【판례<개인정보보호시스템, 웹서버, 행정제재, 홈페이지해킹과 관련한 보호조치의 내용 및 이행의 정도>】《홈페이지해킹과 관련하여 정보통신서비스 제공자 등의 의무로 규정하고 있는 보호조치의 내용 및 정보통신서비스 제공자 등이 위 규정에서 정한 보호조치를 다하였는지 판단하는 방법(대법원 2021. 8. 19. 선고 2018두56404 판결)》〔윤경 변호사 더리드(The Lead) 법률사무소〕
1. 판결의 요지
【판시사항】
[1] 방송통신위원회 고시인 구 개인정보의 기술적ㆍ관리적 보호조치 기준 제4조 제9항의 ‘개인정보처리시스템’의 의미 및 개인정보처리시스템에 데이터베이스(DB)와 연동되어 개인정보의 처리 과정에 관여하는 웹 서버 등이 포함되는지 여부(적극)
[2] 방송통신위원회 고시인 구 개인정보의 기술적ㆍ관리적 보호조치 기준 제4조 제9항에서 정보통신서비스 제공자 등의 의무로 규정하고 있는 보호조치의 내용 및 정보통신서비스 제공자 등이 위 규정에서 정한 보호조치를 다하였는지 판단하는 방법
【판결요지】
[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2014. 5. 28. 법률 제12681호로 개정되기 전의 것) 제28조 제1항 제2호, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제15조 제2항, 제6항의 체계, 입법 목적에다가 구 정보통신망법 시행령 제15조 제2항 제1호, 구 개인정보의 기술적ㆍ관리적 보호조치 기준(2015. 5. 19. 방송통신위원회 고시 제2015-3호로 개정되기 전의 것) 제2조 제4호에서 모두 ‘개인정보처리시스템’을 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’으로 정의하고 있는 점 등에 비추어 볼 때, 위 고시 제4조 제9항의 ‘개인정보처리시스템’은 개인정보의 생성, 기록, 저장, 검색, 이용과정 등 데이터베이스시스템(DBS) 전체를 의미하는 것으로, 데이터베이스(DB)와 연동되어 개인정보의 처리 과정에 관여하는 웹 서버 등을 포함한다.
[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법령의 문언, 입법 목적 및 규정 체계 등을 고려하면, 구 개인정보의 기술적ㆍ관리적 보호조치 기준(2015. 5. 19. 방송통신위원회 고시 제2015-3호로 개정되기 전의 것) 제4조 제9항에서 정보통신서비스 제공자 등의 의무로 규정하고 있는 조치는 ‘정보통신서비스 제공자 등이 취급 중인 개인정보가 인터넷 홈페이지 등에 대한 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 취하여야 할 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치’라고 해석할 수 있다. 정보통신서비스 제공자 등이 위 고시 제4조 제9항에서 정한 보호조치를 다하였는지는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종ㆍ영업규모, 정보통신서비스 제공자 등이 인터넷 홈페이지 등의 설계에 반영하여 개발에 적용한 보안대책ㆍ보안기술의 내용과 실제 개발된 인터넷 홈페이지 등을 운영ㆍ관리하면서 실시한 보안기술의 적정성 검증 및 그에 따른 개선 조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹에 의한 개인정보 유출의 경우 이에 실제 사용된 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성, 정보통신서비스 제공자 등이 수집한 개인정보의 내용과 개인정보의 유출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 판단하여야 한다.
2. 사안의 요지 및 판단 [이하 대법원판례해설 제130호, 송종환 P.72-95 참조]
가. 사실관계
⑴ 제1유형의 해킹사고 발생
甲(해커)은 2013. 8. 8.부터 2014. 2. 25.까지 원고의 고객 이용요금 명세조회용 홈페이지(이하 ‘제1홈페이지’라고 한다)를 통하여 파로스 프로그램1)을 이용한 파라미터 변조 방식으로 총 11,708,875건의 개인정보를 유출하였다(이하 ‘이 사건 해킹사고 중 제1유형’이라고 한다). 파라미터 변조는 정보를 빼내기 위해 서버의 파일 시스템 경로를 악의적으로 변경하는 공격을 말하는데, 甲이 시행한 해킹에 관한 자세한 과정은 아래와 같다.
① 甲은 자신의 PC에 파로스 프로그램을 설치하여 실행한 후 제1홈페이지에 접속하여 자신의 인증 정보(ID, 비밀번호)로 로그인을 한다.
