김연아 선수가 유인촌 장관을 회피하는 듯한 장면을 편집한 사진이 게시되어 있는 것을 발견하고 이를 네이버 카페에 올렸으나, 유인촌 장관은 차모씨를 명예훼손 혐의로 고소하였고, 이에 서울종로경찰서장이 포털업체인 네이버로부터 ‘ID, 이름, 주민번호, 이메일, 휴대폰 번호, 가입일자’ 등 차모씨의 인적사항을 제공받자, 차모씨가 자신의 개인정보를 제공했다는 이유로 네이버에 위자료 청구를 함
[판결내용] 네이버의 개인정보 제공으로 인하여 차모씨의 개인정보자기결정권 및 익명표현의 자유가 침해된 것이고, 정보통신사업자가 수사기관이 요청한 이용자의 개인정보를 제공할 때 침해되는 법익 상호 간의 이익 형량을 통한 위법성의 정도, 사안의 중대성과 긴급성 등을 종합적으로 고려해 개인정보를 제공할 것인지 여부 및 어느 범위까지의 개인정보를 제공할 것인지에 관해 실체적으로 충분히 심사해야 할 의무가 있으며, 수사기관이 포털 등에 개인정보를 요구할 때에는 원칙적으로 법원으로부터 영장을 발부받아야 한다. (원고 승소)
[판결해설] 이 판결은 프라이버시 보호 및 개인정보보호 원칙을 천명하고, 표현의 자유를 소중히 했으며, 종래 수사관행에 제동을 걸면서 헌법상 보장된 영장주의 원칙을 다시 한 번 확인한 판결임
5. SK 컴즈 개인정보 유출 사건
(서울중앙지방법원 2012. 11. 23. 선고 2011가합90267 판결, 피고 SK 컴즈 외 피고 부분은 생략함, 항소심 계속 중)
[사건개요] 중국 거주 해커가 국내 보안업체의 업데이트 서버의 ISAPI 필터를 조작하여 무료 공개용 프로그램을 사용하는 SK 컴즈 직원의 업데이트 과정에서, 정상 업데이트 서버가 아닌 업데이트 서버에서 악성 프로그램(ALAd.dll)을 다운로드받게 한 다음, 키로깅 및 원격접속 프로그램을 통하여 SK 컴즈 DB 서버에 있는 3,500여만명의 개인정보를 빼내가자, SK 컴즈 이용자들이 SK 컴즈 등을 상대로 손해배상청구를 함
[판결내용] ○ SK 컴즈 직원의 무료 공개용 프로그램 이용과 이 사건 해킹 사고ㆍ손해발생 사이에 인과관계가 존재하지 않고, ○ 백신소프트웨어 운용, 불법 접근 탐지ㆍ방지를 위한 시스템 설치 및 운용, 망분리 조치, 공인인증서 등 추가적인 인증수단 적용 조치 등과 관련하여 SK 컴즈가 정보통신망법 등 관련 법령에서 요구하는 기술적ㆍ관리적 보호조치를 이행하지 않았다고 보기는 어려우며, ○ 피고 SK 컴즈가 사용한 MD5 방식이 구식이어서 상대적으로 해독 가능성이 크더라도 이러한 사정만으로 암호화 기술 사용 관련 기술적ㆍ관리적 보호조치를 위반한 것으로 보기 어렵다. (원고 패소)
[판결해설] 해킹사고에 대한 정보통신망서비스제공자의 기술적ㆍ관리적 보호조치에 대하여 판시하고 있으나, 동일한 사안에 대하여 2012년 4월에 있었던 구미시군법원의 판결, 2012년 5월에 있었던 부산지방법원의 판결과 반대되는 결론을 낸 것임
6. 주민센터 직원의 개인정보 유출 사건
(서울중앙지방법원 2012. 11. 7. 선고 2012고합243-1 판결)
[사건개요] 피고인은 주민센터에서 평소 알고 지내던 심부름센터 업주에게 타인의 세대별 주민등록자료를 열람, 발급해줄 것을 약속한 다음, 주민센터에 발령받으면서 부여받은 ID와 비밀번호로 전산정보시스템에 접속하여 열람한 개인정보(주민등록주소지 등)를 위 업주에게 알려주어 개인정보를 누설함
[판결내용] 폐지된 공공기관의 개인정보보호에 관한 법률 제11조에 따르면, 개인정보의 처리를 행하는 공공기관의 직원이나 직원이었던 자 또는 공공기관으로부터 개인정보의 처리업무를 위탁받아 그 업무에 종사하거나 종사하였던 자는 직무상 알게 된 개인정보를 누설 또는 권한 없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적으로 사용하여서는 아니 된다. (유죄 인정)
