이번 연재는 개인정보 관련 집단소송 사례 마지막 연재로, 우리나라 개인정보보호 역사에 크나큰 공헌을 한 역대 10대 개인정보 관련 집단소송 사례들을 정리함으로써 개인정보보호의 역사가 어떻게 흘러왔는지를 살펴보고자 한다.

10. [2011. 7.] 네이트·싸이월드 해킹 사건

성명불상의 해커는 2011. 7. 21. 00:40경 SK컴즈 DB기술팀 직원의 컴퓨터에 역접속을 시도하는 기능을 가진 악성프로그램을 유포하고, 2011. 7. 26.부터 2011. 7. 27.까지 중국 내 불상지에서 자신의 컴퓨터로 직원의 컴퓨터에 원격접속하여 SK컴즈 정보통신망에 침입했다.

그리고 네이트 회원정보가 저장되어 있는 데이터베이스 서버, 싸이월드 회원정보가 저장되어 있는 데이터베이스 서버, 중복 저장 회원정보가 저장되어 있는 데이터베이스 서버에 침입하여 위 각 서버에서 처리, 보관하고 있는 개인정보를 자신이 지정한 외부 서버로 전송했다.

이 사건 해킹 사고를 통해 네이트 또는 싸이월드의 회원 중 34,954,887명의 개인정보가 유출됐는데, 유출된 개인정보에는 아이디, 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소가 포함되어 있고 가입 당시 혈액형, 닉네임 등을 입력한 일부 회원들의 경우 위 혈액형, 닉네임 등도 포함되어 있었다.

경찰의 수사 결과에 따르면, 이스트소프트는 압축 프로그램인 알집 중 국내 공개용의 경우, 무료로 배포하는 대신 프로그램 실행시 프로그램 창의 일부에 광고가 게시되도록 하여 수익을 얻고 있는데 이스트소프트는 위 광고를 교체하기 위해 알집 업데이트 서버를 이용하여 알집 프로그램에 ALAD.dll이라는 파일을 전송하고 있었다.

그런데 해커는 정상적인 ALAD.dll 파일이 아닌, 동일한 이름의 악성 프로그램인 ALAD.dll 파일을 만들었고, 이를 이스트소프트의 알집 업데이트를 통해 국내 공개용 알집의 사용자 컴퓨터에 설치하기 위해 알집 업데이트 서버에 있는 ISAPI 필터에 stmpxml.dll 파일을 등록함으로써, SK컴즈 등 선별된 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우, 해커가 설정한 악성 프로그램 유포지인 ‘http://inexon.softsforum.org’에서 악성 프로그램인 ALAD.dll 파일을 다운로드 받게 했다.

악성 프로그램인 ALAD.dll 파일이 다운로드되면, 위 파일은 악성 프로그램인 ALAD.exe 파일을 생성·실행시키고, 위 프로그램은 키로깅(keylogging) 프로그램인 nateon.exe 프로그램을 실행시켜 키보드 입력값이 컴퓨터에 파일로 저장되게 되어 있었다.

2011. 7. 18. 08:58:27경 SK컴즈의 컴퓨터가 알집 업데이트 과정에서 악성 프로그램인 ALAD.dll 파일을 최초로 다운로드 받았고 그 후 2011. 7. 20. 14:59경 SK컴즈 직원의 컴퓨터에 nateon.exe 파일이 생성되어 2011. 7. 21. 02:02경 nateon.exe에 감염됐으며, 2011. 7. 23. 13:09경 위 직원의 컴퓨터가 update.exe 파일과 windowsrpc.dll 파일을 실행했다. 그 후 2011. 7. 26. 02:07경 위 해커가 직원의 컴퓨터를 경유하여 게이트웨이 서버에 DB 관리자 아이디로 접속했고, 이어서 SK컴즈의 DB 서버에 침입하여 개인정보를 덤프 파일로 생성하여 압축한 다음, 이를 게이트웨이 서버에 내려받고 직원의 컴퓨터로 내려받아 중국으로 전송했다.

이 사건에서의 주요 쟁점은, SK컴즈가 개인정보 관리에 대하여 주의의무를 다했는지 여부였다.

가. 서울중앙지방법원 2012. 11. 23. 선고 2011가합90267 판결

이에 대하여 원고들은,

1. SK컴즈는 해당 직원들이 저작권법 위반 사항인 국내 공개용 알집 프로그램을 불법적으로 사용하는 것을 방치함으로써 이 사건 해킹 사고를 초래했다.

2. 주민등록번호를 수집하지 않더라도 실명제 운영에 지장이 없음에도, 이를 수집하였는바, SK컴즈는 최소수집의무 등 개인정보 수집에 관한 주의의무를 위반했다.

