top of page
법률정보 상세
    • 2020년 12월 23일

개인정보 관련 10대 집단소송 사례 (2)


지난 번에 이어 우리나라 개인정보보호 역사에 크나큰 공헌을 한 역대 10대 개인정보 관련 집단소송 사례들을 정리함으로써 개인정보보호의 역사가 어떻게 흘러왔는지를 살펴보고자 한다.

5. [2006. 9.~2007. 7.] SK브로드밴드(옛 하나로텔레콤) 사건

하나로텔레콤은 2006년 4월경 텔레마케팅 사업자인 예드림씨앤엠과의 사이에 예드림씨앤엠이 하나로텔레콤의 가입자유치 등 업무를 위탁받기로 하는 내용의 영업업무위탁계약을 체결했다.

한편, 하나로텔레콤은 2006년 9월경 SC제일은행과 사이에 하나로텔레콤의 멤버십카드와 SC제일은행의 신용카드 기능을 동시에 갖춘 제휴카드를 발행하기로 하고, 다음과 같이 제휴카드(하나포스SC 멤버스카드, 이하 ‘멤버스카드’) 발행에 관한 업무제휴계약을 체결했다.

1)하나로텔레콤의 고객 중 카드 발급을 희망하는 개인을 대상으로 하고, 2)회원 모집은 양 측의 공동 책임 하에 모집하며, 3)제휴카드는 하나로텔레콤의 멤버십 기능과 SC제일은행의 신용카드 기능을 동시에 부여함.

그리하여 하나로텔레콤은 예드림씨앤엠에게 위 멤버스카드 발급 및 운영을 포함한 고객관리 업무 전반을 위탁했는데, 법률자문결과 위 업무제휴를 실행하기 위해서는 ‘개인정보를 예드림씨앤엠에 제공한다는 동의’, ‘제공한 개인정보를 신용카드 회원모집에 활용한다는데 대한 동의’ 및 ‘멤버쉽카드 회원모집을 위한 영리목적의 광고성 정보를 전화를 통해 제공한다는데 대한 동의’가 필요하다는 점을 알게 됐다. 이에 하나로텔레콤은 2006년 9월 21일 소비자 이용약관의 ‘개인정보보호방침’의 ‘개인정보 수집 및 활용목적’에 다음 표와 같이 추가된 내용을 하나로텔레콤의 인터넷 홈페이지에 고지했으나 고객들로부터 별도의 동의는 받지 않았다.


이후 하나로텔레콤은 2006년 9월 30일경부터 2007년 7월 20일경까지 예드림씨앤엠에게 하나로텔레콤의 초고속인터넷서비스인 하나포스 가입자 515,206명의 개인정보인 성명, 서비스명, 전화번호, 주민등록번호 중 앞부분 생년월일과 뒷자리 중 첫 번째 숫자, 주소, 사용요금조회 등의 정보를 제공했다. 그 방법은 별도의 저장장치를 통해 개인정보를 주고받은 것이 아니라, 하나로텔레콤이 설치하여 관리하고 있는 중앙정보시스템(개인정보처리시스템)에 접속할 수 있는 시스템을 예드림씨앤엠에 설치한 후 아이디 및 비밀번호 등으로 인증을 거쳐 권한을 부여받은 사람만 접속하여 열람할 수 있도록 하는 방식이었다.

예드림씨앤엠은 하나로텔레콤으로부터 위와 같이 정보를 제공받아 2006년 9월 30일경부터 2007년 7월 20일경까지 하나포스 가입자들에게 전화를 통하여 멤버스카드의 발급을 권유했다.

이에 검사는 정보통신서비스 제공자인 하나로텔레콤 주식회사와 그 임원을, 이용자들의 개인정보를 수집하면서 ‘미리’ 고지하거나 약관에서 명시한 ‘개인정보의 이용목적’의 범위를 넘어 개인정보를 이용했다고 해 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘구 정보통신망법’) 위반으로 기소하고, 나아가 이용자들의 동의를 받지 아니하고 개인정보를 제3자인 예드림씨앤엠 주식회사에 제공했다고 하여 역시 구 정보통신망법 위반으로 기소하기에 이르렀으며(형사), 개인정보가 제공된 이용자들은 손해배상청구를 하기에 이르렀다(민사).

가. 형사판결

형사사건에서의 주요 쟁점은, 구 정보통신망법 제24조 제1항에서 정한 ‘제22조 제2항의 규정에 의한 고지의 범위 또는 약관에 명시한 범위’의 의미, 즉 사후에 약관이 변경된 경우 변경된 약관을 기준으로 법 제24조 제1항 위반 여부를 판단해야 하는지 여부, 그리고 개인정보의 ‘제3자 제공’과 ‘타인 위탁’의 구별기준이었다.

