인터넷 포털 서비스 개인정보 유출사고에 대해 손해배상 책임 및 채무불이행 책임이 있다.
인터넷 포털서비스의 개인정보 유출 사고에 대한 손해배상 청구 사건(민사)
인터넷 포털서비스 사용 중 개인정보유출사고가 발생한 경우 서비스 이용자가 계약상 채무불이행에 따른 손해배상을 청구할 수 있는지가 쟁점인 판례
[사건번호]
대구지방법원 2014. 2. 13. 선고 2012나9865 판결(원심 : 대구지법 김천지원 구미시법원 2012. 4.26. 선고 2011가소17384 판결)
1) 쟁점 : 개인정보유출사고가 발생한 경우 서비스 이용자가 채무불이행에 따른 손해배상을 청구할 수 있는지
2) 사실관계 : 인터넷상에서 포털서비스사업을 하는 A 회사가 제공하는 온라인 서비스에 가입한 회원들의 개인정보가 해킹사고로 유출되었는데, 서비스 이용자인 B가 A 회사를 상대로 손해배상을 구하였다.
3) 판결내용 : 정보통신서비스 제공자는 이용자가 제공한 성명, 주민등록번호, 아이디, 비밀번호 등의 개인정보를 보호할 의무가 있다. 나아가 정보통신서비스 제공자가 서비스 이용약관을 통해 이용자로 하여금 개인정보를 필수적으로 제공하도록 요청하여 이를 수집하는 경우에는 위와 같이 수집한 이용자의 개인정보가 유출되지 않도록 적절한 보안시스템을 구축하고, 개인정보의 취급과정에서 안정성 확보에 필요한 합리적인 수준의 기술적 및 관리적 대책을 수립·운영할 계약상의 의무를 부담한다. 한편 서비스 이용자는 정보통신서비스 제공자 등이 구 정보통신망법상의 규정을 위반한 행위로 손해를 입으면 정보통신서비스 제공자 등에게 손해배상을 청구할 수 있고, 이 경우 해당 정보통신서비스 제공자 등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없으며(구 정보통신망법 제32조), 나아가 서비스 이용자는 정보통신서비스 제공자가 개인정보보호에 실패하여 개인정보유출사고가 발생했을 경우 계약상 채무불이행에 따른 손해배상을 청구할 수 있고, 이 경우 이용자로서는 정보통신서비스 제공자가 기술적·관리적 보호조치의무를 위반한 사실을 주장·증명하여야 하며, 정보통신서비스 제공자로서는 통상의 채무불이행에 있어서와 마찬가지로 채무불이행에 관하여 자기에게 과실이 없음을 주장·증명하지 못하는 한 책임을 면할 수 없다.
4) 결론 : A 회사는 안전성 확보에 필요한 합리적인 수준의 기술적 및 관리적 대책을 수립·운영할 계약상 의무가 있음에도 이를 위반하여 해킹사고를 방지하지 못하고, 그 때문에 B의 개인정보가 유출되도록 하였으므로 구 정보통신망법 제32조에 따른 손해배상책임은 물론 계약상 채무불이행에 따른 손해배상책임도 부담한다.
관련링크:
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)
'IT, 저작권 이야기 > [TS] 인터파크 유출사고' 카테고리의 다른 글
| 개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수는 없다. (0) | 2017.01.29 |
|---|---|
| 개인정보유출통지 (0) | 2017.01.29 |
| 인터파크 유출사례 (0) | 2017.01.26 |
| 인터파크 방통위 엄정제재 (0) | 2017.01.25 |
개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수는 없다.