[판결해설] 지금은 개인정보보호법이 적용되는 사안인바, 위법한 개인정보 누설에 대하여 징역 6월, 집행유예 1년의 중형에 처해진 사안임
7. 채권추심 및 신용정보회사의 개인정보 침해 사건
(수원지방법원 2012. 6. 21. 선고 2011노5174 판결)
[사건개요] 채권추심 및 신용정보회사의 직원들이 국민건강보험공단 전산망에 접속하여 채무자들의 직장보험 가입여부 등을 조회하는 방식으로, 정보통신망을 통하여 처리, 보관되는 총 29,741건의 타인의 개인정보를 유출한 사안에서, 검사는 직원들의 관리감독자인 채권추심 및 신용정보회사에 대하여 양벌규정인 정보통신망법 제75조에 의하여 기소를 함. 이에 피고인인 채권추심 및 신용정보회사는 직원들이 피고인의 피용자가 아니고, 피고인은 직원들에 대하여 관리감독의무를 다하였으므로 면책된다고 주장함
[판결내용] ○ ‘법인의 사용인’에는 법인과 정식 고용계약이 체결되어 근무하는 자뿐만 아니라 그 법인의 업무를 직접 또는 간접으로 수행하면서 법인의 통제·감독 하에 있는 자도 포함되므로 직원들이 피용자가 아니라 할 수 없고, ○ 직원들이 USB를 통하여 개인정보를 외부로 가지고 나갈 수 있었고, 공단 사이트 접속 가능 ID와 비밀번호를 직원들이 서로 공유하였으며, 이메일로 개인정보가 저장된 파일을 유출할 수 있었고, 정보보호 교육이 형식적으로 이루어진 점 등에 비추어 피고인이 관리감독의무를 제대로 했다고 볼 수 없다. (유죄 인정)
[판결해설] 정보통신망법상의 양벌규정에서 법인 등의 종업원에 대한 관리감독의무를 어느 정도 해야 하는지에 대하여 일응 기준을 제시한 판결임
8. 새누리당 당원명부 유출 사건
(수원지방법원 2012. 8. 29. 선고 2012고합599 판결 등)
[사건개요] 새누리당 당직자인 L씨는 4ㆍ11 총선을 앞두고 문자발송업체 L대표에게 새누리당 당원명부(220만명)를 유출하였고, 한편 선거컨설팅을 하는 K씨는 L대표에게 전화하여 L씨로부터 소개받았다며 창원 등 경남 지역의 당원 명부를 요구한 다음, 이 당원 명부를 선거운동에 활용하였는바, 검사는 L씨 등에 대하여 개인정보보호법 위반죄 등으로 기소함
[판결내용] 피고인은 당원명부가 유출될 경우 정치적으로 악용될 수 있고 개인의 사생활이 침해된다는 것을 잘 알 수 있는 위치에 있었음에도 문자발송업체 대표로부터 금품을 받고 당원의 개인정보가 담긴 당원명부를 유출한 혐의가 인정된다. 피고인의 범행이 선거에 큰 영향을 끼치지 않았지만 사익을 위해 선거 공정성과 투명성, 정당의 정치적 자유는 물론 당원의 자기결정권과 사생활을 침해했으므로 실형 선고가 불가피하다. (유죄 인정)
[판결해설] 당직자 등은 개인정보 유출을 이유로 하여 개인정보보호법에 의하여 처벌된 사안이나, 새누리당은 개인정보보호법상의 면책 규정(제58조)에 의하여 형사책임을 면함
9. 인터넷 실명제 위헌 결정
(헌법재판소 2012. 8. 23. 선고 2010헌마47,252 전원재판부)
[사건개요] 청구인은 인터넷 사이트인 ‘유튜브(kr.youtube.com)’, ‘오마이뉴스(ohmynews.com)’, ‘와이티엔(ytn.co.kr)’의 게시판에 익명으로 댓글 등을 게시하려고 하였으나, 위 게시판의 운영자가 게시자 본인임을 확인하는 절차를 거쳐야만 게시판에 댓글 등을 게시할 수 있도록 조치를 취하자, 정보통신서비스제공자에게 본인확인 조치 의무를 부과하고 있는 정보통신망법 제44조의5 제1항 제2호에 대한 헌법소원 심판을 청구함.