이에 대하여 법원은, 첫째, 구 정보통신망법 제24조 제1항에 의하면, 정보통신서비스제공자는 당해 이용자의 동의가 없더라도 법 제22조 제2항의 규정에 의한 고지의 범위 또는 정보통신서비스이용약관에 명시한 범위 내에서 개인정보를 이용할 수 있다고 보아야 하며, 동법 제22조는 ‘개인정보의 수집’에 관한 규정이고, 제24조는 ‘개인정보의 이용 및 제공’에 관한 규정으로서, 제22조 제2항 제2호에 의하면 정보통신서비스제공자는 개인정보 수집을 위한 동의를 얻고자 하는 경우 ‘미리’ ‘개인정보의 수집목적 및 이용목적'을 이용자에게 고지하거나 정보통신서비스이용약관에 명시하여야 한다고 규정하고 있다.

그러므로 제24조 제1항에서 말하는 '제22조 제2항의 규정에 의한 고지의 범위 또는 약관에 명시한 범위’란 개인정보를 수집하면서 ‘미리’ 고지하거나 약관에 명시한 ‘개인정보의 이용목적’의 범위를 말하고, 사후에 정보통신서비스이용약관이 변경된 경우 변경된 약관을 기준으로 제24조 제1항 위반 여부를 판단하여야 한다고 볼 수는 없다고 판시하여, 사후에 변경된 약관을 기준으로 하여야 한다는 피고인들의 주장을 배척했다.

또한, 법원은 둘째로, ①제24조에서 말하는 개인정보의 ‘제3자 제공’은 ‘제공받는 자의 목적’을 위하여 개인정보가 제공되는 경우로, 제25조에서 말하는 개인정보의 ‘타인 위탁’은 ‘제공하는 자의 사무처리’를 위한 경우로 구별되어야 하고, 따라서 제24조에 정한 ‘제3자’에는 개인정보 취급을 위탁받은 수탁자는 포함되지 아니한다고 해석하여야 하는 점, ②예드림씨앤엠은 실질적으로 하나로텔레콤의 상품 안내 및 가입자 유치를 목적으로 설립된 회사로서 하나로텔레콤과의 업무협약을 통해 하나로텔레콤 주식회사의 상품 안내를 위한 전화 영업을 하고, 그 수수료를 하나로텔레콤으로부터 지급받았으며, 하나로텔레콤 이외의 다른 동종 업체의 업무는 처리하지 않은 채 폐업한 점,

③하나로텔레콤이 가지고 있는 개인정보가 다른 저장매체나 출력물 등을 통해 예드림씨앤엠에 제공된 것이 아니라 하나로텔레콤의 서버에 접속할 수 있는 시스템을 별도로 설치하여 기간을 정하여 제한된 방법과 절차로만 접근이 가능하도록 한 점, ④예드림씨앤엠이 고객을 유치한 이 사건 제휴카드에는 단지 신용카드의 기능뿐만 아니라 하나TV의 설치비 면제 등 하나로텔레콤의 상품이나 고객의 혜택에 관한 내용도 포함되어 있는 점,

⑤예드림씨앤엠은 위 제휴카드를 신청한 고객의 경우 그 개인정보를 SC제일은행에 제공하기는 하였으나, 이는 하나로텔레콤의 업무협약 내용에 따른 것이고 고객과의 통화를 통해 카드 발급에 관한 동의를 얻은 후 이루어진 것인 점 등을 종합하면, 예드림씨앤엠은 구 정보통신망법 제24조에서 규정하는 ‘제3자’가 아니라 하나로텔레콤을 위하여 하나로텔레콤의 일부 업무를 위탁받아 수행하는 ‘수탁자’로서의 지위를 가진다고 판시하여, 하나로텔레콤은 개인정보의 ‘제3자 제공’이 아니라 ‘타인 위탁’을 한 것이라고 판단했다.

나. 민사판결

민사사건에서의 주요 쟁점은, 하나로텔레콤이 원고들로부터 개인정보 수집·이용에 관한 적법한 동의를 받았는지 여부, 하나로텔레콤의 전화권유판매 사업자 등에 대한 개인정보 제공이 정보통신망법상 ‘취급 위탁’과 ‘제3자 제공’ 중 어디에 해당하는지 여부 등이었다.

