서울서부지방법원 제 11 민사부 판 결 사 건 2013가합30752 손해배상 ( 기 ) 원 고 A외 1214명원고들소송대리인법무법인법여울담당변호사김병진 피 고 에스케이커뮤니케이션즈주식회사서울서대문구통일로 87 ( 미근동, 임광빌딩신관 ) 대표이사이한상소송대리인변호사전원

서울서부지방법원 제 11 민사부 판 결 사 건 2013가합30752 손해배상 ( 기 ) 원 고 A외 1214명원고들소송대리인법무법인법여울담당변호사김병진 피 고 에스케이커뮤니케이션즈주식회사서울서대문구통일로 87 ( 미근동, 임광빌딩신관 ) 대표이사이한상소송대리인변호사전원열 변론종결 2014. 3. 6. 판결선고 2014. 4. 17. 주 문 1. 원고들의피고에대한청구를모두기각한다. 2. 소송비용은원고들이부담한다. 청구취지 - 1 -

피고는원고들에게각 300,000 원및각이에대하여이사건소장부본송달일다음날 부터다갚는날까지연 20% 의비율로계산한돈을지급하라. 이 유 1. 기초사실가. 당사자의지위 (1) 피고는인터넷상에서검색, 커뮤니티등을기반으로각종정보를제공하는포털서비스사업을운영하는회사로, 네이트 (NATE), 네이트온 (NateON), 싸이월드 (CYWORLD) 와같은온라인서비스를제공하고있다. (2) 원고들은피고가제공하는네이트와싸이월드의한쪽또는양쪽서비스에가입한사람들로, 그가입당시피고에게아이디 (ID), 비밀번호, 주민등록번호, 성명, 생년월일, 이메일주소, 전화번호, 주소등개인정보를제공하였다. 나. 해킹사고의발생 (1) 중국에거주하는것으로추정될뿐인적사항을알수없는해커 ( 이하 이사건해커 라고한다 ) 는 2011. 7. 21. 00:40경피고 DB기술팀직원인김 * 영의컴퓨터에윈도우예약작업을이용하여, 이사건해커가미리설정해놓은임의의도메인인 nateon.duamlive.com 에역접속을시도하는기능을가진악성프로그램을유포하고, 2011. 7. 26. 부터 2011. 7. 27. 까지중국내불상지에서자신의컴퓨터로김 * 영의컴퓨터 ( 일반직원 PC) 에원격접속하여성명미상의 DB 관리자 PC에침입한후위 DB 관리자 PC를통하여피고정보통신망에침입하였으며, 네이트회원정보가저장되어있는데이터베이스서버, 싸이월드회원정보가저장되어있는데이터베이스서버, 중복저장 - 2 -

회원정보가저장되어있는데이터베이스서버에침입하여위각서버에서처리, 보관하고있는개인정보를아이피주소 211.115.112.36 이할당된컴퓨터인에듀티에스서버 (www.eduts.co.kr) 로전송 ( 이하 이사건해킹사고 라고한다 ) 하였다. (2) 이사건해킹사고를통하여네이트또는싸이월드의회원중 34,954,887명의개인정보가유출되었는데, 유출된개인정보에는아이디, 비밀번호, 주민등록번호, 성명, 생년월일, 이메일주소, 전화번호, 주소가포함되어있고, 가입당시혈액형, 닉네임등을입력한일부회원들의경우위혈액형, 닉네임등도포함되어있다. (3) 피고는 2011. 7. 28. 이사건해킹사고를경찰과방송통신위원회에신고하였고, 네이트와싸이월드회원들에게이사건해킹사고로인한개인정보유출사실을공지하였다. 다. 이사건해킹사고의경위 (1) 경찰은 2011. 7. 28. 이사건해킹사고에대한수사에착수하였는데, 경찰의수사결과에의하면, 이사건해커는다음과같은경로로네이트와싸이월드회원들의개인정보를유출한것으로파악된다. ( 가 ) 소프트웨어개발및제조공급업등을영위하는회사인주식회사이스트소프트 ( 이하 이스트소프트 라고한다 ) 는저장용량을줄이기위해파일을압축하는프로그램인알집중국내공개용의경우기업용등다른알집과달리무료로배포하는대신프로그램실행시프로그램창의일부에광고가게시되도록하여수익을얻고있는데, 이스트소프트는위광고를교체하기위해알집업데이트서버를이용하여알집프로그램에 ALAD.dll이라는파일을전송한다. ( 나 ) 이사건해커는정상적인 ALAD.dll 파일이아닌, 동일한이름의악성프로그 - 3 -