3. 공개용 알집 프로그램은 자동 광고 업데이트 기능이 있어, 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진입할 수 있는 바, SK컴즈는 정당한 권한 없는 자가 정보통신망에 접근·침입하는 것을 방지할 의무를 위반했다.

4. SK컴즈가 침입탐지시스템을 제대로 설치·운영하고 이상 징후를 실시간 모니터링하였다면 개인정보 유출을 충분히 막을 수 있었을 것이다.

5. 개인정보보호 관리체계(PIMS, Personal Information Management System) 인증이 없는 등 정보통신망의 안전성을 확보할 의무를 이행하지 않았다.

6. SK컴즈는 악성 프로그램을 항시 점검·치료할 수 있는 백신소프트웨어를 설치하고 이를 주기적으로 갱신·점검할 의무를 위반했다.

7. SK컴즈는 개인정보를 보호하기에 충분한 내부관리계획을 수립·시행할 의무를 위반했다.

8. SK컴즈는 불법접근을 탐지하거나 방지하기 위한 시스템을 설치·운영하지 않았다.

9. SK컴즈는 불법적인 접근을 원천적으로 불가능하도록 망분리 조치를 할 수 있었음에도, 망분리를 하지 않았다.

10. SK컴즈는 공인인증서 등 추가적인 인증수단을 적용하여야 하는데, 이러한 추가적인 인증수단을 도입하지 않아, 해커가 쉽게 해킹할 수 있었다.

11. SK컴즈는 개인정보가 안전하게 저장·전송될 수 있는 암호화 기술을 사용할 의무를 위반했다.

12. SK컴즈는 사후 조치에 관한 주의의무를 위반했다.

고 주장했다.

이에 대하여 법원은,

1. SK컴즈의 저작권법 위반행위와 원고들의 주장과 같은 손해 발생 사이에 상당인과관계가 있는 것으로 보기에 부족하며, SK컴즈가 국내 기업용 알집 프로그램을 사용한 경우에도 국내 기업용 알집 프로그램의 업데이트 과정에서 본래의 다운로드 경로가 아닌 악성 프로그램 유포지에서 악성 프로그램을 다운로드 받도록 이스트소프트의 업데이트 웹사이트 ISAPI 필터를 조작하는 것이 가능했을 것으로 보여, SK컴즈가 국내 기업용 알집 프로그램을 사용하였더라도, 이 사건 해킹 사고를 막을 수 없었을 가능성을 배제할 수 없다.

2. 이 사건 해킹 사고 이전에는 정보통신망법에 따라 회원들로부터 주민등록번호를 수집하는 것이 가능했던 것으로 볼 수 있다.

3. 원고들은 국내 공개용 알집 프로그램에 자동 광고 업데이트 기능이 있어, 이를 사용할 경우 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진입할 수 있다고 주장하나, 이를 인정할 증거가 없다.

4. 규정에서 정한 기술적 및 관리적 보호조치에는 개인정보처리시스템에서 대량으로 유출되는 정보를 실시간으로 모니터링하는 보호조치가 포함되어 있는 것으로 보기 어렵고, SK컴즈가 이 사건 해킹 사고 당시 대량의 정보가 유출되는 이상 징후를 감지하지 못했다 하더라도, 이러한 사정만으로는 SK컴즈가 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적 및 관리적 보호조치를 위반했다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하다.

5. 이 사건 해킹 사고 당시에는 정보통신망법에 따른 정보보호 관리체계 인증이 정보통신서비스 제공자의 의무사항에 해당하는 것으로 보기 어렵다.

6. SK컴즈가 사용하고 있는 위 백신소프트웨어가 이 사건 해커가 만든 악성 프로그램의 침투 사실을 탐지하지 못하였다 하더라도, 이러한 사정만으로는 SK컴즈가 백신소프트웨어를 설치하고 주기적으로 갱신 및 점검하지 아니하였다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하다.

7. SK컴즈 직원의 컴퓨터에 악성프로그램이 다운로드된 후 이 사건 해킹 사고 발생시까지 그 악성 프로그램을 발견하지 못하였다 하더라도, 이러한 사정만으로는 SK컴즈가 개인정보를 안전하게 취급하기 위한 내부관리계획을 수립·시행하지 아니하였다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하다.

8. SK컴즈는 개인정보처리시스템에 아이디와 비밀번호를 입력한 후 계속해서 2차 로그인을 위해 이메일로 OTP 번호를 발송하여 로그인 하도록 하고, 개인정보처리시스템에 대한 접속권한을 아이피 주소 등으로 제한하여 인가받지 않은 접근을 제한하는 방화벽을 설치하는 방법으로 침입차단시스템을 설치·운영하고 있으며, 침입 차단시 개인정보처리시스템에 접속한 아이피 주소 등을 재분석하여 불법적인 개인정보 유출시도를 탐지하도록 하는 침입탐지시스템을 설치·운영하고 있다.

