홈페이지를 해킹당해 1천만여건의 고객 개인정보 유출 사고가 발생한 KT에 7000만원의 과징금을 부과한 것은 위법하다는 대법원 판결이 나왔다. 대법원 특별3부(주심 안철상 대법관)는 KT가 개인정보보호위원회(경정 전 피고 방송통신위원회)를 상대로 낸 과징금 부과처분 취소소송(2018두56404)에서 원고승소 판결한 원심을 최근 확정했다. KT는 2013년 8월부터 2014년 2월까지 마이올레 홈페이지를 해킹당해 고객의 이름과 주민등록번호, 주소 등 개인정보 1170만여건이 유출됐다. 또다른 해커의 침입으로 8만3000여건의 개인정보도 추가로 유출됐다. 방통위는 KT가 △일단 로그인을 하면 타인의 고객서비스계약번호(9자리)를 입력하더라도 인증단계 없이 타인의 정보(이름 등)까지 조회 가능했고 △특정 IP에서 일 최대 수십만 건의 개인정보를 조회했는데도 비정상적인 접근을 탐지·차단하지 못했다는 이유 등으로 2014년 6월 과징금 7000만원을 부과했다. KT는 "개인정보 유출 방지를 위한 조치들을 취했었다"며 소송을 냈다. 방통위는 "해커가 공격 때 사용한 '파라미터 변조'를 탐지하지 못했고 동일 IP에서 개인정보가 포함된 요금명세서를 대량 조회하는 것은 이상행위인데 이를 탐지하지 못했다"고 맞섰다. 1심은 "KT는 침입탐지방지 시스템 등을 설치·운영하고 상시로 모의 해킹을 수행하는 등 침입탐지 시스템을 적절히 운영했는데, 파라미터 변조는 취약점이 널리 알려진 해킹 수법이지만 수많은 웹 서버마다 각기 다른 파라미터가 존재하고 파라미터에 할당할 수 있는 값도 달라질 수 있어 항상 일정한 형태로 고정되는 것이 아니어서 사전에 탐지해 차단하기가 쉽지 않다"고 밝혔다. 이어 "해커가 마이올레 홈페이지에 하루 최대 34만 번 접속했는데, 마이올레 홈페이지 하루 접속 건수가 3300만여건에 이르는 점에 비추면 보면, 해커의 접속은 1% 미만이어서 이를 '이상행위'를 탐지하기 어려웠을 것"이라며 "해킹이 발생했던 당시에는 방통위의 개인정보 보호 조치 기준도 구체화되지 않았다"고 설명했다. 다만 "퇴직자 ID의 개인정보처리시스템에 대한 접근 권한을 말소하지 않은 것은 KT의 잘못"이라고 덧붙였다. 그러면서 "KT가 방통위 고시인 개인정보의 기술적·관리적 보호조치 기준 제4조 2항을 위반한 것은 맞지만 고시 제4조 5항과 9항을 위반했다고 볼 수는 없기 때문에 방통위가 제4조 5항과 9항을 위반했음을 전제로 한 이 사건 처분은 재량권의 일탈·남용으로 위법하다"며 "처분이 방통위의 재량행위에 해당하는 이상 법원은 재량권 일탈·남용 유무만 판단할 수 있을 뿐 재량권의 범위 내에서 어느 정도가 적정한지 판단할 수 없으므로 처분 전부를 취소할 수밖에 없다"고 판시했다. 개인정보의 기술적·관리적 보호조치 기준 제4조 2항은 '정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다'고 규정하고 있다. 같은 조 5항은 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 침입탐지방지 시스템 등을 의무적으로 설치·운영하도록 했다. 9항은 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터 등에 조치를 취해야 한다는 내용이다. 2심도 방통위 측 항소를 기각하고 KT의 손을 들어줬다. 대법원도 "KT가 자신이 취급 중인 개인정보가 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 다하지 않았다고 단정하기 어렵다"며 원심을 확정했다.

