K통신사 기술적 보호조치상의 과실
통신사 해킹에 대한 기술적·관리적 보호조치 미흡 사건(민사)
통신사 고객정보 해킹 사건에 대해 개인정보처리자의 기술적·관리적 보호조치 여부 및 위자료 액수가 쟁점인 판례
[사건번호]
서울중앙지방법원 2014. 8. 22. 선고 2012가합83365 판결
1) 쟁점 : 통신회사 K의 기술적 보호조치 상에 과실이 있었는지 아닌지
2) 사실관계 : 피고 통신회사 K는 고객정보를 등록 관리하고 이용자의 이용명세를 정산하여 요금을 부과하는 등의 업무를 수행하기 위하여 N-STEP 시스템을 완성하였다. 사용자는 PC에서 'N-STEP portal 통합 로그인’을 실행하여 사용자별로 발급되어 있는 N-STEP ID와 비밀번호(이하 ID와 비밀번호를 포괄하여 지칭할 때 '사용자 계정'이라 한다)를 사용자 인증화면에 입력한다. 웹 브라우저는 입력받은 N-STEP ID와 비밀번호의 조합을 N-STEP 포털 서버로 전달하고, 이와 함께 PC별로 고유하게 부여된 정보인 MAC 주소(Media Access Control Address)도 N-STEP 포털 서버로 전송된다. N-STEP 포털 서버는 전달받은 계정의 정보를 다시 AUT라는 이름의 인증 서버로 전달한다. AUT 서버는 전달받은 사용자 계정이 정상적으로 접속이 허용된 사용자인지를 확인하여 접속이 허용된 사용자일 경우 '인증 토큰'을 N-STEP 포털 서버에 전달하는데, 이때 웹 브라우저는 별도의 실행 파일로 구성된 N-STEP UI라는 이름의 클라이언트용 프로그램을 실행하면서 전달받은 인증 토큰을 N-STEP UI에 부여한다. 사용자가 로그인 창에 ID와 비밀번호를 입력하여 인증을 거친 후 화면에 띄워지는 N-STEP UI에는 가입자 입력, 가입자 조회 등 각종 메뉴가 표시되어 있고, 사용자는 그 중 원하는 메뉴를 선택한다. 위와 같은 상황에서, 컴퓨터 프로그래머인 A는 여러 차례의 시도 끝에 N-STEP UI가 ESB 서버와 통신하는데 필요한 헤더 및 그 변숫값에 해당하는 임의의 값을 찾아내었다. A는 찾아낸 임의의 값으로 서비스 호출 규격에 맞는 데이터를 구성하여서 피고의 VPN에 접속되어 있기만 하면 N-STEP 포털의 인증과 N-STEP UI를 통한 AUT 서버의 인증을 거칠 필요 없이 곧바로 ESB 서버와 통신을 할 수 있는 이 사건 해킹프로그램을 제작하였다. A는 2012. 2. 20.경 B를 통해 피고의 VPN을 이용할 수 있는 피고의 대리점 PC에 설치된 원격제어프로그램의 ID와 비밀번호를 받은 후 위 대리점 PC에 원격에서 Nsteal(RUN.BAT) 프로그램을 설치한 다음 이를 실행하여 고객정보 8,730,435건(중복 제거 시 8,129,090건)을 A의 서버에 전송하여 오라클 DB에 저장하였다.
3) 판결내용 ① 접근통제의 불완전성에 대한 판단 : 고시 규정은 개인정보처리시스템에 접속권한을 제한하여 인가받지 않은 접근을 제한하라고 규정하고 있을 뿐, 개인정보처리시스템에 대한 접근통제장치가 반드시 협의의 개인정보처리시스템 내부에 존재하여야 한다고 정한 것은 아닌바, N-STEP 시스템이 N-STEP 포털 및 AUT 서버에만 접속권한의 인증절차를 두고 있고, 달리 ESB 서버 이후에 접속권한의 인증을 거치지 아니하는 구조가 이 사건 고시 제4조제5항에서 정하는 기술적·관리적 보호조치의무에 반한다고 보기는 어렵다. 또한 N-STEP 시스템의 N-STEP 포털 및 AUT 서버에 단계에서 피고가 갖추어 놓은 접근통제시스템이 불완전한가에 대하여 사용자가 소지하고 있는 MAC 주소를 통한 추가적인 인증절차를 두고 있고, N-STEP UI는 접속된 인증 토큰의 유효성을 10분에 한 번씩 확인하여 유효한 토큰이 아닐 경우에 접속을 차단하는 기능이 있으므로 이러한 접근통제장치가 이 사건 고시 규정에서 요구하는 기술적·관리적 보호조치에 반한다고 보기 어렵다.