연계된 시스템에서의 제한된 개인정보 유출 사건(민사)
제3자가 인터넷 사이트를 통해 정보통신서비스 제공자가 보관하고 있는 개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수 있는지가 쟁점인 판례
[사건번호]
대법원 2014. 5. 16. 선고 2011다2455, 2011다24562 판결 (원심 : 서울고등법원 2011. 2. 10. 선고 2009나 119131, 2009나 119148 판결, 서울중앙지방법원 2009. 11. 6. 선고 2008가합75268, 2009가합91281 판결)
1) 쟁점 : 정보통신망법상 개인정보 유출 개념 2) 사실관계 : 피고 통신회사 A는 콘텐츠 제공업체들로부터 받은 모바일 콘텐츠를 이용자들에게 제공하고 있기에 서비스 제공을 위하여 콘텐츠 제공업체가 부여받은 아이디와 패스워드를 통해 통신회사 A의 고객정보 시스템에 접속할 수 있게 하고 있었다. 한편 피고 통신회사 A의 CP인 피고 B는 피고통신회사 A에 ‘mive’라는 연예인 화보 및 풍경 서비스를 제공하기 위하여 피고 통신회사 A로부터 아이디 및 패스워드를 부여받았다. 그런데 피고 통신회사 A의 CP로 가입하려는 C는 아직 CP로 가입하지 않은 상태에서 C와 피고 통신회사 A의 연동을 시험하는 과정에서 인증이 이루어지지 않자, 피고 B에 요청하여 피고 B의 CP 아이디와 패스워드를 제공받았는데, 이후 아이디와 패스워드를 삭제하지 않음으로써 그 이후에도 C에서 휴대전화 번호를 입력하면 휴대전화정보 조회가 가능하게 되었다. 갑은 우연히 C에서 피고 통신회사 A에 가입된 자신의 휴대전화번호를 입력하면 주민등록번호, 가입 일자, 휴대전화 기종 등의 정보가 URL에 나타나는 사실을 알게 되자 친구인 을에게 위 사실을 알려 주었고, 을은 '휴대전화정보 조회' 페이지에서 키보드의 시프트 키를 누른 상태에서 휴대전화 번호를 입력하자 특정 URL이 나타났는데, 그 URL 뒷부분에 주민등록번호, 가입일, 휴대전화 기종 등이 그대로 표시되는것을 확인하게 되자, 위 URL의 소스를 확보한 다음 자신이 2001년경부터 운영하는 개인 홈페이지에 '휴대전화정보조회'라는 페이지를 만들었다.
3) 판결내용 : 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다)로 보호되는 개인정보의 유출이란 개인정보가 해당 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미하는바, 어느 개인정보가 정보통신서비스 제공자 의 관리·통제하에 있고 그 개인정보가 제3자에게 실제 열람 되거나 접근되지 아니한 상태라면 정보통신서비스 제공자의 기술적·관리적 보호조치에 미흡한 점이 있어서 제3자가 인터넷상 특정 사이트를 통해 정보통신서비스 제공자가 보관하고 있는개인정보에 접근할 수 있는 상태에 놓여 있었다고 하더라도 그것만으로 바로 개인정보가 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되었다고 할 수는 없다.
4) 결론 : C의 ‘휴대전화정보 조회’ 페이지에 원고들의 휴대전화번호를 입력하여야만 비로소 2G 서버로부터 C로 위와 같은 개인정보가 전송되어 유출되는 것이고, 휴대전화번호를 입력하기 전에는 위와 같은 개인정보는 2G 서버에 그대로 보관된 채 아무런 접근이 이루어지지 않으며 피고 통신회사 A가 관리·통제권을 행사하여 C와 2G 서버가 더는 연동하지 않도록 함으로써 원고들의 개인정보에 대한 접근과 전송 가능성을 없앨 수 있었던 상태에 있었으므로 달리 원고들의 휴대전화번호가 C의 '휴대전화정보 조회' 페이지에 입력되었는지가 확인되지 않은 이 사건에서 C와 2G 서버가 연동하고 있었다 하더라도 이를 가리켜 곧바로 원고들의 개인정보가 피고 통신회사 A의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되었다고 볼 수 없다.
