109.

개인정보 유출 사고 및 안전조치의무 중심 주요 조사·처분 사례 및 시사점

• 새 탭 열기
• 작성 이력 보기

개인정보 유출 사고는 시스템 자체의 오류가 원인이 되기도 하고, 외부 해킹이 원인이 되기도 한다. 그리고 상당수의 유출 사고는 개인정보보호법 상의 안전성 확보조치의무 위반과 관련되어 있다. 

개인정보 유출 사고와 관련성 있는 안전성 확보조치의무 위반의 경우 과징금 부과대상이 되는바, 아래에서는 자주 문제되는 1) 시스템 오류와 개인정보 유출 사고, 2) 크리덴셜 스터핑과 개인정보 유출 사고를 차례로 살펴보고자 한다.

1. 시스템 오류와 개인정보 유출

해킹이 아니라 시스템 오류로도 개인정보가 나갈 수 있다

평소와 다름 없이 내 계정에 로그인을 했는데 다른 사람의 개인정보가 보이는 당황스러운 상황이 발생할 수 있다. 말도 안 되는 일이라고 생각하지만, 의외로 종종 일어나는 사고이다. 

이는 시스템적인 오류에 따른 것이며, 안전조치의무의 불이행이 원인이 되기 때문에, 과태료 부과는 기본이고, 과징금 부과 대상에도 해당할 수 있게 된다. 

개인정보 유출시 현재 관할부서는 개인정보보호위원회

한편 과거에는 이러한 개인정보 유출 사고에 대한 관할이 정보통신서비스의 경우에는 방송통신위원회, 그 외 개인정보처리자의 경우에는 행정안전부로 나뉘어 있었고, 행안부 관할 사건의 경우에는 주민등록번호 유출이 아니라면 과태료 부과 대상이었으며, 방통위 관할 사건의 경우에는 유출 규모나 유출된 정보의 중요성, (해킹으로 유출된 경위 등) 이용자에게 미치는 영향 등을 고려하여 과징금을 부과하는 경우가 많았다. 

이후 2020년도에 개인정보 분야 전반에 대한 통일된 감독기구로서 통합 개인정보보호위원회가 출범했고, 현재는 모든 유형의 개인정보 유출사고가 개인정보위의 조사 및 처분 검토 대상이 되고 있다.

시스템 오류로 개인정보가 유출된 때는 구 개인정보의 기술적 관리적 보호조치 기준 제4조 제9항, 현행 개인정보의 안전성 확보조치 기준 제6조 제3항이 적용

그렇다면, 내부적인 시스템 오류로 인해 인터넷 홈페이지를 통해 개인정보 유출이 된 경우, 구체적으로 어떤 규정이 적용되는 것일까?

이를 알기 위해서는 과거 KT 해킹 사건에서 쟁점이 되었던 구 개인정보의 기술적 관리적 보호조치 기준 제4조 제9항의 적용범위 논쟁을 살펴볼 필요가 있다. 

해당 사건은 내부적인 시스템 오류가 아니라 외부의 해킹에 의한 것이었지만, 그 내용을 들여다보면, 사실상 내부적인 시스템 오류에 의한 개인정보 유출시 위 제4조 제9항을 적용하는 처분 경향의 계기가 여기서 마련되었기 때문이다.

당시 구 개인정보의 기술적 관리적 보호조치 기준(이하 '구 기준') 제4조 제9항의 문언은 "정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다."였다. 

(참고로 이는 현행 개인정보의 안전성 확보조치 기준 제6조 제3항에서 "개인정보처리자는 처리하는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자의 컴퓨터 및 모바일 기기 등에 조치를 하여야 한다."는 문언으로  그대로 이어졌다. 따라서 여기에서 논하는 위 구 기준 제4조 제9항에 대한 해석은, 현행 기준 제6조 제3항에 대한 해석으로 그대로 적용 가능하다.)

그런데 이에 대해 KT(원고) 측은 소송 과정에서, 위 제4조 제9항은 내부적인 요인으로 개인정보가 유출되지 않도록 조치를 취하라는 조항에 불과하며, 외부의 해킹을 통한 개인정보 유출 사건에는 적용되지 않는다고 주장하였다. 

이에 방통위(피고) 측은, 위 제4조 제9항은 내부적인 요인으로 개인정보가 유출되는 경우는 물론이고 외부 해킹으로 개인정보가 유출되는 경우에도 모두 적용되는 규정이라고 반박했다.