이에 대하여 법원은, 먼저 적법한 동의 여부와 관련하여, ①하나로텔레콤이 개인정보 수집·이용에 대한 동의 자료를 제출하고 있지 못하고 있는 원고들에 대하여는 개인정보 수집·이용에 관한 동의가 없었던 것으로 보았고, ②서비스개통 의사와 개인정보 수집·이용 의사를 분리하여 구하지 않고 ‘본인은 상기와 같이 서비스가 개통되었음을 확인합니다’며 동의 확인 부분을 생략하거나 ‘본인은 상기 개인정보의 제공 및 활용에 관한 동의서와 뒷면의 내용에 대하여 충분히 인지하고 준수할 것을 동의하며 서비스 개통되었음을 확인합니다’는 내용으로 그 의사의 확인을 구한 데 그친 원고들에 대해서도 하나로텔레콤이 개인정보 수집·이용에 관한 유효한 동의를 획득하지 못하였다고 보았으며,

③별도의 동의 양식을 제시했으면서도 개인정보 수집·이용에 관한 동의를 받지 않은 원고들의 경우 및 개인정보 수집·이용에 관한 동의를 받았다고 할지라도 동의 이전에 이미 취급 위탁의 형태로 개인정보를 외부에 제공한 원고들의 경우에는, 하나로텔레콤이 위 원고들의 동의 없이 개인정보를 이용·제공한 것이므로 위 원고들의 개인정보자기결정권을 침해했다고 보았다. 그러나 ④별도의 동의 양식을 제시하였고 개인정보 수집·이용에 관한 별도의 동의를 받은 후에서야 비로소 개인정보를 외부에 제공한 원고들의 경우에는 하나로텔레콤이 개인정보 수집·이용에 관한 동의 과정에서 그 원고들의 권리를 침해했다고 볼 수는 없다고 판시했다.

또한 법원은 둘째로, 적법한 위탁 여부와 관련하여, 이 사건은 정보통신서비스제공자인 하나로텔레콤 측의 사업 목적을 위해 개인정보를 외부에 제공한 것이므로, ‘제3자 제공’이 아니라 ‘취급 위탁’에 해당한다고 판시했다.

그리하여 법원은 개인정보 수집·이용에 관한 동의를 받지 아니한 채 또는 동의를 받기도 전에 개인 정보를 외부에 제공한 원고들에게는 20만원의 위자료를, 개인정보 수집·이용 등에 관한 동의를 받았으나, 그 후 새로운 수탁자에게 취급 위탁을 하면서도 개정된 정보통신망법에 따른 동의 절차를 거치지 않은 원고들에 대하여는 10만원의 위자료를 인정했다.

이 사건은 동의의 방식, 수집목적을 벗어난 활용에 관한 정보통신서비스제공자의 책임, 제3자 제공과 타인 위탁의 구별 등 매우 중요한 쟁점들에 대하여 법원이 명확한 기준을 제시하여 준 중요한 사안이다.

6. [2008. 1.] 옥션 해킹 사건

중국인 해커로 추정되는 갑은 ①2008. 1. 4. 04:49경부터 05:33경까지, ②2008. 1. 5. 03:33경부터 04:33경까지, ③2008. 1. 7. 04:08경부터 05:11경까지, ④2008. 1. 8. 02:42경부터 03:45경까지 등 4차례에 걸쳐 인터넷 오픈마켓사인 옥션의 웹 서버 중 하나인 이노믹스 서버[아이피(IP) 주소 : 211.233.17.184]에 침입하여 이노믹스 서버를 통해 피고 옥션의 메인디비2(MAINDB2) 데이터베이스 서버에 저장되어 있던 피고 옥션 회원의 이름, 주민등록번호, 주소, 전화번호, 아이디, 계좌번호 등 개인정보를 자신의 컴퓨터로 내려받아 이를 유출했다(10,807,471명의 개인정보 유출).

갑은, 옥션이 운영하는, 아이디 ‘admin’, 비밀번호는 기본으로 설정되어 있는 톰캣 서버에 무단 로그인한 다음 위 서버에 백도어 프로그램을 올렸고, 이후 ‘ipconfig’ 등의 명령어를 실행하여 IP 주소 등 시스템 정보를 획득했으며, 3389 포트의 터미널 서비스를 기동한 다음, 자신의 IP 주소를 세탁하기 위하여 한국 내 경유지로 터미널 서비스 포트를 포워딩했다. 이어서 경유지인 서버를 거쳐 옥션의 이노믹스 서버를 통하여 데이터베이스 서버에 접속한 다음 데이터베이스 서버에 저장되어 있던 옥션 회원의 개인정보를 경유지로 전송하고, 경유지에서 개인정보를 백업한 다음 자신의 컴퓨터로 전송받은 것이었다. 이에 원고들은 옥션에게 30만원의 위자료 청구를 하기에 이르렀다.