관련링크
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)
표준개인정보보호지침(출처: 행자부 고시 제2016-21호)
'IT, 저작권 이야기 > [TS] 인터파크 유출사고' 카테고리의 다른 글
| 인터넷 포털 서비스 개인정보 유출사고에 대해 손해배상 책임 및 채무불이행 책임이 있다. (0) | 2017.01.30 |
|---|---|
| 개인정보유출통지 (0) | 2017.01.29 |
| 인터파크 유출사례 (0) | 2017.01.26 |
| 인터파크 방통위 엄정제재 (0) | 2017.01.25 |
개인정보유출통지
개인정보 유출시 표준 통지문 안입니다.
구체적인 내용은 첨부파일을 참조하시기 바랍니다.
정보통신망법의 경우 1인의 정보가 유출되는 경우에도 신고,통지해야한다는 점을
주의하시기 바랍니다.
관련법령
⇨ 개인정보보호법 제
34조 제1항⇨ 개인정보보호법 제34조 제2항
⇨ 개인정보보호법 제34조 제3항
⇨ 개인정보보호법 시행령 40조 제3항
|
표준 통지문안 예시 |
부가 설명 |
|
개인정보 유출 사실을 통지해 드리며, 깊이 사과드립니다. |
<제목> - ‘유출 통지’ 문구 포함 |
|
고객님의 개인정보 보호를 위해 최우선으로 노력하여 왔으나, 불의의 사고로 고객님의 소중한 개인정보가 유출되었음을 알려 드리며, 이에 대하여 진심으로 사과를 드립니다. |
(사과문) - 유출 통지 사실 알림 - 사과문을 먼저 표현 |
|
고객님의 개인정보는 2010년 3월 5일 회원관리시스템 장애 처리를 위한 데이터 분석 과정에서 유지보수업체로 전달되었고, 유지보수업체는 자체 서버에 저장‧보관하다가 안전한 조치를 다하지 못해 2010년 4월경 해커에 의한 해킹으로 유출되었습니다.
유출된 정확한 일시는 서울지방경찰청에서 현재 수사가 진행 중이며, 확인되면 추가로 알려 드리도록 하겠습니다. |
<유출된 시점과 경위> - 유출된 시점과 경위를 누구나 이해할 수 있게 상세하게 설명 - ‘귀하’, ‘고객님’ 등으로 유출된 정보주체 명시 ※ 부적합한 표현 : 일부 고객, 회원정보의 일부 - 추가 확인된 사항은 반드시 추가로 통지 |
|
유출된 개인정보 항목은 이름, 아이디(ID), 비밀번호(P/W), 주민등록번호, 이메일, 연락처 등 총 6개입니다. |
<유출된 항목> - 유출된 항목을 누락 없이 모두 나열 ※ ‘등’으로 생략하거나, ‘회사전화번호’ 및 ‘집전화번호’를 합쳐서 ‘전화번호’로 표시 안됨 |
|
유출 사실을 인지한 후 즉시 해당 IP와 불법접속 경로를 차단하고, 취약점 점검과 보완 조치를 하였습니다. 또한, 유지보수업체 서버에 있던 귀하의 개인정보는 즉시 삭제 조치하였습니다. |
<개인정보처리자의 대응조치> - 접속경로 차단 등 예시된 항목 외에도 망 분리, 방화벽 설치, 개인정보 암호화, 인증 등 접근 통제, 시스템 모니터링 강화 등 조치한 내용 설명 |
관련글:
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)
출처: Priavcy.go.kr
개인정보_유출_시_필수_조치요령_및_표준_통지문안.pdf
'IT, 저작권 이야기 > [TS] 인터파크 유출사고' 카테고리의 다른 글
| 인터넷 포털 서비스 개인정보 유출사고에 대해 손해배상 책임 및 채무불이행 책임이 있다. (0) | 2017.01.30 |
|---|---|
| 개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수는 없다. (0) | 2017.01.29 |
| 인터파크 유출사례 (0) | 2017.01.26 |
| 인터파크 방통위 엄정제재 (0) | 2017.01.25 |
인터파크 유출사례
출처: http://news1.kr/articles/?2737125
http://www.news1.kr/articles/?2736041
지난해 개인정보보호관리체계(PIMS) 인증을 받은 이후 사후심사로 진행된 이번 조사에서 인터파크는
- 망분리
- 악성코드 통제방안
- 개인정보 암호화 등 주요 핵심 보안에 허점을 드러냈습니다.
