해킹사고시개인정보처리자의과실판단기준 Criteria for Negligence of Personal Information Controller in Hacking Incidents 구태언 테크앤로법률사무소대표변호사
개인정보처리자는 피해자인가가해자인가
지자체홈피에도개인정보 줄줄 샌다. 선거인명색인부 나돌아
사건내용주요쟁점판단결론 N 게임사 과실로인한개인정보파일생성 개인정보 누출 의의의 제 3 자가지득할수있는상태에두는것은 누출 에해당 1 인당 10 만원 L 전자인터넷사이트페이지노출주의의무의내용 당시의기술수준에상당한보안조치의무 1 인당 30 만원 K 은행이메일첨부파일오전송손해배상범위참작사유신속한사후조치등은감경사유 1 인당 10 만원또는 3 만원 D 포털 프로그램버그로인한정보노출 개인정보보호의무의내용 버그로인한것으로, 개인정보보호의무위반이아님 원고청구기각 G 정유사 내부직원에의한유출 정신적손해발생여부의판단기준 개인정보의종류, 성격, 식별 유출가능성등종합적고려 원고청구기각 A 쇼핑몰 해킹에의한개인정보유출 해킹에의한손해배상책임발생여부의판단기준 선량한관리자로서취해야할기술적 관리적조치의무를위반함으로써해킹사고를막지못한경우여야함 기술적관리적조치의무를이행함 원고청구기각 (2 심계속중 ) S 인터넷회사 정보주체의동의없는개인정보제공 개인정보취급위탁등의경우취하여야할절차 정보주체가인식가능하도록고지및정보주체의개별동의등 1 인당 20 만원또는 10 만원 S 사 N 포털 고도의수법에의한해킹 두법원제 1 심의판단이엇갈림 원고청구기각 (1 차판결 ) 원고청구인용 (2 차판결 )
일시 관련기업 누출규모 ( 총인원 ) 1 2009. 1. 20. Heartland Payment Systems 130,000,000 2 2007. 1. 17. TJX(TJ Max, Marshall 등 ) 100,000,000 3 2010. 1. 1. Netflix 100,000,000 4 2009. 10. 2. U.S. Military Veterans 76,000,000 5 2005. 6. 16. CardSystems 40,000,000 6 2006. 5. 22. U.S. Department of Veterans Affairs 26,500,000 7 2012. 1. 15. Zappos.com 24,000,000 8 2011. 4. 11. Word Press 18,000,000 9 2008. 8. 2. Countrywide Financial Corp. 17,000,000 출처 : Privacy Rights Clearinghouse(2012.7.) - 유지연, 미국개인정보보호동향 에서재인용
분야 2008 2009 2010 2011 금융 78(12) 57(11.4) 54(8.1) 28(6.7) 비즈니스 240(36) 208(42.8) 279(42.1) 198(47.3) 교육 131(20) 78(15.7) 65(9.9) 59(14.1) 정부 / 군 110(17) 90(18.1) 104(15.7) 48(11.5) 의료 97(15) 65(13.1) 160(24.1) 86(20.5) 합계 656(100) 498(100) 662(100) 419(100) 단위 : 건 (%) 출처 : 미신원도용자원센터 (ITRC), 2012. 1. - 유지연, 미국개인정보보호동향 에서재인용
손해배상청구 개인정보처리자 해킹사고 해킹 & 개인정보유출 정보주체 손해배상청구 X 해커
정보주체 개인정보처리자 해커는어디에???
불법행위자인해커는어디에???
해킹사고가발생하면개인정보처리자 가모든책임을떠안아야하는가? 과실판단기준의정립필요
불법행위에기한 손해배상청구일반
고의또는과실로인한위법행위로타인에게손해를가한자는그손해를배상할책임이있다. 민법상공작물 ( 工作物 ) 의점유자 소유자의책임 (758조), 제조물책임 ( 제조물책임법제3조내지제7조 ), 공공시설의설치 관리의하자로인한국가배상 ( 국가배상법제5조 ), 원자력손해배상 ( 원자력손해배상법제3조 ) 등
자기책임의원칙이라고도함. 자신의주의의무위반의결과에대해서만책임을지고그밖의손해에대해서는책임을질필요가없다는것 채무불이행책임 ( 민법제390조 ) 이나불법행위책임 (750조) 등에서고의 과실을요건으로하고있는것이바로과실책임주의의표현 자본주의의고도화, 공해산업등인과관계등을명확히밝히기힘든유형의소송증가 위험책임, 결과책임등의이론에의한무과실책임대두 민법상공작물의점유자 소유자의책임 (758조) 등 개인정보보호법제 39 조 정보통신망법제 32 조 신용정보법제 43 조 어떤성질??