② 이 사건 고시 제4조제2항 위반 여부 : 위 고시 규정은 개인정보처리시스템에 대한 접근권한을 말소하라는 것으로서 퇴직한 자의 계정으로는 개인정보처리시스템의 전 과정에서 식별되어 접근하지 못하도록 하는 조치를 해야 했을 것이므로 피고가 퇴직한 사용자의 N-STEP 사용자계정을 N-STEP UI에서 인증하지 못하도록 한 것만으로는 위 고시 규정이 요구하는 기술적·관리적 보호조치를 다 하였다고 보기 어렵다.
③ 모니터링 시스템에 관한 부분 : 이 사건 고시 제5조는 궁극적으로 개인정보의 유출 방지 등 보호를 위하여 개인정보처리시스템에서 개인정보를 처리한 내용을 확인하고 감독하여야 한다는 주의의무가 포함되는 규정이라 할 것인바, A는 이 사건 해킹프로그램을 실행할 당시 1주일에 한 번 10만 건 정도의 개인정보를 조회하였다고 진술한 점 등에 비추어보면 피고가 개인정보처리시스템의 사용 패턴에서 평상시의 상태와 다른 특이점을 발견하여 정보 유출의 지속 및 확대를 방지할 수 있었음에도 피고는 이러한 주의의무를 다 하지 못하였다.
④ 암호화에 관한 부분 : 피고는 OM DB 서버에 고객들의 주민등록번호를 암호화하지 아니하여서 이 사건 고시 제6조제2항을 위반한 점, 주민등록번호를 제외한 정보에 대하여 피고는 3-DES 방식으로 암호화를 하였는데, 방송통신위원회 등에서 발행한 암호기술 구현 안내서에서는 위 암호화 방식을 권고하지 아니한 점, 피고가 암호화키의 관리를 소홀히 한 점 등에 비추어 보면, 피고는 암호화에 관한 기술적·관리적 보호조치를 다 하지 못하였다.
4) 결론 : 원고들이 입게 된 피해가 분명하게 입증되지는 않았지만, 원고들이 받은 수많은 텔레마케팅, 스팸메시지 등을 추적하여 이 사건 정보유출 사고로 인한 것인지 밝히는 것은 사실상 불가능한바 이러한 사정은 위자료의 액수 산정에 참작하기로 하여 피고가 원고들에게 지급하여야 할 위자료의 액수를 100,000원으로 정한다.
출처: 개인정보보호위원회
관련글 더보기
개인정보안전성 확보조치 기준 개정,[시행 2016.9.1] [행정자치부고시 제2016-35호, 2016.9.1, 전부개정]
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 출판물에 저작자 이외에 감수자가 표기되어 있는 경우를 흔히 볼 수 있다. 의문은 이 감수자도 저작자인지의 여부이다. 이와 관련한 답변을 바란다. (0) | 2017.02.01 |
|---|---|
| 공동저작물상의 권리는 무엇이고, 어떻게 행사하는지에 대하여 자세히 알고 싶다. (0) | 2017.02.01 |
| 의료기관을 위한 정보보호 안내서 (0) | 2017.01.26 |
| 개인정보의 안전성 확보조치 기준 (0) | 2017.01.25 |
| 개인정보안전성 확보조치 기준 개정,[시행 2016.9.1] [행정자치부고시 제2016-35호, 2016.9.1, 전부개정] (0) | 2017.01.25 |