웹 서버도 개인정보처리시스템에 포함될까? 개인정보 보호의 범위에 대한 고찰

KT는 자사 홈페이지(○○○○)에서 발생한 대규모 개인정보 유출 사건으로 방송통신위원회(현 개인정보보호위원회)로부터 과징금 처분을 받았습니다. 이에 KT는 처분이 부당하다며 소송을 제기했고, 대법원까지 가는 공방 끝에 승소했습니다. 이 사건은 개인정보 보호의무 범위에 대한 중요한 판단 기준을 제시했다는 점에서 큰 의미가 있습니다.

사건의 개요

해커는 파로스 프로그램을 이용하여 ○○○○ 홈페이지의 '요금명세서 보기' 기능에서 서비스계약번호를 조작하는 방식으로 1천만 건이 넘는 개인정보를 유출했습니다. 이는 웹 서버가 변조된 서비스계약번호에 대한 검증 없이 데이터베이스에서 정보를 가져와 표시했기 때문에 가능했습니다. KT는 웹 보안 취약점 점검 도구를 사용하고 모의해킹을 실시하는 등 나름의 보안 조치를 취했지만, 이러한 해킹을 막지는 못했습니다.

쟁점

이 사건의 핵심 쟁점은 다음 두 가지였습니다.

1. 웹 서버와 같은 시스템이 '개인정보처리시스템'에 포함되는지 여부
2. 정보통신서비스 제공자가 개인정보 보호를 위해 어떤 수준의 보호조치를 취해야 하는지 여부

대법원의 판단

대법원은 다음과 같이 판단했습니다.

1. 웹 서버도 개인정보처리시스템에 포함된다. 구 정보통신망법 시행령 제15조 제2항, 제6항 및 이 사건 고시(구 개인정보의 기술적ㆍ관리적 보호조치 기준) 제2조 제4호, 제4조 제9항을 종합적으로 해석할 때, '개인정보처리시스템'은 단순히 데이터베이스(DB)만을 의미하는 것이 아니라, DB와 연동되어 개인정보 처리 과정에 관여하는 웹 서버 등도 포함합니다. 즉, 개인정보의 생성, 기록, 저장, 검색, 이용 등 데이터베이스 시스템(DBS) 전체를 의미합니다.

2. 정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 취해야 한다. 이 사건 고시 제4조 제9항은 해킹 등 침해사고로부터 개인정보를 보호하기 위해 정보통신서비스 제공자가 취해야 할 기술적 보호조치를 규정하고 있습니다. 이러한 보호조치 의무를 다했는지는 당시 정보보안 기술 수준, 회사 규모, 취해진 보안대책, 해킹 기술의 수준, 피해 규모 등을 종합적으로 고려하여 판단해야 합니다.

이 사건에서 KT는 당시 기술 수준에 비추어 사회통념상 합리적으로 기대 가능한 수준의 보안 조치를 취했다고 인정되었습니다. 대법원은 파라미터 변조와 같은 해킹을 완벽하게 막는 것이 당시 기술로는 어렵고, 사후 조치가 쉽다는 이유만으로 과실을 인정할 수 없다고 판단했습니다.

관련 법조항 및 판례

• 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2014. 5. 28. 법률 제12681호로 개정되기 전의 것) 제28조 제1항 제2호
• 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것) 제15조 제2항, 제6항
• 구 개인정보의 기술적ㆍ관리적 보호조치 기준(2015. 5. 19. 방송통신위원회 고시 제2015-3호로 개정되기 전의 것) 제2조 제4호, 제4조 제5항, 제9항

시사점

이 판결은 개인정보 보호의 주체인 기업에게 현실적인 수준의 보안 조치 의무를 요구하고, 무조건적인 결과 책임을 묻지 않는다는 기준을 제시했다는 점에서 의의가 있습니다. 하지만 기업은 끊임없이 변화하는 해킹 기술에 대비하여 최선의 노력을 다해야 할 것입니다.