심사에서 인터넷진흥원은 일부 서버에 대한 악성코드 통제방안 관리는
물론, 인터파크 주요 서버에 대한 접근통제 관리와 정책도 미흡하다며 보완을 요구했다.
개인정보 다운로드 가능자의 망분리도 제대로 되지 않았으며,
외부망에서 접근할 때 인증요소가 2가지 이상 결합된 2-팩터(factor) 인증 적용도 미흡했다고 정보원은 지적했습니다만,
시스템 내 중요정보에 대한 전송·저장 암호화라든지, 데이터베이스 접근 통제 솔루션에 대한 관리도 미흡했습니다.
'IT, 저작권 이야기 > [TS] 인터파크 유출사고' 카테고리의 다른 글
| 인터넷 포털 서비스 개인정보 유출사고에 대해 손해배상 책임 및 채무불이행 책임이 있다. (0) | 2017.01.30 |
|---|---|
| 개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수는 없다. (0) | 2017.01.29 |
| 개인정보유출통지 (0) | 2017.01.29 |
| 인터파크 방통위 엄정제재 (0) | 2017.01.25 |
인터파크 방통위 엄정제재
“방통위, ㈜인터파크 개인정보 유출사고 엄정 제재”
- 개인정보 유출사고 중 최대 금액인 44억8,000만원의 과징금,
2,500만원의 과태료와 시정명령 부과 -
지난 5월 해킹으로 2,500여만건의 회원정보가 유출된 온라인 종합
쇼핑몰 ㈜인터파크에 대해 개인정보 유출사고 중 최대 금액인 44억
8,000만원의 과징금 및 2,500만원의 과태료와 재발방지 대책을 수립ㆍ
시행토록 하는 등의 시정명령이 부과된다.
방송통신위원회(위원장 최성준)는 12월 6일(화) 제68차 전체회의를
개최하여 개인정보보호를 위한 기술적ㆍ관리적 보호조치 의무를 위반한
㈜인터파크에 대해 위와 같은 시정조치(안)을 의결하였다.
그 동안 방송통신위원회는 미래창조과학부와 공동으로「민ㆍ관합동
조사단」을 구성하여 2016. 7. 25.부터 해킹경로 파악과 ㈜인터파크의
개인정보 처리·운영 실태에 대한 현장조사를 진행해 왔다.
경찰청으로부터 넘겨받은 해킹사고 관련자료(37종, 5테라바이트)와
㈜인터파크의 개인정보처리시스템 등에 남아있는 접속기록 등을
분석한 결과,인적사항을 알 수 없는 해커는 2016. 5. 3.경부터 2016. 5. 6.경까지
지능형 지속가능 위협(APT) 공격방식의 해킹으로 이용자 개인정보 총
25,403,576건(중복제거 시 20,510,131명, 다만, 법인 및 개인 탈퇴회원 4,426,240건은
아이디와 일련번호만 유출되어 개인정보 건수에서 제외)을 외부로 유출하였고,
유출된 회원정보는 아이디, 일방향 암호화된 비밀번호, 이름, 성별, 생년월일,
전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목으로 확인되었다.
출처: 방송통신위원회
161206_(의결_가_보도자료)_인터파크의_개인정보_유출사고에_대한_시정조치_의결_자료(12.6).pdf
'IT, 저작권 이야기 > [TS] 인터파크 유출사고' 카테고리의 다른 글
| 인터넷 포털 서비스 개인정보 유출사고에 대해 손해배상 책임 및 채무불이행 책임이 있다. (0) | 2017.01.30 |
|---|---|
| 개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수는 없다. (0) | 2017.01.29 |
| 개인정보유출통지 (0) | 2017.01.29 |
| 인터파크 유출사례 (0) | 2017.01.26 |