램인 ALAD.dll 파일을만들었고, 이를이스트소프트의알집업데이트를통해국내공개용알집의사용자컴퓨터에설치하기위해다음과같이피고이스트소프트의알집업데이트서버를이용하였다. ( 다 ) 이사건해커는중국내에소재한컴퓨터에경유지를설정하기위한목적으로자신의 Y 드라이브를공유한채, 원격데스크톱연결을하였고, Y 드라이브에저장되어있던 \Y\myxxx\sb\dangqian\stmpxml.dll 파일을알집업데이트서버중하나에최초복사하여알집업데이트웹사이트의 ISAPI 필터 1) 에 stmpxml.dll 파일을등록시켰으며, 이를다시알집업데이트서버중다른 4개의서버에복사하여같은방법으로 ISAPI 필터에 stmpxml.dll 파일을등록하였다. ( 라 ) stmpxml.dll 파일이 ISAPI 필터에등록되면, 피고등선별된 IP 주소에서사용되는컴퓨터가알집업데이트를요청하는경우, 이스트소프트가설정한본래의다운로드경로인 http://aldn.altools.co.kr 이아닌, 이사건해커가설정한악성프로그램유포지인 http://inexon.softsforum.org 에서악성프로그램인 ALAD.dll 파일을다운로드받게된다. 악성프로그램인 ALAD.dll 파일이다운로드되면, 위파일은악성프로그램인 ALAD.exe 파일을생성, 실행시키고, 위프로그램은키로깅 (keylogging) 프로그램인 nateon.exe 프로그램을실행시켜키보드입력값이컴퓨터에파일로저장되게한다. ( 마 ) 2011. 7. 18. 08:58:27경피고의컴퓨터가알집업데이트과정에서 http://inexon.softforum.org 에서악성프로그램인 ALAD.dll 파일을최초로다운로드받았고, 그후 2011. 7. 20. 14:59경피고직원김 * 영의컴퓨터에 nateon.exe 파일이생성되어 2011. 7. 21. 02:02경 nateon.exe에감염되었으며, 2011. 7. 23. 13:09경김 * 1) ISAPI 필터는인터넷정보서버의앞단에위치하면서인터넷정보서버로들어온모든요청에대해가장먼저처리할권한과인터넷정보서버가생성한응답을클라이언트에보내주기전에가공할수있는권한을가진다. - 4 -