그리고 이에 대해 대법원은, "이 사건 고시 제4조 제9항은 정보통신서비스 제공자 등의 내부적인 부주의로 인하여 개인정보가 외부로 유출되는 사고뿐만 아니라 정보통신서비스 제공자 등이 기술적 보호조치를 충분히 다하지 못하여 해킹과 같이 외부로부터의 불법적인 접근에 의해 개인정보가 외부로 유출되는 사고(이하 내부적 부주의 또는 외부로부터의 불법적인 접근 등으로 인한 개인정보 유출사고를 통틀어 ‘해킹 등 침해사고’라고 한다)를 방지하기 위한 목적에서 마련되었다."라고 판시하여(대법원 2021. 8. 19. 선고 2018두56404 판결), 방통위의 주장을 받아들였다.

즉 위 제4조 제9항은, '내부적 부주의로 인한 개인정보 유출'과 '외부의 불법적 접근으로 인한 개인정보 유출'의 경우에 적용된다는 법리가 처음으로 이 사건에서 정립된 것이다.

다만 개인적으로는, 외부 해킹도 결국 내부적 부주의로 인해 발생하는 취약점이 원인이 되는 경우가 적지 않기 때문에, '내부적인 부주의'와 '외부로부터의 불법적인 접근'을 완전히 다른 차원의 개념으로 구분하는 것은 구체적인 사안에 따라서는 다소 적절하지 않을 수 있다고 본다. 

그리고 '내부적인 부주의'가 지나치게 넓게 해석되는 것도 지양할 필요가 있다고 생각된다. 개발자가 소스코드 작성시 한 실수에 대해 어디까지 처분 대상으로 삼는 것이 바람직한지 고민할 필요도 있기 때문이다.

시스템 오류로 개인정보가 유출되고 제4조 제9항이 적용되어 과징금 처분을 받은 대표적인 사례: 위메프 사건

참고로, 위와 같이 '내부적인 부주의'로 인해 개인정보 유출이 되고 구 기준 제4조 제9항이 적용되어 과징금 처분을 받은 대표적인 사례가 위메프 사례이다. 당시 위메프의 경우 캐시 설정을 잘못하여, 고객이 자기 계정으로 로그인한 때에 다른 고객의 계정 정보가 노출된 사안이었다.

이 사건에서 방통위는 제4조 제9항을 적용하여 과징금 18억원을 부과하였고, 임시 저장 페이지 등에 개인정보를 사용하면 안 된다는 내용이 담긴 개인정보의 기술적 관리적 보호조치 기준 해설서가 그 근거로 제시되었다.

그리고 법원은 제4조 제9항 위반을 실제로 인정하였다. (다만 노출 규모가 지나치게 적어 과징금 부과는 재량권 일탈 남용이라는 판단 하에 결국 대법원에서 과징금 부과 처분은 취소되었고 시정명령 처분만 유지되었다.)

지금도 시스템 오류로 인한 개인정보 유출 사건에서는 해당 규정 위반 여부를 검토

이처럼 법원에서 내부적인 시스템 오류로 인한 개인정보 유출에 대해 제4조 제9항 위반을 인정함에 따라, 이후 유사 사례에서도 제4조 제9항 위반이 검토되게 되었다.

2. 크리덴셜 스터핑과 개인정보 유출

크리덴셜 스터핑이란?

크리덴셜 스터핑이란, 해커가 다크웹 등에서 구매한 인증정보로 봇을 사용해 웹사이트에 지속적으로 접속하려 시도하는 자동화된 사이버 공격을 의미한다.

크리덴셜 스터핑으로 유출됐다고 무조건 처분되는 건 아냐

그렇다면, 해커가 크리덴셜 스터핑으로 로그인에 성공하면 무조건 처분하는 것일까? 

그렇지는 않다. 우리 법은 개인정보 유출이라는 결과를 근거로 처분을 하는 게 아니라, 안전성 확보조치 위반을 근거로 처분을 한다. 따라서 개인정보 유출과 관련성 있는 안전성 확보조치 위반이 확인된 경우에 과징금 부과 처분이 이루어진다.

크리덴셜 스터핑으로 개인정보 유출시 적용 가능한 규정은 구 개인정보의 기술적 관리적 보호조치 기준 제4조 제5항 및 제4조 제9항 (현행 안전성 확보조치 기준 제6조 제1항 및 제6조 제3항)

그렇다면 크리덴셜 스터핑과 관련된 안전성 확보조치 의무로는 어떤 것이 있을까?

이는 구 기준 제4조 제5항과 제4조 제9항이 함께 적용될 수 있다. 구 기준 제4조 제9항의 내용은 앞서 살펴본 바와 같고, 제4조 제5항은, 개인정보처리시스템에 대한 접속권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한하는 기능 및 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하는 기능을 포함한 시스템의 설치 및 운영 의무를 정한 규정이다. 이 규정 역시 현행 개인정보의 안전성 확보조치 기준 제6조 제1항으로 그대로 이어지고 있다.