방송통신위원회가 세계 최대 소셜네트워크서비스(SNS) 페이스북(Facebook)이 인터넷서비스 제공사업자(ISP)와의 협상에서 유리한 고지를 점하기 위해 고의로 접속 경로를 변경해 국내 이용자들의 불편을 야기했다며 내린 과징금 처분은 부당하다는 판결이 나왔다. 서울행정법원 행정5부(재판장 박양준 부장판사)는 22일 페이스북 아일랜드 리미티드(Facebook Ireland Limited)가 방통위를 상대로 낸 시정명령 등 처분 취소소송(2018구합64528)에서 원고승소 판결했다. 재판부는 "페이스북의 (서버) 접속경로 변경 행위는 전기통신서비스의 이용을 지연하거나 이용에 불편을 초래한 행위에 해당할 뿐 '이용의 제한'에 해당한다고 볼 수 없다"고 밝혔다. 기존 접속경로 전부 변경한 것 아니고 일부만 변경 이어 "콘텐츠 제공사업자(CP)의 접속경로 변경으로 인해 접속이 지연되거나 불편이 초래되는 경우까지 '이용의 제한'에 해당한다고 보게 되면, 구 전기통신사업법 시행령 제42조 1항의 위반 여부가 ISP의 전송용량과 다른 CP들의 트래픽 양 등 외부의 여러 요소에 의해 좌우돼 법 집행 여부에 관한 예측가능성을 심각하게 훼손하게 된다"고 설명했다. 이용자 불편초래 행위를 이용제한으로 볼 수 없어 그러면서 "페이스북은 기존 접속경로를 완전히 차단하고 새로운 접속경로로 전부 변경한 것이 아니라 그 중 일부의 접속경로만 변경했을 뿐"이라며 "설령 페이스북이 국내 통신사와의 인터넷망 접속 관련 협상 과정에서 유리한 위치를 차지하고 IP 트랜짓 서비스 비용을 추가로 지급하지 않기 위해 접속경로를 변경했고, 그로 인해 많은 이용자들에게 피해가 발생해 이에 대한 제재의 필요가 절실하다고 하더라도, 추가적인 입법을 통해 명확한 제재수단을 마련해야 한다"고 판시했다. 방통위는 지난해 3월 전기통신사업법상 '이용자의 이익을 해치는 전기통신서비스의 제공 행위'로 "페이스북이 국내에서 일방적으로 접속경로를 바꿔 시장을 왜곡하고 페이스북 서비스 속도를 크게 떨어뜨리는 중대한 피해를 이용자들에게 입혔다"며 과징금 3억9600만원을 부과했다. 방통위는 페이스북이 2016년 말 국내 ISP들과 망 사용료 정산을 두고 갈등하다가 고객들의 접속 경로를 해외로 바꿔 접속 시간을 2.4~4.5배 지연시켰다고 판단했다. 이에 반발한 페이스북은 지난해 5월 소송을 냈다. 국내외 통신사업자, 인터넷망 사용료 협상에 큰 영향 줄 듯 [ 해설 ] 이번 사건은 페이스북을 비롯해 유튜브, 넷플릭스 등 글로벌 콘텐츠 제공사업자(CP)의 국내 인터넷 망(網) 사용과 관련해 우리 정부가 최초로 제재를 가해 벌어진 소송이라는 점에서 큰 관심을 끌었다. 소송결과에 따라 이들 글로벌 CP와 국내 ISP간 최대 수백억원대에 달하는 망사용료 협상 구도에 영향을 미칠 수 있기 때문이다. 전기통신사업법에서 통신사업자는 기간통신사업자와 부가통신사업자로 지위가 나뉘는데, KT, SK텔레콤, LG유플러스 등 ISP가 기간통신사업자이고 네이버나 카카오, 구글, 페이스북 등 CP가 부가통신사업자다. 문제는 전기통신사업법이 기간통신사업자, 즉 ISP에만 통신망 품질 유지 의무를 부과한다는 점이다. 재판부, 인터넷망 품질관리 책임 ISP에 있다고 판단 전기통신사업법에 따르면 기간통신사업자는 △이용약관 신고 의무 △이용자보호 의무 등 망 품질 보장의무를 진다. ISP에 대해서는 이용약관을 통해 서비스 불능 또는 서비스 장애 발생 시 손해배상을 하도록 규정하고 있는데, CP는 이 같은 통신망 품질 보장의무를 지지 않는다. 