영의컴퓨터가 update.exe 파일과 windowsrpc.dll 파일을실행하였다. ( 바 ) 그후 2011. 7. 26. 02:07경이사건해커가사용한컴퓨터가김 * 영의컴퓨터를경유하여게이트웨이서버에이 * 석의 DB 관리자아이디로접속하였다. ( 사 ) 이사건해커는피고의서버에침입하여개인정보를덤프파일로생성하여압축한다음, 이를게이트웨이서버에내려받고, 파일을송수신하는통신규약인 FTP(File Transfer Protocol) 를이용하여위개인정보파일을게이트웨이에서김 * 영또는이 * 석의컴퓨터로내려받은후대한민국내경유지인에듀티에스사이트를경유하여중국으로전송하였다. 그자세한유출경로는다음과같다. 1 네이트회원의개인정보유출경로이사건해커는, 2011. 7. 26. 03:42경 custdb2 컴퓨터에서리눅스 DB백업명령어인 exp 명령으로네이트회원개인정보 DB를 /data/cust.dmp 라는덤프포맷파일로저장하였고, 04:18경 pinfodb 컴퓨터에서서로다른컴퓨터사이에파일을복사하는명령어인 scp 명령으로 custdb2에저장된 /data/cust.dmp 파일을 /BACKUP 경로에내려받았으며, 04:25경 pinfodb 컴퓨터에서 /BACKUP/cus.dmp 파일을 /BACKUP/cus.dmp.bz2 파일로압축하였고, 05:36경 pinfodb에저장된 /BACKUP/cus.dmp.bz2 파일을게이트웨이서버의 C:\temp에내려받았으며, 06:22경김 * 영의컴퓨터에서게이트웨이서버에저장된 C:\temp\cus.dmp.bz2 파일을내려받았고, 06:33경김 * 영의컴퓨터에저장된 cus.dmp.bz2 파일을에듀티에스사이트로전송하였으며, 10:03경에듀티에스사이트에서중국으로 cus.dmp.bz2 파일을전송하였다. 2 싸이월드회원의개인정보유출경로이사건해커는, 2011. 7. 26. 04:37경 custdb1 컴퓨터에서 exp 명령으로싸이 - 5 -

월드회원개인정보 DB를 /data/cymem.dmp 라는덤프포맷파일로저장하였고, 05:08경 pinfodb 컴퓨터에서 scp 명령으로 custdb1에저장된 /data/cymem.dmp 파일을 /BACKUP 경로에내려받았으며, 05:15경 pinfodb 컴퓨터에서 /BACKUP/cymem.dmp 파일을 /BACKUP/cymem.dmp.bz2 파일로압축하였고, 05:36 경 pinfodb에저장된 /BACKUP/cymem.dmp.bz2 파일을게이트웨이서버의 C:\temp 에내려받았으며, 06:21경김 * 영의컴퓨터에서게이트웨이서버에저장된 C:\temp\cymem.dmp.bz2 파일을내려받았고, 06:32경김 * 영의컴퓨터에저장된 cymem.dmp.bz2 파일을에듀티에스사이트로전송하였으며, 09:44경에듀티에스사이트에서중국으로 cymem.dmp.bz2 파일을전송하였다. 3 중복저장회원정보의유출경로이사건해커는, 2011. 7. 26. 04:08경 custdb1 컴퓨터에서 exp 명령으로싸이월드회원개인정보 DB를 /tmp/pits.dmp 라는덤프포맷파일로저장하였고, 04:24경 pinfodb 컴퓨터에서 /tmp/pits.dmp 파일을 /tmp/pits.dmp.bz2 파일로압축하였으며, 05:41경 pinfodb에저장된 /BACKUP/pits.dmp.bz2 파일을게이트웨이서버의 C:\temp에내려받았으며, 2007. 7. 27. 01:13경이 * 석의컴퓨터에서게이트웨이서버에저장된 C:\temp\pits.dmp.bz2 파일을내려받았고, 01:30경이 * 석의컴퓨터에저장된 pits.dmp.bz2 파일을에듀티에스사이트로전송하였으며, 06:30경에듀티에스사이트에서중국으로 pits.dmp.bz2 파일을전송하였다. ( 아 ) 한편, 이사건해커는이사건해킹사고이전에 2010. 7. 7. 경부터 30회에걸쳐이사건해커가설정한도메인에역접속을시도하는기능을가진악성프로그램을유포시켰고, 2010. 9. 14. 경부터 24회에결쳐정당한접근권한없이피고, 이스트소프 - 6 -