1 2 정보주체는개인정보처리자가이법을위반한행위로손해를입으면개인정보처리자에게손해배상을청구할수있다. 이경우그개인정보처리자는고의또는과실이없음을입증하지아니하면책임을면할수없다. 개인정보처리자가이법에따른의무를준수하고상당한주의와감독을게을리하지아니한경우에는개인정보의분실 도난 유출 변조또는훼손으로인한손해배상책임을감경받을수있다. - 제1항제1문 : 민법제750조의특칙 과실책임주의유지 - 제1항제2문 : 입증책임의전환 - 제2항의성격에관한비판있음 법에따른의무를준수하고상당한주의와감독을했음에도배상책임이있다? 정보통신망법이나신용정보법에없는내용
제32조 ( 손해배상 ) 이용자는정보통신서비스제공자등이이장의규정을위반한행위로손해를입으면그정보통신서비스제공자등에게손해배상을청구할수있다. 이경우해당정보통신서비스제공자등은고의또는과실이없음을입증하지아니하면책임을면할수없다. 제43조 ( 손해배상의책임 ) 1 신용정보회사등과그밖의신용정보이용자가이법을위반하여신용정보주체에게피해를입힌경우에는해당신용정보주체에대하여손해배상의책임을진다. 다만, 신용정보회사등과그밖의신용정보이용자가고의또는과실이없음을증명한경우에는그러하지아니하다. 개인정보보호법제 39 조제 1 항제 2 문과같은규정은있으나, 제 2 항과같은규정은없음
개인정보처리자의 과실유무판단기준일반
유출하면과실있다!?
개인정보처리자의고의또는과실의제 ( 간주 ) 하는것아님 제 39 조제 1 항제 2 문 ( 입증책임의전환규정 ) 과제 2 항의반대해석상과실책임주의 유지 기준을너무낮게설정하거나법이허용하는한도를넘을경우 사실상 무과실책임 ( 결과책임 ) 으로흐를위험성있음 법원은법이설정한기준등을존중할필요있음
법원은시행규칙과고시에구속되지않고스스로판단 개인정보보호법, 정보통신망법상보호조치와같이절차적 기술적요소가강한영역에서도이러한입장이타당한가?
대법원은건축법등공법상기준을설정하고있는직접적인단속법규는위법성판단에있어서최소한도의기준으로봄이상당하다는입장 ( 대법원 2004. 9. 13. 선고 2003다64602 등 ) 개인정보보호법등개인정보보호에관한법령들은달리볼필요있음 ( 계속 )
인터넷보안강화를법적으로강제하는것은인터넷에일종의간접세를부과하는 것과마찬가지 (Lichtenbaum&Schneck, 권영준, 저스티스 132 호, 52 면재인용 ) 은행의예금청구자신원확인의무의정도에관하여통상적인조사를뛰어넘는업무 상주의의무는부담하지않는다.