9. 이 사건 해킹 사고 당시의 이 사건 고시는 개인정보취급자 컴퓨터 등의 망분리 의무를 별도로 규정하고 있지 않았다.

10. 이 사건 해커는 외부에서 직접 개인정보처리시스템에 접속한 것이 아니라, SK컴즈의 내부로 침입한 후 직원의 컴퓨터에서 개인정보처리시스템에 접속한 것으로 보이는 바, 이와 달리 외부에서 개인정보처리시스템에 직접 접속하는 경우를 전제로 공인인증서 등 추가적인 인증수단을 강구하지 않아 SK컴즈가 기술적·관리적 보호조치를 위반하였다는 이 사건 나머지 원고들의 이 부분 주장은 이를 받아들이기 어렵다.

11. SK컴즈가 사용한 암호화 방식이 구식이어서 상대적으로 해독 가능성이 큰 것이 사실이라 하더라도, 이러한 사정만으로는 SK컴즈가 암호화 기술사용 관련 기술적 및 관리적 보호조치를 위반한 것으로 인정하기에 부족하다.

12. SK컴즈가 이 사건 해킹 사고를 인지하였을 때에는 이미 이 사건 해커에 의해 회원들의 개인정보가 모두 유출된 후인 것으로 보여, 그 인지 직후 경찰 등에 신고하였더라도, 이 사건 나머지 원고들의 주장과 같이 개인정보가 유출되는 상황을 방지할 수 있었을 것으로 보기 어렵다.

고 판시했다.

원고들은 SK컴즈뿐만 아니라 이스트소프트와 대한민국(방송통신위원회)을 피고로 삼았으나 모두 패소했다. 하지만 이 판결과 달리 같은 사안에 대하여 2013. 2. 15. 선고된 아래의 서울서부지방법원 판결은 원고들의 일부 승소를 선고했다.

나. 서울서부지방법원 2013. 2. 15. 선고 2011가합11733, 2011가합13234(병합), 2011가합14138(병합), 2012가합1122(병합) 판결

원고들은,

1. SK컴즈는 대용량 개인정보의 유출을 탐지하지 못했다.

2. SK컴즈의 직원들의 컴퓨터에서 공개용 알집을 사용했다.

3. SK컴즈는 FTP 서비스를 제공했다.

4. SK컴즈의 담당직원은 DB에서 로그아웃을 하지 않고 퇴근했고, 자동 로그아웃 시간을 설정하지 않았다.

5. 비밀번호의 개인정보 암호화 수준이 낮다.

6. SK컴즈는 필요한 최소한의 정보 외의 개인정보를 수집하고, 이러한 개인정보의 제공을 강요한 잘못이 있다.

7. SK컴즈는 허용되지 않은 IP 주소로도 게이트웨이 서버에 접속할 수 있도록 한 잘못이 있다.

8. 해커는 이 사건 해킹사고와 동일한 방법으로 중국에서 원격접속을 통해 NHN의 내부망에 접근하였으나, NHN은 침입방지시스템을 통해 이를 차단했다.

9. 해킹사고 발생 후 SK컴즈가 이 사건 해커가 사용한 IP 주소를 차단하지 않아서 이 사건 해커가 2011. 7. 28. 같은 IP 주소를 이용하여 SK컴즈의 직원 컴퓨터로 다시 접속을 시도하였다.

10. SK컴즈가 이스트소프트사의 백신인 알약이나 안랩의 백신인 V3를 사용하였더라면 이 사건 해킹사고가 발생할 가능성이 적었다.

11. SK컴즈가 2011. 7. 26. 업무시간 중 같은 날 새벽에 원격접속의 방법으로 이루어진 대용량 개인정보 접속 내역에 대하여 아무런 사후 모니터링을 하지 않았기 때문에 같은 달 27. 추가적으로 발생한 해킹사고를 방지하지 못한 잘못이 있다.

12. SK컴즈는 원고들에게 재산적 손해배상으로서 20만원, 정신적 손해배상으로서 80만원을 지급해야 한다.

고 주장했다.

이에 대하여 법원은,

1. SK컴즈는 개인정보에 대한 불법적인 접근 및 유출을 차단하기 위하여 침입탐지시스템 등을 갖춤으로써 개인정보가 보관된 DB의 접속내역 및 DB에 접속하여 수행하는 업무내역을 실시간으로 모니터링하고, 통상적으로 수행되는 업무와 다른 형태의 업무가 수행되거나 비정상적인 트래픽이 발생할 경우 이를 탐지하여 DB 관리자에게 즉시 경고함으로써 DB 관리자가 이에 대한 조치를 취할 수 있도록 하는 시스템을 갖출 의무가 있다.