이 사건에서의 쟁점은, 옥션이 법령에서 요구하고 있는 정보보호조치 의무를 다하였는지 여부였다.

이에 대하여 원고들은, 옥션이 보안전담 부서를 따로 설치하지 않았고 웹 관련 해킹을 막기 위해서는 필수적으로 설치해야 하는 웹 방화벽을 웹 서버에 전혀 설치하지 않았으며, 2008. 1. 3.경 이노믹스 서버에 설치된 악성코드를 발견하고도, 데이터베이스 서버 관리자의 아이디를 변경하는 등의 적절한 조치를 취하지 않았다고 주장했다. 또한, 정보통신부 고시 제2005-18호에서 암호화 대상으로 규정하고 있는 본인인증 정보인 주민등록번호 등이 사건 데이터베이스 서버에 저장되어 있는 피고 회사의 개인정보를 암호화하지 않았으며, 서버에 대한 인증 및 접근 제어 시스템을 도입하지 않았다고 주장했다.

또한, 웹서버인 이노믹스 서버에 대하여 아무런 보안 조치를 하지 않은 채, 전용선이나 ‘VPN’이 아닌 인터넷을 통해서도 외부에서 이노믹스 서버에 접근할 수 있도록 함으로써 해커에게 이노믹스 서버를 노출했고, 해커가 새벽 시간대에 이노믹스 서버를 통해 이 사건 데이터베이스 서버에 저장되어 있던 피고 회원의 개인정보를 조회하는 과정에서 이노믹스 서버로부터 데이터베이스 서버로의 정보조회 요청에 따른 비정상적인 다량의 쿼리(Query)가 발생했다.

그럼에도 이를 탐지하고 경고할 수 있는 모니터링 시스템을 갖추지 않아 이 사건 해킹 사고를 전혀 인식하지 못하였으며, 이노믹스 서버 관리자의 아이디, 비밀번호 앞 여섯 자리, 이 사건 데이터베이스 서버 관리자의 아이디, 비밀번호를 피고 옥션의 아이디 및 비밀번호에 대한 내부 관리 지침에 위배하여 설정했다고 주장했다.

옥션은 원고들에게 서비스 이용계약에 따른 전자금융거래 서비스를 제공하는 계약당사자 또는「전자금융거래법」상 전자금융업자로서 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자가 입은 손해를 배상할 책임을 지는데, 이 사건 해킹사고를 통해 원고들의 금융정보가 유출되도록 했으며, 그 밖에 피고의 약관 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등에서 요구하고 있는 정보보호 조치 의무를 다하지 않았다는 것이 원고들의 주장이었다.

이에 대하여 법원은, 첫째, 피고는 이 사건 해킹 사고 당시 정보보호정책 및 관리지침서 제2장 정보보호조직 관리지침에 따라 임원을 정보보호책임자로 임명하고 산하에 세부 분야별로 정보호호관리자 및 담당 직원(보안 전담 부서로는 SIT팀)을 운영하여 정보보호 업무를 한 사실이 인정되고, 둘째, 피고 옥션이 이 사건 해킹 사고 당시 이노믹스 서버를 비롯한 피고의 웹 서버에 웹 방화벽을 설치하지 않았다고 하더라도 관련 법령상으로도 웹 방화벽의 설치가 의무화되어 있지 않는 한 피고에게 그로 인한 주의의무 위반이 있다고 할 수 없다.

셋째, 피고 옥션이 2008년 1월 4일경 이노믹스 서버에 설치된 악성코드를 발견한 다음 수행한 대응 조치에 어떠한 주의의무 위반이 있다고 할 수 없고, 달리 피고 옥션이 이 사건 해킹 사고 당시 적절한 대응조치를 취하지 않아 이 사건 해킹 사고를 막지 못하였다는 점을 인정할 만한 증거가 없으며, 넷째, 주민등록번호는 생존하는 개인에 관한 정보로서 개인을 식별할 수 있는 개인정보에 해당될 뿐, 이 사건 고시 제5조 제1항에서 암호화 대상으로 정하고 있는 본인 인증 정보에는 해당되지 않는다.