그렇기 때문에 이번 사건처럼 CP가 접속경로를 변경해 이용자들에 대해 서비스 불능 또는 장애를 발생시켜도 책임을 지지 않는다. 이번 소송에서 서울행정법원도 "현행법령상 CP는 네트워크 품질을 일정 수준 이상 보장해야 할 의무 또는 접속 경로를 변경하지 않거나 변경 시 미리 특정 ISP와 협의해야 할 의무가 없다"고 설명했다. 더욱이 재판부는 페이스북의 접속경로 변경행위가 전기통신서비스의 이용을 지연하거나 불편을 초래한 것은 맞지만, 이용자의 불편 등 부작용을 알면서도 페이스북이 일부러 속도를 저하시킨 것으로 보기 어렵다며 '고의성'을 인정하지 않았다. 접속 속도 저하가 방통위 과징금의 근거인 '이용 제한'에 해당한다고 보기 어렵다고 판단했다. 아울러 접속경로 변경 등으로 접속속도가 저하돼 전기통신서비스의 이용을 지연하거나 이용에 불편을 초래하는 행위를 제재하기 위해서는 별도로 이를 제재할 근거규정을 마련하는 입법적인 보완이 필요하다고 강조했다. 캐시 서버설치 비용 등에 대한 국내 ISP의 부담 늘어 이번 판결은 글로벌 CP들과 국내 ISP와의 인터넷 망 사용료 협상에 큰 영향을 줄 것으로 전망된다. 재판부가 망 품질 관리 책임은 ISP에게 있다고 판단한 것이기 때문에, 글로벌 CP의 트래픽을 감당하기 위한 캐시서버 설치 비용 등에 대해 국내 ISP의 부담이 더 커지게 된 것이다. 국내 업체들에 대한 역차별 논란도 커질 것으로 보인다. 그동안 글로벌 CP들은 1년에 수백억원을 내는 네이버, 카카오톡 등 국내 사업자와 달리 대량의 트래픽을 발생시키면서도 망 사용료를 제대로 부담하지 않아 형평성에 어긋난다는 지적이 제기돼왔다. 방통위는 입장문을 통해 "(페이스북에 대한 행정처분은) 유사한 행위 재발을 막고 이용자 이익을 보호하기 위한 조치였다"며 "앞으로도 글로벌 CP의 불공정 행위와 이용자 이익 침해 행위를 놓고 국내 사업자와 동등하게 규제를 집행하는 등 국내외 사업자 간 역차별 해소를 위해 노력할 것"이라며 항소할 뜻을 밝혔다.

법원이 지난 2011년 서울시장 보궐선거 당일 중앙선거관리위원회 홈페이지 등에서 일어난 '디도스(DDos) 공격' 관련 정보를 공개하라고 판결했다. 서울행정법원 행정7부(재판장 정형식 수석부장판사)는 최근 참여연대 측이 중앙선관위를 상대로 낸 정보공개 거부처분 취소소송(2012구합21192)에서 원고일부승소 판결했다. 참여연대는 지난 2012년 2월 선관위에 '라우터(망과 망 사이 트래픽을 주고받는 역할을 전담하는 컴퓨터 장치의 일종) 상태·접근기록'과 '유입 트래픽 추이' 등의 정보 공개를 요구했다. 그러나 선관위는 해당 정보에 포함된 IP주소를 가리는 작업을 일일이 하기 어렵고 국가안보와 관련된 자료라는 점, 선관위의 운영상 비밀이라는 점 등을 들어 공개를 거부했다. 참여연대는 이에 불복해 같은해 7월 소송을 냈다. 재판부는 라우터 정보와 관련해 "특정일시에 한정된 것으로, 새 기록을 가공·생산하는 수준의 작업을 요하지 않는다"며 "이를 공개한다고 해서 국가안보나 선관위 운영에 해가 되지 않는다"고 설명했다. '유입 트래픽 추이'에 대해서도 "단순한 정보의 소통량을 의미하므로 공개 대상"이라고 밝혔다.