[2021.09.27.]

대부분의 정보통신 서비스 제공자는 많든 적든 개인정보를 처리한다. 따라서 항상 개인정보 해킹의 위험에 노출되어 있다. 구 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(이하 ‘정보통신망법’) 제28조 및 같은 법 시행령 제15조, 그리고 방송통신위원회 고시 제4조 등은 정보통신 서비스 제공자의 ‘개인정보처리시스템(개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템)’에 대한 기술적 보호조치에 관해 규정하였고, 현재 '개인정보 보호법' 제29조와 같은 법 시행령 제48조의2에서 같은 내용을 규정하고 있다.

여기서 문제될 수 있는 것이 ‘개인정보처리시스템’의 범위가 어디까지인지 그리고 기술적 보호조치를 다했다고 평가될 수 있는 기준이 무엇인데, 최근 위 쟁점에 대해 판단한 대법원 판결이 선고되었다.

위 대법원 사건은 해커가 마이올레 홈페이지에 정상적으로 접속한 후 해커의 서비스계약번호를 임의의 서비스계약번호로 변경하여 웹 서버에 전송함으로써 웹 서버가 데이터베이스 서버로부터 그 임의의 서비스계약번호에 해당하는 이용자 정보(이름, 주민등록번호, 주소 등)를 전송받도록 하여 해킹한 사안이다. 웹 서버가 ‘개인정보처리시스템’에 포함되는지 및 주식회사 케이티가 기술적 보호조치를 다했음에도 불구하고 위와 같은 해킹이 일어난 것인지 여부가 쟁점이다.

먼저 대법원은 정보통신망법 등 관련 규정의 체계, 입법 목적에다가 정보통신망법 시행령 제15조 제2항 제1호, 방송통신위원회 고시 제2조 제4호에서 모두 ‘개인정보처리시스템’을 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’으로 정의하고 있는 점 등에 비추어 볼 때, 방송통신위원회 고시 제4조 제9항의 ‘개인정보처리시스템’은 개인정보의 생성, 기록, 저장, 검색, 이용과정 등 데이터베이스시스템(DBS) 전체를 의미하는 것으로, 데이터베이스(DB)와 연동되어 개인정보의 처리 과정에 관여하는 웹 서버 등을 포함한다고 봄이 타당하다고 판단하였다.

다만, 대법원은 파라미터 변조에 대한 웹 취약점과 관련한 방송통신위원회 고시 제4조 제9항 조치의무의 위반 여부는, 정보통신 서비스 제공자 등이 인터넷 홈페이지 등을 운영·관리하면서 오랜 시간에 걸쳐 지속적으로 설계에 반영된 보안기술의 적정성을 검증하고 이를 적절하게 해결할 수 있는 개선 조치를 실시하였는지 여부 등을 고려하여 판단하여야 한다고 설시한 후, 주식회사 케이티가 마이올레 홈페이지의 개발 당시부터 해킹사고에 이르기까지 오랜 기간 당시 정보보안의 기술 수준에 적합한 자동화된 점검 도구를 활용하거나 모의해킹을 수행하는 등 웹 취약점의 존재를 최소화하도록 하는 조치를 충분히 수행하였다고 판단하였다.

위 판결에 따르면, 정보통신 서비스 제공자가 기술적 보호조치를 해야 하는 ‘개인정보처리시스템’의 범위는 단순히 데이터베이스시스템에 한정되지 않고 폭넓게 해석될 수 있다는 점에 주의해야 한다. 아울러 법령이 요구하는 기술적 보호조치를 다했는지 여부의 판단에는 정보통신 서비스 시스템의 개발부터 운영에 이르기까지의 지속적인 기술적 조치 노력과 그 과정이 고려되므로, 기업은 해킹 사고시 기업이 법령상 기술적 보호조치를 다했다는 점을 증명하기 위해 평소 지속적인 시스템 취약점 점검과 개선 이력을 축적하는 것이 매우 중요하다.

신동환 변호사 (dohshin@lawlogos.com)