해커가 대용량의 개인정보 파일을 DB 서버에서 게이트웨이로 내려받고, FTP 방식으로 위 파일을 게이트웨이에서 외부망인 에듀티에스 사이트에까지 전송하는 동안에도 이를 전혀 탐지하지 못했다는 것은 개인정보가 대량으로 전송되는 것을 이상 징후로 감지하는 기준이 설정되지 않은 상태였다고 볼 수밖에 없는 점 등을 종합하면, SK컴즈가 설정한 경고 발생의 기준이 지나치게 완화되어 있어서 개인정보를 보호하기에 매우 부족한 수준이었고, 그로 인하여 이 사건 해킹사고를 탐지하지 못하였다고 봄이 상당하다.

2. ALDA.dll 파일은 공개용 알집에만 포함되어 있으며, 공개용 알집이 아닌 기업용 등 다른 유료 알집의 업데이트 과정에서 악성 ALAD.dll 파일을 내려받은 내역이 발견된 바가 없고, 공개용 알집과 같이 실시간으로 외부 서버와 연결되어 있는 프로그램을 이용하는 것이 일반적으로 외부 서버와 연결이 끊어져 있는 프로그램을 이용하는 것보다 보다 용이하게 해킹의 대상이 되리라고 보인다.

3. SK컴즈는 정보통신망의 안정성 등을 확보하기 위해 게이트웨이에서 불필요한 FTP를 제거할 의무가 있는데, 이러한 의무를 이행하지 않았다.

4. SK컴즈의 DB 관리자가 DB 서버에 접속하여 업무를 수행한 후 로그아웃을 하지 않았고, 일정 시간 이상 작업을 수행하지 않으면 자동으로 로그아웃이 되는 아이들 타임(idle time)이나 접속 가능한 최대시간인 커넥트 타임(connect time)도 설정되어 있지 않았기 때문에 로그인이 된 상태로 계속 남아있었으며, 이를 이용하여 이 사건 해커가 OTP 번호를 새로 받지 않고도 DB 서버에 접근할 수 있었던 것으로 봄이 상당하다.

5. MD5는 그 보안 강도가 다른 해쉬함수에 비해 낮아서 일반적으로 권고되지 않는 암호화 방법인 사실을 인정할 수 있으므로, SK컴즈는 비밀번호 등 개인정보를 안전한 방법으로 저장할 의무를 위반하였다고 봄이 상당하다.

6. 당시에는 정보통신망법에 따라 정보통신서비스 제공자가 서비스 이용자들로부터 주민등록번호를 수집하는 것이 가능하였고, 실제로 대부분의 정보통신망서비스 제공자들이 주민등록번호를 수집하고 있었다.

7. SK컴즈는 게이트웨이에 접속가능한 IP 주소를 DB 서버에 접속할 권한이 있는 직원들이 사용하는 컴퓨터의 IP 주소로 한정시키고, DB 서버에 접속가능한 IP 주소는 게이트웨이의 IP 주소로 한정시키는 방법으로, 허용되지 않은 IP 주소를 통해 게이트웨이나 DB 서버에 접근할 수 없도록 조치를 취하고 있는 사실을 인정할 수 있다.

8. NHN이 차단한 것을 SK컴즈가 차단하지 못했다는 것만으로는 SK컴즈의 침입탐지시스템 등의 운영에 어떠한 잘못이 있다고 단정할 수 없다.

9. 원고들이 지적한 접근은 SK컴즈가 이 사건 해킹사고가 발생한 후 보안상의 취약점을 테스트하려는 목적으로 시행한 것으로 보인다.

10. 알약이나 V3가 SK컴즈가 사용한 피고 시만텍의 엔드포인트 프로텍션보다 우수하여 이 사건 해킹사고에 이용된 악성 파일을 더 잘 탐지하여 이를 치료할 가능성이 더 높았다고 인정하기에 부족하다.

11. 실시간 모니터링을 하는 외에 이 사건 해킹사고가 발생한 당일의 업무시간 중 실시간 모니터링에서 탐지되지 않은 이상 징후를 발견하기 위한 사후적인 점검조치를 했어야 한다고 보기 어렵다.

12. 이 사건 해킹사고로 인하여 원고들에게 어떠한 재산상 손해가 발생하였음을 인정하기에 부족하나, SK컴즈는 이 사건 해킹사고로 인하여 원고들이 입은 정신적 손해를 배상할 의무가 있고, 그 범위는 각 200,000원으로 정함이 상당하다.

고 판시했다.

원고들은 SK컴즈 외에 이스트소프트, 시만텍코리아, 안랩을 피고로 삼았으나, SK컴즈에 대한 일부승소와 달리 나머지 세 피고에 대하여는 패소했다.

이 판결에서는 먼저 선고되었던 서울중앙지방법원 판결과는 달리 SK컴즈의 주의의무 위반을 인정했고, 정신적 손해배상 20만원을 인용했다.

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2013. 8. 26.) 기고.