그리고 다섯째, 피고 옥션은 서버 운영체제인 ‘윈도우 서버 2003’에 내재되어 있는 인증 및 접근 제어 시스템인 ‘Active Directory’를 사용하여 중앙통제 방식으로 다양한 권한의 등급을 가진 사용자 및 하위 관리자의 인증 및 접근제어를 구현했고, 데이터베이스 관리 시스템(DBMS, Database Management System)의 하나인 ‘윈도우 SQL 서버’의 내재된 인증 및 제어 시스템을 사용하여 데이터베이스에 대한 SQL(질의) 작업시 별도 서버에서 가상 계정이 부여된 사용자만이 접근할 수 있도록 함으로써 비인가자의 데이터베이스 접근을 차단했다.

여섯째, 해커가 이 사건 해킹 당시 침입하였던 이노믹스 서버에 대하여 외부 인터넷을 통해서도 접근이 가능했던 사실만으로는 피고 옥션이 이노믹스 서버에 대하여 아무런 보안 조치를 하지 않은 채 해커에게 이노믹스 서버를 노출하여 이 사건 해킹 사고가 발생하였다는 사실을 인정하기에는 부족하다.

일곱째, 이 사건 해킹 사고 당시 이 사건 데이터베이스 서버에서는 초당 약 3,333개(12,000,000개/3,600초) 정도의 쿼리가 발생하고 있었는데, 해커가 이 사건 해킹에 사용한 쿼리는 모두 십여 개에 불과하며, 이 사건 해킹 사고 당시 데이터베이스 서버에 대하여 평소 대비 정상 범위를 벗어난 수의 쿼리가 발생하거나 비정상 쿼리가 발생하는 경우 이를 실시간으로 탐지하여 문자나 메일로 알려주는 자체 개발 프로그램을 운영하고 있었는 바, 옥션이 이 사건 해킹 사고 당시 해커가 개인정보를 유출하는 과정에서 발생한 쿼리를 탐지하지 못하였다고 하더라도 그로 인한 주의의무 위반이 있다고 할 수 없다.

여덟째, 시스템 관리자의 아이디와 비밀번호를 회사명 등 잘 알려진 단어로 설정하는 경우 브루트-포싱(brute-forcing) 공격에 취약해 브루트-포싱 공격을 시도하는 해커에게 시스템 관리자 권한을 빼앗길 우려가 크기는 하나, 이 사건 해킹 사고는 해커가 웹쉘을 통해 이 사건 데이터베이스 서버 관리자의 아이디와 비밀번호를 알아낸 다음 이를 통해 이 사건 데이터베이스 서버에 저장되어 있던 옥션 회원의 개인정보를 자신의 컴퓨터로 내려받아 이를 유출하여 발생한 것으로 추정된다.

설령 옥션이 내부 관리 지침에 위배하여 이노믹스 서버 및 이 사건 데이터베이스 서버 관리자의 비밀번호와 이 사건 데이터베이스 서버 관리자의 아이디를 회사명이 포함되게 설정했다고 하더라도, 이로 인해 이 사건 해킹사고가 발생했다고 볼 수는 없다고 판시했다.

나아가 법원은, 이 사건 해킹 사고는 옥션이 저장·보관하고 있는 회원 개인정보의 도난에 해당할 뿐, ‘접근매체의 위조나 변조로 발생한 사고’, 또는 ‘계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고’에 해당한다고 볼 수 없다.

그리고 옥션은 이 해킹 사고 당시 이용약관 및 각종 기술적·관리적 정보보호조치의 이행, 그 밖에 피고 내부의 정보보호정책 및 관리지침에 따른 보안조치 등 다양한 방식의 해킹 방지 조치를 이행하고 있었던 점, 이 사건 해킹 사고는 초급 수준을 넘어 적어도 상당한 수준의 해킹 기술을 보유하고 있는 지능적인 해커에 의하여 발생한 것으로 보이는 점 등을 종합적으로 고려하면, 옥션이 이용약관 등에서 규정하고 있는 정보보호 치 의무를 다하지 않아 이 사건 해킹 사고를 예방하지 못했다고 할 수 없다.

그러므로, 결국 옥션이 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조 제1항, 같은 법 시행규칙 제3조의3 제1항 및 이에 근거한 정보통신부 고시 제2005-18호, 제2007-3호에서 각각 규정하고 있는 개인정보 보호를 위한 기술적·관리적 조치를 다한 사실은 인정된다고 판시했다.

이번 사건은 해커가 톰캣 서버를 간단하게 뚫은 다음에 여러 단계를 거쳐 데이터베이스 시스템에 접근한 사건으로서, 대규모 해킹에 의한 개인정보 유출사건에 대해 법원이 기업의 과실을 부정한 대표적인 사건이다.

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2013. 8. 8.) 기고.

태그:

조회수 298회

최근 게시물

​태그 모음

bottom of page