② 제1홈페이지의 웹 서버는 사용자 인증 정보를 통합인증 서버로 전송한다. 통합인증 서버는 甲이 웹사이트 가입 회원이고 비밀번호가 일치한다는 것을 판별하며, 웹 서버는 甲이 회원 자격으로 로그인되었다는 정보를 사용자 PC에 전달한다. 이때 서비스계약번호가 쿠키 내에 저장된다.
③ 甲이 웹 브라우저에 표시된 메뉴 중 ‘요금명세서 보기’를 선택하면 웹 브라우저는 甲의 요금명세서 표시 화면을 웹 서버에 요청한다. 누구의 정보를 요청하는지는 ‘서비스계약번호’에 의해 결정된다. 이 단계에서 서비스계약번호 항목이 甲의 것으로 채워져 있는데, 甲은 웹 브라우저의 요청 메시지가 웹 서버에 전송되기 전에 자신의 PC에 있는 파로스 프로그램을 이용해서 전송을 멈추고 웹 브라우저의 요청 메시지 중 甲의 서비스계약번호를 임의의 9자리 숫자로 변경한 후 전송버튼을 누른다. 이후 위 정보는 웹 서버, 웹 애플리케이션 서버, ESB 서버, DB 서버 순으로 전달된다.
④ 제1홈페이지의 DB 서버는 데이터베이스 조회 명령을 통해 ‘바뀐 서비스계약번호’의 요금정보 데이터를 추출하여 전달받은 서버의 역순으로 사용자 PC에 송신한다. 甲은 바뀐 서비스계약번호에 해당하는 사용자의 요금정보와 웹 서버가 웹 브로우저에 송신해 준 ‘고객의 이름, 주민등록번호, 주소, 서비스가입정보 등’을 파로스 프로그램을 통해 수집한다.
⑵ 제2유형의 해킹사고 발생
乙(해커)은 원고의 고객 포인트 조회용 홈페이지(이하 ‘제2홈페이지’라고 한다)를 통하여 네트워크 모니터링에 의해 획득한 URL5) 접속 방식으로 총 2,753회 접속하여 83,246건의 개인정보를 유출하였다(이하 ‘이 사건 해킹사고 중 제2유형’이라고 한다). 그 자세한 과정은 아래와 같다.
① 乙은 원고의 상담사가 사용하는 PC에 네트워크 모니터링 도구를 설치한다.
② 乙이 설치한 모니터링 도구가 실행된 상태에서, 상담사는 N-STEP 포털에 접속하여 정상적인 계정으로 로그온한 후 N-STEP UI6) 프로그램의 메뉴를 이용하여 일상적인 휴대전화 고객 처리 업무를 진행한다. 그 과정에서 乙은 모니터링 도구에 기록된 내용을 통해 N-STEP 프로그램 내에서 ‘고객의 별 포인트 조회’ 기능을 선택하는 경우 사용되는 URL을 획득한다.
③ 乙은 일반 공중망 인터넷에 위치한 PC에서 위 URL로 접속하여 정상적인 상담사와 마찬가지로 ‘고객의 별 포인트 조회’ 화면에서 임의의 전화번호를 입력하여 원고의 DB 서버로부터 검색결과를 회신 받는다.
⑶ 피고의 과징금 부과처분
피고는 2014. 6. 26. 이 사건 해킹사고(제1유형과 제2유형 모두)와 관련하여 원고가 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2014. 5. 28. 법률 제12681호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라고 한다) 제28조 제1항 제2호, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제15조, 구 개인정보의 기술적․관리적 보호조치 기준 (2015. 5. 19. 방송통신위원회고시 제2015-3호로 개정되기 전의 것, 이하 ‘이 사건 고시’라고 한다) 제4조 제2항, 제5항, 제9항을 위반하였다고 보아, 구 정보통신망법 제64조의3 제1항 제6호에 따라 과징금 7,000만 원을 부과하였다(이하 ‘이 사건 처분’이라고 한다).
⑷ 관계 법령
* 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2014. 5. 28. 법률 제12681호로 개정되기 전의 것) 제28조(개인정보의 보호조치), 제64조의3(과징금의 부과 등)
* 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것) 제15조(개인정보의 보호조치)
* 구 개인정보의 기술적ㆍ관리적 보호조치 기준(2015. 5. 19. 방송통신위원회고시 제2015-3호로 개정되기 전의 것) 제4조(접근통제)
나. 원심과 대법원의 판단
⑴ 피고는 이 사건 해킹사고 중 제1유형과 제2유형에 관한 원고의 이 사건 고시 위반사유를 각각 특정한 다음 그 위반행위의 내용, 피해규모 등을 고려하여 구 정보통신망법 제64조의3 제1항 제6호를 근거로 원고에게 과징금을 부과하였고, 원심은 위 위반사유의 대부분을 존재하지 않는다고 보면서 일부 인정되는 위반사유만으로는 이 사건 처분이 재량권을 일탈․남용하였다고 보아 이 사건 처분 전체를 취소하였다.