이 규정들에서는 '불확정개념'이 사용되나 그것이 규정의 유효성에는 영향 없어

그렇다면 위 제4조 제5항에서 말하는 '운영'이라는 것은 구체적으로 무슨 의미이고, 제4조 제9항에서 말하는 '조치'는 또 어떤 의미일까?

위 기준(고시)에서는 이를 명확하게 언급하고 있지 않다. 일종의 '불확정개념'으로 두고 있는 것이다. 이처럼 구 기준이나 현행 고시가 '불확정개념'을 사용하고 있는 이유는, 실시간으로 정보보안 기술과 해킹 기술 등 개인정보보호 환경이 변화하는 상황에서 입법기술상 그 모든 경우를 예상하고 빈틈없이 확정적 개념으로 법적 요건을 정하는 것이 불가능하기 때문이다.

그리고 이러한 불확정개념에 대해 법원은, "불확정개념으로 규정되어 있는 의료법 제59조 제1항에서 정한 지도와 명령의 요건에 해당하는지, 나아가 그 요건에 해당하는 경우 행정청이 어떠한 종류와 내용의 지도나 명령을 할 것인지의 판단에 관해서는 행정청에 재량이 부여되어 있다고 보아야 할 것"이라고 하여(대법원 2016. 1. 28. 선고 2013두21120 판결), 행정청의 전문적인 판단을 존중하는 경향을 보이고 있다.

다만 이러한 행정청의 판단이 존중되려면 그 전제로서, 1) 그 판단의 기초가 된 사실인정에 중대한 오류가 있거나 그 판단이 객관적으로 불합리 또는 부당한 것이어서는 안 될 것이고, 2) 비례의 원칙을 위반하거나 사회통념상 현저하게 타당성을 잃는 등 재량권을 일탈하거나 남용한 경우가 아니어야 할 것이다(대법원 2016. 1. 28. 선고 2013두21120 판결).

이러한 법원의 판단 기조는 앞서 살펴본 구 기준 제4조 제9항의 불확정개념인 '조치'에서도 일관되게 적용되었다. 

과거 대법원은 네이트 싸이월드 해킹 개인정보 유출 사건에서 "정보통신서비스 제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다."고 판시하여, 보호조치 위반 해당 여부의 판단기준을 제시한 바 있었는데(대법원 2018. 1. 25. 선고 2015다24904),

KT 해킹 과징금 부과 사건에서 위 '조치'의 의미가 문제되자, "정보통신망 이용촉진 및 정보보호 등에 관한 법령의 문언, 입법 목적 및 규정 체계 등을 고려하면, 구 개인정보의 기술적ㆍ관리적 보호조치 기준(2015. 5. 19. 방송통신위원회 고시 제2015-3호로 개정되기 전의 것) 제4조 제9항에서 정보통신서비스 제공자 등의 의무로 규정하고 있는 조치는 ‘정보통신서비스 제공자 등이 취급 중인 개인정보가 인터넷 홈페이지 등에 대한 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 취하여야 할 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치’라고 해석할 수 있다. 정보통신서비스 제공자 등이 위 고시 제4조 제9항에서 정한 보호조치를 다하였는지는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종ㆍ영업규모, 정보통신서비스 제공자 등이 인터넷 홈페이지 등의 설계에 반영하여 개발에 적용한 보안대책ㆍ보안기술의 내용과 실제 개발된 인터넷 홈페이지 등을 운영ㆍ관리하면서 실시한 보안기술의 적정성 검증 및 그에 따른 개선 조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹에 의한 개인정보 유출의 경우 이에 실제 사용된 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성, 정보통신서비스 제공자 등이 수집한 개인정보의 내용과 개인정보의 유출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 판단하여야 한다."라고 판시하여, 위 네이트 싸이월드 해킹 개인정보 유출 사건의 판단기준을 활용해 '조치'의 의미를 확인한 것이다(대법원 2021. 8. 19. 선고 2018두56404 판결).

그리고 위 KT 사건의 대법원 판시가 있고서 몇 개월 후에 이루어진 (앞서 살펴본) 위메프 개인정보 유출 사건의 1심 법원은 위 제4조 제9항의 유효성 자체를 다툰 원고의 주장에 대하여 "위 관련 법령의 내용에다가 위 각 인정사실 및 앞서 본 증거들에 의하여 드러나는 다음과 같은 사정들, 즉, ㉠ 개인정보에 대한 접근통제를 위하여 필요한 조치나 개인정보가 외부에 유출되지 않도록 취하여야 하는 조치 등은 그 유형이나 종류가 광범위하여 해당 법령이나 구 보호조치 기준에서는 다소 개략적으로 그에 대한 보호조치의무를 규정하는 것이 불가피한 점, ㉡ 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있는 점, ㉢ 이 사건 보호조치기준 해설서에서도 '홈페이지 설계·구현 오류로 인한 개인정보 유·노출 사고'를 개인정보 보호조치의무의 위반사례로 설명하고 있는 점 등에 비추어 보면, 구 보호조치 기준 제4조 제9항이 구체적인 조치의무를 규정하지 아니한 채 사실상 결과책임을 부과하는 규정이라거나, 피고가 구체적인 개인정보 보호조치의무 위반의 내용을 특정하지 아니한 채 이 사건 각 처분을 한 것으로 보기 어렵다."고 판시하기도 하였다(서울행정법원 2021. 11. 12. 선고 2020구합59628 판결).

