개인정보 보호, 어디까지 해야 할까? - DB 연동 프로그램과 해킹 방지 의무

개인정보 보호는 디지털 시대의 중요한 화두입니다. 기업들은 개인정보를 어떻게 보호해야 할까요? 이번 포스팅에서는 개인정보 보호에 대한 기업의 의무 범위를 다룬 중요한 판결을 소개합니다. 이스트소프트와 개인정보보호위원회 간의 분쟁을 통해, 데이터베이스(DB)와 연동된 프로그램도 보호 대상인지, 그리고 해킹과 같은 외부 침입까지 막아야 하는지에 대한 법원의 판단을 살펴보겠습니다.

1. DB 연동 프로그램, 개인정보처리시스템에 포함될까?

이스트소프트는 '알툴즈(알툴바)'라는 프로그램을 제공했습니다. 이 프로그램은 사용자의 개인정보가 저장된 DB와 연결되어, 사용자가 프로그램을 통해 개인정보에 접근할 수 있도록 설계되었습니다. 개인정보보호위원회는 이 프로그램이 '개인정보처리시스템'에 해당하므로, 보호조치를 취해야 한다고 주장했습니다.

법원은 '개인정보처리시스템'이란 개인정보 처리 과정 전체를 의미하며, DB와 연동되어 개인정보 처리에 관여하는 응용프로그램도 포함된다고 판결했습니다. 즉, 알툴즈처럼 DB와 연결되어 개인정보 접근을 가능하게 하는 프로그램도 보호 대상이라는 것입니다. 이는 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2018. 9. 18. 법률 제15751호로 개정되기 전) 제28조 제1항 제2호, 시행령 제15조 제2항, 그리고 구 개인정보의 기술적·관리적 보호조치 기준(2020. 1. 2. 방송통신위원회 고시 제2019-13호로 개정되기 전) 제2조 제4호 등에서 '개인정보처리시스템'을 '개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템'으로 정의하고 있는 점을 근거로 들었습니다.

2. 해킹 방지, 기업의 의무일까?

개인정보보호위원회는 이스트소프트가 해킹 등 외부 침입으로부터 개인정보를 보호하기 위한 충분한 조치를 취하지 않았다고 주장했습니다. 즉, 단순히 내부 부주의에 의한 유출뿐 아니라 외부의 불법적인 접근까지 차단해야 한다는 것입니다.

법원은 이 주장을 받아들였습니다. 구 개인정보의 기술적·관리적 보호조치 기준 제4조 제9항은 개인정보 유출 방지를 위한 조치를 규정하고 있는데, 이는 내부 부주의뿐 아니라 해킹과 같은 외부의 불법적인 접근에 의한 유출까지 방지하기 위한 의무를 포함한다고 판결했습니다. 이는 위 보호조치 기준을 마련하도록 위임한 구 정보통신망법 제28조 제1항 제2호와 시행령 제15조 제2항 제2호에서 불법적인 접근 차단을 위한 침입차단시스템 설치·운영을 규정하고 있는 점을 고려한 판단입니다. (대법원 2021. 8. 19. 선고 2018두56404 판결 참조)

결론적으로, 이 판결은 기업들에게 개인정보 보호 의무의 범위를 명확히 제시하고 있습니다. 단순히 DB뿐 아니라 DB와 연동된 프로그램까지 보호해야 하며, 내부 부주의뿐 아니라 해킹 등 외부 침입까지 막기 위한 기술적 보호조치를 취해야 한다는 것입니다. 기업들은 이러한 판결 내용을 숙지하고, 더욱 강화된 개인정보 보호 체계를 구축해야 할 것입니다.