홈페이지를 해킹당해 1천만여건의 고객 개인정보 유출 사고가 발생한 KT에 7000만원의 과징금을 부과한 것은 위법하다는 대법원 판결이 나왔다.
대법원 특별3부(주심 안철상 대법관)는 KT가 개인정보보호위원회(경정 전 피고 방송통신위원회)를 상대로 낸 과징금 부과처분 취소소송(2018두56404)에서 원고승소 판결한 원심을 최근 확정했다.
KT는 2013년 8월부터 2014년 2월까지 마이올레 홈페이지를 해킹당해 고객의 이름과 주민등록번호, 주소 등 개인정보 1170만여건이 유출됐다. 또다른 해커의 침입으로 8만3000여건의 개인정보도 추가로 유출됐다.
방통위는 KT가 △일단 로그인을 하면 타인의 고객서비스계약번호(9자리)를 입력하더라도 인증단계 없이 타인의 정보(이름 등)까지 조회 가능했고 △특정 IP에서 일 최대 수십만 건의 개인정보를 조회했는데도 비정상적인 접근을 탐지·차단하지 못했다는 이유 등으로 2014년 6월 과징금 7000만원을 부과했다.
KT는 "개인정보 유출 방지를 위한 조치들을 취했었다"며 소송을 냈다. 방통위는 "해커가 공격 때 사용한 '파라미터 변조'를 탐지하지 못했고 동일 IP에서 개인정보가 포함된 요금명세서를 대량 조회하는 것은 이상행위인데 이를 탐지하지 못했다"고 맞섰다.
1심은 "KT는 침입탐지방지 시스템 등을 설치·운영하고 상시로 모의 해킹을 수행하는 등 침입탐지 시스템을 적절히 운영했는데, 파라미터 변조는 취약점이 널리 알려진 해킹 수법이지만 수많은 웹 서버마다 각기 다른 파라미터가 존재하고 파라미터에 할당할 수 있는 값도 달라질 수 있어 항상 일정한 형태로 고정되는 것이 아니어서 사전에 탐지해 차단하기가 쉽지 않다"고 밝혔다.
이어 "해커가 마이올레 홈페이지에 하루 최대 34만 번 접속했는데, 마이올레 홈페이지 하루 접속 건수가 3300만여건에 이르는 점에 비추면 보면, 해커의 접속은 1% 미만이어서 이를 '이상행위'를 탐지하기 어려웠을 것"이라며 "해킹이 발생했던 당시에는 방통위의 개인정보 보호 조치 기준도 구체화되지 않았다"고 설명했다. 다만 "퇴직자 ID의 개인정보처리시스템에 대한 접근 권한을 말소하지 않은 것은 KT의 잘못"이라고 덧붙였다.
그러면서 "KT가 방통위 고시인 개인정보의 기술적·관리적 보호조치 기준 제4조 2항을 위반한 것은 맞지만 고시 제4조 5항과 9항을 위반했다고 볼 수는 없기 때문에 방통위가 제4조 5항과 9항을 위반했음을 전제로 한 이 사건 처분은 재량권의 일탈·남용으로 위법하다"며 "처분이 방통위의 재량행위에 해당하는 이상 법원은 재량권 일탈·남용 유무만 판단할 수 있을 뿐 재량권의 범위 내에서 어느 정도가 적정한지 판단할 수 없으므로 처분 전부를 취소할 수밖에 없다"고 판시했다.
개인정보의 기술적·관리적 보호조치 기준 제4조 2항은 '정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다'고 규정하고 있다. 같은 조 5항은 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 침입탐지방지 시스템 등을 의무적으로 설치·운영하도록 했다. 9항은 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터 등에 조치를 취해야 한다는 내용이다.
2심도 방통위 측 항소를 기각하고 KT의 손을 들어줬다.
대법원도 "KT가 자신이 취급 중인 개인정보가 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 다하지 않았다고 단정하기 어렵다"며 원심을 확정했다.