결국 구 기준 제4조 제9항의 효력은 법원에 의해 완전히 인정되었고, 그 규정의 의미도 확인된 것이다. 

구 기준 제4조 제9항에서 말하는 '조치' 의무를 크리덴셜 스터핑의 경우에 적용해 보면?

이에 따르면, 크리덴셜 스터핑으로 인한 개인정보 유출의 경우에도 

• 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준,
• 정보통신서비스 제공자의 업종ㆍ영업규모,
• 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용(예컨대 정보통신서비스 제공자 등이 인터넷 홈페이지 등의 설계에 반영하여 개발에 적용한 보안대책ㆍ보안기술의 내용과 실제 개발된 인터넷 홈페이지 등을 운영ㆍ관리하면서 실시한 보안기술의 적정성 검증 및 그에 따른 개선 조치의 내용),
• 정보보안에 필요한 경제적 비용 및 효용의 정도,
• 실제 사용된 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성,
• 정보통신서비스 제공자 등이 수집한 개인정보의 내용,
• 개인정보의 유출로 인하여 이용자가 입게 되는 피해의 정도

등의 사정을 종합적으로 고려하여, 구 기준 제4조 제9항의 안전성 확보조치 의무 위반에 해당하는지 여부를 판단하게 된다(아래 예시 참조). 

구 기준 제4조 제5항에서 말하는 '운영' 의무를 크리덴셜 스터핑의 경우에 적용해 보면?

그렇다면 구 기준 제4조 제5항은 어떤 방식으로 적용될까?

제4조 제5항의 문언은 아래와 같다.

그렇다면 일단 사전대입공격이 개인정보에 대한 "불법적인 접근"으로서 위 제4조 제5항의 적용대상이 될 수 있는지부터 문제되는데, 이에 대해 판례는 '해당한다'고 판시한 바 있다.

나아가 판례는, 제4조 제5항의 '운영'의 의미에 대하여, 웹 서버 접속 로그기록을 실시간으로 분석하거나 사후적으로 분석하는 행위도 관련 시스템의 '운영'에 포함한다고 명시하였다.

그리고 판례는, 1차 공격 이후 2차 공격이 이어졌음에도 적절한 조치를 취하지 않은 사안에서, 부정한 접속 성공이 의심되는 계정에 대해서는 비밀번호 초기화 또는 접속차단 조치, 캡차 및 추가적인 인증수단 등을 적용하는 조치는 당시 기술수준으로 구현이 가능하고 보편적으로 알려져 있는 정보보안 기술수준이라는 점, 개인정보를 유출당한 해당 업체는 관련 분야에서 국내의 대표적인 업체로서 사회통념상 합리적으로 기대 가능한 정도의 보호조치가 일반적인 정보통신서비스 제공자보다 높다는 점 및 유출된 개인정보의 중요성 등을 고려하여, 제4조 제5항 위반을 인정하였다.

크리덴셜 스터핑이 있었어도 구 기준 제4조 제5항 위반이 아니라고 평가되려면 어떤 조치를?

물론 크리덴셜 스터핑으로 개인정보 유출이 되었다고 하여 항상 처분을 받는 것은 아니다. 

위 판례에서도 1차 공격이 있은 후 방치를 하여 2차 공격과 유출이 이루어진 것에 대해 책임을 물은 것인바, 이와 달리 스스로 크리덴셜 스터핑을 통한 개인정보 유출을 탐지하여 신고한 사례, 개인정보 유출이 없었던 사례, 이용자에게 2차 인증수단의 선택권을 부여하였던 사례는 미처분 사례이다.

이러한 처분 경향을 고려할 때, 크리덴셜 스터핑에 대한 효과적인 대응책으로는, 

• 침입탐지 및 차단시스템을 통한 탐지 및 적절한 대응
• 해외 IP, 이상한 기기 등은 캡차 적용
• 이용자에게도 2차 인증수단 적용
• ID/PW로 접속 시 조회되는 개인정보 마스킹

등을 고려할 수 있다.