제 29 조 ( 안전조치의무 ) 개인정보처리자는개인정보가분실 도난 유출 변조또는 훼손되지아니하도록내부관리계획수립, 접속기록보관등대통령령으로정하는 바에따라안전성확보에필요한기술적 관리적및물리적조치를하여야한다. 개인정보보호법시행령제30조제1항 1 내부관리계획의수립 시행 2 접근통제및접근권한의제한조치 3 암호화기술의적용또는이에상응하는조치 4 접속기록의보관및위조 변조방지를위한조치 5 보안프로그램의설치및갱신 6 보관시설의마련또는잠금장치의설치등물리적조치안전성확보조치에관한세부기준은안전행정부장관이정하여고시 기술적관리적조치의무조치의무물리적조치의무
제3조 제4조 ( 접근권한의관리 ) 제5조 ( 비밀번호관리 ) 제6조 ( 접근통제시스템설치및운영 ) 제7조 ( 개인정보의암호화 ) 제8조 ( 접속기록의보관및위 변조방지 ) 제9조 ( 보안프로그램설치및운영 ) 제10조 - 고시의경우에는통상적으로규범성이없으나, 이와같이기술적, 전문적인사항에관하여법령의위임에따라제정된고시의경우에는상위규범인법률및시행령과 결합 하여 법규성 을가진다는이론 - 따라서법원은이러한고시를과실판단의기준으로삼아야함
제 3 조 ( 내부관리계획의수립 시행 ) 제 4 조내지제 9 조 ( 기술적조치의성격 ) 제 10 조 ( 물리적접근방지 ) 대기업의경우개인정보의대규모유출사고빈번한발생, 집단소송의제기, 정부 의강력한감독등으로인하여기술적조치는상당부분이행하고있음 관리적조치불이행또는불충분한이행이과실의근거가되고있음
제 34 조 ( 개인정보유출통지등 ) 1 개인정보처리자는개인정보가유출되었음을알 게되었을때에는지체없이해당정보주체에게다음각호의사실을알려야한다. 에버노트이용자의개인정보유출사고의경우, 개인정보처리자가즉시유출 사실을통지하고아이디와비밀번호등을변경할것을공지
결과를알리기전에는성공과실패를거의예상하지못한문제에관해사람들에게 결과를알려주고나서성공가능성이얼마였을것같다고생각했는지추정하게하 면마치미리알고있었던것처럼아주높다고반응한것 그사이에수사를통해해킹방법이나경로가밝혀지거나기술이발달하여그러한 침해를쉽게막을수있는것처럼오인할수있음 그결과과실이쉽게인정될가능성이높으므로이에대한대비가필요
법원의과실유무 판단경향분석
1. 관련법령이요구하고있는기술적, 관리적보안조치의내용 2. 5. 3. 4. 해킹당시취하고있던보안조치의내용 해킹방지기술의발전정도해킹방지기술도입을위한경제적 해커가사용한기술의수준비용및효용 6. 이용자가입게되는피해의정도
중국에거주하는것으로추정되는인적사항을알수없는해커는공개용알집이광고콘텐츠서버로부터광고내용을불러와서이를실행하는역할을하는 ALAD.dll 과동일한이름의악성프로그램인 ALAD.dll 파일을제작 피고 SK컴즈 DB기술팀직원의컴퓨터에윈도우예약작업을이용하여, 이사건해커가미리설정해놓은임의의도메인인 nateon.duamlive.com 에역접속을시도하는기능을가진악성프로그램인 nateon.exe 를유포한다음, 이를이용하여중국내불상지에서자신의컴퓨터로 SK 컴즈 DB기술팀직원의컴퓨터에원격접속하여피고 SK컴즈정보통신망에침입하여회원정보를유출
이사건해킹사고로인해네이트또는싸이월드의회원중약 3,500만명의개인정보가유출되었고, 피고 SK컴즈는사건직후이사건해킹사고를경찰과방송통신위원회에신고하였고, 네이트와싸이월드회원들에게위해킹사고로인한개인정보유출사실을공지 이후경찰은경찰은이사건해커에대해서만기소중지의견으로검찰에사건을송치한바있으나, 이사건의피해자인김경환등은손해배상책임이있음을주장하면서, SK 컴즈, 주식회사이스트소프트, 시만텍코리아주식회사, 주식회사안랩을상대로본판결손해배상소송을제기
개인정보 (FTP) 이스트소프트업데이트서버 경유지 3 ( 에듀티에스 ) 타겟 DB 일반이용자 경유지 2 (inexon.soft(s)forum.org) 타겟 IP 대역 타겟방화벽 경유지 1 (nateon.duamlive.com)
기업용프로그램을사용하였다면해킹이방지되었을것 이라는점이인정되지않으면인과관계없음 주의의무위반과실주장