⑵ 대법원은 이 사건 해킹사고 중 제1유형과 관련하여 이 사건 고시 제4조 제9항의 적용 범위, 개인정보처리시스템의 범위, 원고의 이 사건 고시 제4조 제9항 위반 여부 등에 대해서는 구체적으로 판단하면서, 이 사건 해킹사고 중 제2유형 및 재량권 일탈․남용과 관련한 원심판단에 대해서는 이를 수긍하는 취지로 판시하였다.
3. 이 사건 고시 제4조 제9항의 의미 [이하 대법원판례해설 제130호, 송종환 P.72-95 참조]
가. 제4조 제9항의 성격
⑴ 구 정보통신망법 제28조 제1항 각호는 정보통신서비스 제공자가 개인정보의 분실, 도난, 누출, 변조 또는 훼손을 방지하기 위하여 취하여야 하는 기술적․관리적 조치를 규정하면서 구체적인 기준을 대통령령에 위임하고 있다. 또한 그에 따른 구 정보통신망법 시행령 제15조 제1항 내지 제5항은 보다 구체적인 기준을 제시하면서 같은 조 제6항에서 이보다 더 구체적인 기준을 마련할 것을 고시로 위임하고 있다. 이러한 위임․재위임에 따라 마련된 기준이 이 사건 고시이다.
⑵ 따라서 이 사건 고시는 상위법령의 위임에 따라 마련된 ‘기술적․관리적 보호조치의 기준’의 일부로 상위법령과 결합하여 대외적으로 구속력 있는 법령보충적 행정규칙으로 볼 수 있고, 결국 이 사건 고시의 개별 조항 위반행위 하나하나가 구 정보통신망법 제64조의3 제1항 제6호의 과징금 부과 처분사유에 해당한다.
이 사건 고시 제4조 제9항은 ‘개인정보를 공개․유출되지 않도록 조치를 취하여야 한다.’는 다소 추상적․포괄적인 내용으로 행위의무를 정하고 있다. 그렇다고 하여 위 규정의 법규명령적인 성격이 변경된다고 볼 수는 없다.
⑶ 개인정보가 공개․유출된 사실만으로 위 규정 위반에 해당한다고 볼 경우, 위 규정을 무과실․결과책임으로 다루게 되어 행위의무를 규정한 고시의 체계와 맞지 않게 되므로, 위 규정을 이 사건 고시의 다른 조항과 마찬가지로 제재처분사유로 삼기 위해서는 개인정보 공개․유출과 관련한 일정한 행위를 의무 위반행위로 제한․특정할 필요가 있다.
⑷ 결론적으로 이 사건 고시 제4조 제9항 역시 같은 조 제1항 내지 제8항과 마찬가지로 구 정보통신망법 제64조의3 제1항 제6호의 처분사유 내지 처분근거로 적용될 수 있다.
나. 이 사건 고시 제4조 제9항의 적용 범위
⑴ 이 사건 고시 제4조 제9항은 ‘공개’, ‘유출’을 방지하도록 규정하고 있는데, ‘공개’, ‘유출’의 원인 내지 요인에 대해서는 어떠한 내용도 규정되어 있지 않다. 이에 대해 정보통신서비스 제공자 측의 내부적 요인만을 제재사유로 삼아야 할 것인지, 아니면 해킹과 같은 외부적 요인도 포함하는 것으로 볼 것인지에 관하여 ① 제1설(외부적 요인 포함)과 ② 제2설(내부적 요인 국한)이 대립한다.
⑵ 제1설이 타당하다.
다. 개인정보처리시스템의 범위에는 웹 서버가 포함되는지 여부
⑴ 이 사건 고시 제4조 제9항에서 조치를 취하여야 하는 대상을 ‘개인정보처리시스템’으로 적시하고 있다. 구 정보통신망법 시행령 제15조 제2항 제1호, 이 사건 고시 제2조 제4호에서는 개인정보처리시스템을 “개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템”이라고 동일하게 정의하고 있다. 이 사건에서의 해킹은 웹 서버를 통해서 이루어졌다. 이에 위 각 규정에서의 ‘개인정보처리시스템’에 ‘웹 서버’가 포함되는지가 쟁점 중 하나다.
이에 관하여는 ① 제1설(웹 서버 포함)과 ② 제2설(웹 서버 불포함)이 대립한다.
