홈페이지를 해킹당해 1천만여건의 고객 개인정보 유출 사고가 발생한 KT에 7000만원의 과징금을 부과한 것은 위법하다는 대법원 판결이 나왔다. 대법원 특별3부(주심 안철상 대법관)는 KT가 개인정보보호위원회(경정 전 피고 방송통신위원회)를 상대로 낸 과징금 부과처분 취소소송(2018두56404)에서 원고승소 판결한 원심을 최근 확정했다. KT는 2013년 8월부터 2014년 2월까지 마이올레 홈페이지를 해킹당해 고객의 이름과 주민등록번호, 주소 등 개인정보 1170만여건이 유출됐다. 또다른 해커의 침입으로 8만3000여건의 개인정보도 추가로 유출됐다. 방통위는 KT가 △일단 로그인을 하면 타인의 고객서비스계약번호(9자리)를 입력하더라도 인증단계 없이 타인의 정보(이름 등)까지 조회 가능했고 △특정 IP에서 일 최대 수십만 건의 개인정보를 조회했는데도 비정상적인 접근을 탐지·차단하지 못했다는 이유 등으로 2014년 6월 과징금 7000만원을 부과했다. KT는 "개인정보 유출 방지를 위한 조치들을 취했었다"며 소송을 냈다. 방통위는 "해커가 공격 때 사용한 '파라미터 변조'를 탐지하지 못했고 동일 IP에서 개인정보가 포함된 요금명세서를 대량 조회하는 것은 이상행위인데 이를 탐지하지 못했다"고 맞섰다. 1심은 "KT는 침입탐지방지 시스템 등을 설치·운영하고 상시로 모의 해킹을 수행하는 등 침입탐지 시스템을 적절히 운영했는데, 파라미터 변조는 취약점이 널리 알려진 해킹 수법이지만 수많은 웹 서버마다 각기 다른 파라미터가 존재하고 파라미터에 할당할 수 있는 값도 달라질 수 있어 항상 일정한 형태로 고정되는 것이 아니어서 사전에 탐지해 차단하기가 쉽지 않다"고 밝혔다. 이어 "해커가 마이올레 홈페이지에 하루 최대 34만 번 접속했는데, 마이올레 홈페이지 하루 접속 건수가 3300만여건에 이르는 점에 비추면 보면, 해커의 접속은 1% 미만이어서 이를 '이상행위'를 탐지하기 어려웠을 것"이라며 "해킹이 발생했던 당시에는 방통위의 개인정보 보호 조치 기준도 구체화되지 않았다"고 설명했다. 다만 "퇴직자 ID의 개인정보처리시스템에 대한 접근 권한을 말소하지 않은 것은 KT의 잘못"이라고 덧붙였다. 그러면서 "KT가 방통위 고시인 개인정보의 기술적·관리적 보호조치 기준 제4조 2항을 위반한 것은 맞지만 고시 제4조 5항과 9항을 위반했다고 볼 수는 없기 때문에 방통위가 제4조 5항과 9항을 위반했음을 전제로 한 이 사건 처분은 재량권의 일탈·남용으로 위법하다"며 "처분이 방통위의 재량행위에 해당하는 이상 법원은 재량권 일탈·남용 유무만 판단할 수 있을 뿐 재량권의 범위 내에서 어느 정도가 적정한지 판단할 수 없으므로 처분 전부를 취소할 수밖에 없다"고 판시했다. 개인정보의 기술적·관리적 보호조치 기준 제4조 2항은 '정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다'고 규정하고 있다. 같은 조 5항은 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 침입탐지방지 시스템 등을 의무적으로 설치·운영하도록 했다. 9항은 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터 등에 조치를 취해야 한다는 내용이다. 2심도 방통위 측 항소를 기각하고 KT의 손을 들어줬다. 대법원도 "KT가 자신이 취급 중인 개인정보가 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 다하지 않았다고 단정하기 어렵다"며 원심을 확정했다.

금융당국이 2014년 발생한 카드사 고객정보 대량 유출사태의 책임을 물어 KB국민카드 대표이사의 해임을 권고한 것은 적법하다는 판결이 나왔다. 대표이사가 고객정보보호 관련 업무를 부하직원에게 위임했더라도 관리·감독 책임을 면할 수는 없다는 취지다. 서울행정법원 행정6부(재판장 김정숙 부장판사)는 KB국민카드 전 대표이사 최모씨가 금융위원회를 상대로 낸 제재처분 취소소송(2015구합62378)에서 최근 원고패소 판결했다. 재판부는 "최씨가 고객정보 유출 사고의 책임자는 정보보호업무 관련 최고책임자이자 전결권자인 IT본부장이었기 때문에 자신은 책임이 없다고 주장하지만, 대표이사인 최씨가 자신의 업무 중 일부를 내부적인 사무처리 편의를 위해 전결권자에게 위임했다는 사정만으로 책임을 면할 수 있다고 한다면 결과적으로 대표이사가 임직원에 대한 관리·감독책임을 사실상 부담하지 않게 되는 불합리한 결과가 발생한다"고 밝혔다. 이어 "IT본부장 등 담당자들의 직근상급자인 최씨는 IT본부장 등이 임무를 적절히 수행하고 있는지 관리·감독을 할 의무가 있는데도 이를 소홀히 해 사고의 원인을 일부 제공했다"고 설명했다. 최씨는 IT본부장 등 관련자들이 정직과 감봉 등의 경징계를 받은 것에 비해 자신에게 내린 해임권고는 지나치다고 주장했지만 받아들여지지 않았다. 재판부는 "최씨에게 엄중한 책임을 물어 금융회사 경영진의 안일한 인식에 경각심을 일으키고 내부통제 시스템을 재정비하도록 유도할 필요성이 있다"고 판시했다. 2014년 초 KB국민카드 등 카드사에서 1억건이 넘는 고객정보가 유출되는 사고가 발생했다. 신용정보회사 직원이 카드사 시스템 개발 과정에서 보안프로그램이 설치되지 않은 PC로 개인정보를 빼돌리다가 발생한 일이었다. 유출된 개인정보는 상당수 회수·폐기됐지만 일부는 대출중개업체 등에 넘어가 전화영업 등에 쓰였다.