[결정내용] 위 조항은 인터넷 이용자의 표현의 자유나 개인정보자기결정권을 제약하지 않는 다른 수단에 의해서도 충분히 달성할 수 있음에도, 인터넷의 특성을 고려하지 아니한 채 필요한 범위를 넘는 과도한 기본권 제한을 하고 있으며, 게시판 이용자의 표현의 자유를 사전에 제한하여 의사표현 자체를 위축시킴으로써 자유로운 여론의 형성을 방해하므로 과잉금지원칙에 위배하여 인터넷게시판 이용자의 표현의 자유, 개인정보자기결정권 및 인터넷게시판을 운영하는 정보통신서비스 제공자의 언론의 자유를 침해를 침해한다. (위헌 결정)
[결정해설] 인터넷 공간의 특수성을 고려하고 게시판 이용자의 표현의 자유를 중시하여, 본인확인제를 규정하고 있는 정보통신망 관련 규정을 위헌선언함으로써, 장래 익명에 의한 게시글 의사표현을 가능하게 한 결정임
10. 정보통신망법상 차단조치(임시조치) 위헌 사건
(헌법재판소 2012. 5. 31. 선고 2010헌마88 전원재판부)
[사건개요] 청구인은 변호사로서, 다음의 인터넷 카페에 회원으로 가입하여, 위 카페의 자유게시판에 “이○헌의 구도의 과정, ○○와 선불교”라는 글을 게시하였는데, 다음은 게시물에 명예를 훼손하는 내용이 포함되어 있으므로 이 사건 게시물을 삭제해 달라는 요청을 받고, 같은 날부터 30일간 이 사건 게시물에 대한 접근을 임시적으로 차단하는 조치를 한바, 청구인은 임시조치의 근거가 된 정보통신망법 제44조의2 제2항이 청구인의 표현의 자유를 침해한다고 주장하면서 헌법소원 심판을 청구함
[결정내용] 타인의 명예나 권리를 표현의 자유가 갖는 구체적 한계로까지 규정하여 보호하고 있는 헌법 제21조 제4항의 취지 등에 비추어 볼 때, 사생활 침해, 명예훼손 등 타인의 권리를 침해할 만한 정보가 무분별하게 유통됨으로써 타인의 인격적 법익 기타 권리에 대한 침해가 돌이킬 수 없는 상황에 이르게 될 가능성을 미연에 차단하려는 공익은 매우 절실한 반면, 정보통신망법 제44조의2 제2항으로 말미암아 침해되는 정보게재자의 사익은 그리 크지 않다. (합헌 결정)
[결정해설] 인터넷상의 명예훼손이 있게 되면 빠른 전파가능성으로 말미암아 사후적인 손해배상이나 형사처벌로는 회복하기 힘들 정도의 인격 파괴가 이루어질 수도 있다는 점, 반면 임시조치가 단기간(30일) 동안 이루어진다는 점을 고려한 판결임
이상 2012년에 있었던 정보보호법 분야 10개의 판례를 소개하였다. 개인정보와 관련된 사건이 8건이고, 나머지 2건이 인터넷 표현의 자유와 관련되어 있다. 개인정보에 관한 8건 사례 중 해킹 방법에 의하여 개인정보가 유출된 사례가 2건이고, 5건은 인적 관리 미비로 인하여 발생한 사건이다. 나머지 1건은 개인정보 제공에 관한 판례이다.
이 밖에 넥슨 해킹 사건에서, 검찰은 “해킹 경로를 알지 못하고 업체 과실을 따질만한 증거가 불충분하며, 얼마만큼의 보안장치를 구비해야 책임이 면제되는지 법령에 명확하지 않다”는 이유로 무혐의 처분을 하였다.
반면 방송통신위원회는, 879만명의 개인정보를 유출한 KT에 대하여 개인정보를 제3자에 제공할 때 제공항목을 모두 명확하게 알리지 않고 동의받은 점, 이용자 개인정보와 인증정보를 송수신할 때 대리점 PC와 가상사설망(VPN)이 연결되는 구간에서 일부이기는 하나 실사용자의 주민번호를 암호화하지 않은 점을 이유로 행정적 조치를 취하였다.
그리고 422만명의 개인정보를 유출한 EBS에 대하여도 탈퇴한 회원의 정보를 파기하지 않은 점, 홈페이지에 접속하는 회원에게 안전한 인증 수단을 적용하는 데 미흡한 점, 홈페이지 회원의 비밀번호를 암호화하지 않은 점을 이유로 역시 행정적 조치를 취하였다.
2013년에도 개인정보에 관한 판례가 주류를 이룰 것으로 보인다. 2012년의 판례를 반면교사(反面敎師)로 삼아, 개인정보처리자는 해킹에 대한 대비뿐만 아니라, 내부 직원에 대한 관리도 철저히 하여야 할 것이다.
* 법무법인 민후 김경환 대표변호사 작성, 블로그(2013. 1. 3.), 보안뉴스(2013. 1. 7.), 로앤비(2013. 1. 17.) 기고.