⑵ 제1설이 타당하다. 데이터베이스시스템과 연동되어 시스템으로서 일체를 이루고 있는 웹 서버의 형태는 오늘날 일반적인 모습으로, 웹 서버가 해킹될 경우 이와 연동된 데이터베이스에 저장된 고객정보는 곧바로 유출됨을 의미하므로, ‘데이터베이스와 연동된 웹 서버’의 보호 필요성 측면에서 보더라도 이를 개인정보처리시스템에 포함시키는 것은 당연하다.
라. 이 사건 고시 제4조 제9항의 조치의무 이행 여부
⑴ 판례의 태도
이 사건 고시 제4조 제9항은 다른 고시 조항과는 달리 추상적․포괄적으로 규정되어 있어 이를 그대로 처분제재사유로 삼을 경우 개인정보가 유출된 결과만으로 행정제재가 가능하다고 여겨질 가능성이 크다. 이에 우선적으로 수범자의 입장에서 다소 예측이 어려운 추상적․포괄적인 이 사건 고시 제4조 제9항을 제재사유로 삼기 위해서는 이를 예측 가능한 범위로 특정하여 해석할 필요가 있다. 다소 추상적으로 규정되어 있는 규정이라고 행정제재사유가 될 수 있다고 본 판례로는 대법원 2016. 7. 22. 선고 2014두42643 판결이 있다.
대상판결 이전에 이 사건 고시 제4조 제9항을 행정제재사유로 삼은 대법원 판례는 존재하지 않았다. 대법원 2015. 2. 12. 선고 2013다43994, 44003 판결은 고시에서 정한 보호조치를 모두 다하였다고 하더라도, 사회통념상 기대 가능한 보호조치를 다하지 아니한 경우에도 위법하다고 보아 ‘사회통념상 기대 가능한 보호조치’를 ‘고시에서 정한 보호조치’와는 별개로 민사상의 주의의무로 인정한 것이다.
⑵ 검토
이 사건에서 과연 원고가 이 사건 고시 제4조 제9항에서 정한 보호조치의무를 제대로 이행하였는지에 관하여 ① 제1설(보호조치의무 위반 해당함)과 ② 제2설(보호조치의무 위반 불해당)이 대립한다.
2설이 타당하다. 그 이유는 다음과 같다.
① 피고가 주장하는 조치들은 사후 과잉 확신 편향(hindsight bias)에 기초한 당위론에 불과하다. 피고의 주장이 실현되면 당연히 좋은 조치들이나, 이 사건 고시 제4조 제9항에서 요구하는 조치라고 보기 어렵고, 실질적으로 행하여지기 어려운 결과론에 입각한 것이다.
② 규모가 큰 홈페이지는 수많은 파라미터들을 전달하므로, 모든 파라미터들의 취약점을 완벽히 찾아내는 것은 현실적으로 불가능하다.
4. 대상판결의 내용분석 [이하 대법원판례해설 제130호, 송종환 P.72-95 참조]
⑴ 이 사건 고시 제4조 제9항은 정보통신서비스 제공자 등의 내부적인 부주의로 인하여 개인정보가 외부로 유출되는 사고뿐만 아니라 정보통신서비스 제공자 등이 기술적 보호조치를 충분히 다하지 못하여 해킹과 같이 외부로부터의 불법적인 접근에 의해 개인정보가 외부로 유출되는 사고를 방지하기 위한 목적에서 마련되었고, 정보통신법령에서 말하는 ‘개인정보처리시스템’에는 데이터베이스와 연동되어 개인정보의 처리 과정에 관여하는 웹 서버 등이 포함된다.
⑵ 그렇지만 이 사건 해킹사고 중 제1유형과 관련하여 원고가 이 사건 고시 제4조 제9항을 위반하였다고는 단정하기 어렵다. 원심이 이 사건 고시의 적용 범위 및 개인정보처리시스템의 범위에 관해서는 다소 부적절하게 설시하기는 하였으나, 위 제1유형과 관련하여 이 사건 고시 제4조 제9항에 따른 보호조치의무를 위반하지 않았다고 본 것은 그 결론에 있어 정당한 것으로 수긍할 수 있다.
⑶ 대상판결은 해킹사고와 관련한 행정제재와 관련한 이 사건 고시 제4조 제9항에서의 정보통신서비스 제공자 등의 의무조치를 ‘정보통신서비스 제공자 등이 취급 중인 개인정보가 인터넷 홈페이지 등에 대한 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 취하여야 할 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치’로 해석하면서 그에 관한 구체적인 고려 요소를 밝히고 있다. 아울러 대상판결은 이 사건 고시의 적용 범위와 개인정보처리시스템의 범위를 명확하게 판시하였다.