주의의무위반과실주장
재판부 : 모니터링기준이지나치게완화되어있었다고판시
DB 서버에대용량의트래픽이발생한것이탐지되어이를차단하는것이라면이미개인정보가유출되고있는상황이라는것을의미 유출방지를위해서는이와관련된 명령을차단 하여야하나, 이는 DB 서버에도달하는모든자료요청명령의적법성을판단하라는것으로써비용의발생과서비스속도의저하 주민등록번호등은법령상 암호화 되어있어모니터링을하더라도내용파악불가 어떤수준의 DLP 를도입하여야하는지등에대한법적인기준이없음 대상판결의논리에따르면개인정보가유출되면충분한모니터링의무를이행하지않은것이되어 유출되면책임있다 는식의결과책임주의로귀결될수있음
재판부 : 공개용알집프로그램을사용하여유출가능성높였다고판시
악성 ALAD.dll은해커가사용한다양한공격 Vector 중하나일가능성높음 기업용알집을사용하였더라도유출을막을수없었을것이고, 외부와의연결이잦다는것은이사건과인과관계가없는사실관계일뿐이며, 외부와의연결이잦다고하여보안상더취약한프로그램이라단정할수없음 수많은어플리케이션에 DLL을모두감시하라는것은불가능함 세계최고의보안회사도발견하지못한악성코드를 SK컴즈로하여금발견하라는주의의무를부과한것으로, 사실상불가능한것을요구하는것임
재판부 : 내부규정, 방통위고시등을근거로주의의무위반인정
FTP가보안상취약하다고여겨지는부분은파일송 / 수신기능이아닌암호화되지않은전송프로토콜이라는데에초점 따라서 FTP 의보안상취약점과본건파일송 / 수신과는무관함 SK 컴즈내부지침 FTP 서비스를제공하지않는다 는의미 FTP 서버로서임의의원격지로부터의 FTP 요청 (request) 에응답하는기능 을사용하지않는것이고 FTP 클라이언트로서의기능 을의미하는것은아님 알려진 FTP 를차단한다고하더라도이는다른방식을사용하여우회가능 이러한 FTP를모두차단하라는것은인터넷이되지않는먹통 PC를만들라는것과다름없음
재판부 : 로그아웃을하지않고, Idle Time 이나 Connect Time 도설정하지않은 주의의무위반인정
로그아웃을하지않고, Idle Time 이나 Connect Time 도설정하지않은주의의무 위반인정 고시에는접근통제에관한규정만있고, 로그아웃에관한규정이없음 엄격한보안조치가구축된기업내부망에서업무를하는것이라는점간과 ( 같은논리에따르면, 법원의판결조회시스템에자신의업무용 PC로로그인하여업무를보다가로그아웃을하지않은채퇴근한판사는역시불법행위를하는것임 ) 로그인중에백그라운드에서작업을하는것과의차이가없으므로이는인과관계가없음
고시에는접근통제에관한규정만있고, 로그아웃에관한규정이없음 엄격한보안조치가구축된기업내부망에서업무를하는것이라는점간과 법원의판결조회시스템에자신의업무용 PC로로그인하여업무를보다가로그아웃을하지않은채퇴근한판사는? 로그인중에백그라운드에서작업을하는것과의차이가없으므로이는인과관계가없음
과실판단기준 완화의영향
막대한비용이필요한 DLP 시스템도입을강제할경우, 초기비용을부담할수없 는벤처기업등새로운 ICT 기업들이시장에진입하는것을막는부작용을가져올 수있음
따라서고시역시상위법령과결합하여법규성을가진다고보아야함 개인정보보호법이나정보통신망법과동법시행령, 고시는개인정보보호의필요성과보호조치에수반되는인적, 물적, 금전적부담을종합적으로고려하여수범자가부담하는의무를매우상세히규정하고있으므로, 건축법등과같이단순히최소한의기준을정하고있는것으로볼수없음 법원은이러한점을고려하여주의의무위반여부를판단해야함
사실상입법을하는것과같은결과를초래
결론
개인정보보호법령과고시는의무와기준을매우상세히규정 입법적, 행정적결단의산물 따라서수범자의과실유무 ( 주의의무위반여부 ) 는법령과고시에서요구하는의무를위반하였는지여부를기준으로함이원칙임 법령, 고시요구사항 개인정보의안전한보호 개인정보처리자의예측가능성확보
법원이 해석 을통해수범자의의무를 확장 할경우 법적안정성을해하고, 기존 ICT 업체에부담이됨은물론, 신생기업의시장진입 을막는부작용이발생할것
감사합니다 구태언 테크앤로법률사무소대표변호사