트의각정보통신망를비롯한수개의정보통신망에침입하였다. (2) 경찰은 2012. 6. 20. 이사건해커에대해기소중지의견으로서울중앙지방검찰청에사건을송치하였고, 피고의기술적 관리적조치에대해서는관련법령에서정한요건을위반하지않은것으로판단하였다. 라. 관련법령정보통신망이용촉진및정보보호등에관한법률 (2012. 2. 17. 법률제11322호로개정되기전의것, 이하 정보통신망법 이라고한다 ), 정보통신망법시행령 (2011. 8. 29. 대통령령제23104호로개정되기전의것, 이하 정보통신망법시행령 이라고한다 ), 정보통신망법제28조제1항및같은법시행령제15조제6항에따라제정된개인정보의기술적 관리적보호조치기준 (2012. 8. 23. 방송통신위원회고시제2012-50호로개정되기전의것, 이하 이사건고시 라고한다 ) 중이사건과관련된규정은별지 2 관련법령 기재와같다. 인정근거 다툼없는사실, 갑 1, 7, 12, 89호증, 을 29호증 ( 가지번호가있는것은가지번호포함, 이하같다 ) 의각기재, 변론전체의취지 2. 원고의주장피고는정보통신서비스제공자로서정보통신망법및같은법시행령, 이사건고시등에따라네이트또는싸이월드의회원인원고들이회원가입시제공한개인정보를보호할의무가있고, 네이트와싸이월드의서비스이용약관에따라원고들의개인정보를보호하기위한보안시스템을구축하고개인정보를취급함에있어안전성확보에필요한기술및관리적대책을수립 운영할계약상의무가있음에도, 아래와같이이러 - 7 -

한의무를위반하여이사건해킹사고를방지하지못하고그로인하여원고들의개인정보가유출되도록하였으므로, 정보통신망법제32조또는채무불이행책임에따라원고들에게개인정보유출로인한손해를배상할의무가있다. 가. 침입탐지시스템등미비로대용량개인정보의유출을탐지하지못함이사건해커가약 3,500만명회원의개인정보를유출시키는동안대규모데이터전송이발생하였을것이고, 피고가침입탐지시스템및침입방지시스템을제대로설치 운영하고이상징후를실시간모니터링하여피고의개인정보처리시스템에접속한 IP, 트래픽등을분석하였다면개인정보전부에대한복사명령, 전송명령이이루어짐을알수있어개인정보유출을충분히막을수있었을것임에도, 피고는침입탐지시스템등을적절히운영하지못하고개인정보의출력 복사시필요한보호조치를갖추지못한잘못으로이를탐지하거나방지하지못하였다. 나. 피고의직원컴퓨터에서공개용알집을사용피고는그직원들이유료로제공되는국내기업용알집프로그램을사용하도록관리할의무가있음에도그직원들이개인사용자에게무료로제공되는보안장치가갖추어지지않은국내공개용알집프로그램을사용하는것을방치하였는데, 이는저작권법위반행위에해당하고, 국내공개용알집프로그램은자동광고업데이트기능이있어두터운방화벽이존재하더라도방화벽외부에있는파일이더쉽고빠르게방화벽내부로진입할수있는바피고의직원들이자동광고업데이트기능이포함되지않은국내기업용알집프로그램을사용하였더라면이사건해킹사고가발생하지아니하였을것이므로, 피고는그직원들이국내공개용알집프로그램을불법적으로사용하는것을방치함으로써이사건해킹사고를초래하였다. - 8 -

다. FTP 서비스의제공 FTP는파일전송을위한프로토콜로서대량의파일을쉽게송수신하는역할을수행하기때문에일반적으로보안이취약하다. 이러한 FTP 방식프로토콜의취약점때문에피고는내부적으로정한 개인정보보호업무지침서 제26조에서 DB 서버관리자의 PC 에 FTP 방식의프로토콜을설정하지못하도록규정하고있고, 정보통신망법제45조에따라방송통신위원회가 2010. 2. 3. 고시한정보보호조치및안전진단방법 절차 수수료에관한지침 [ 별표1] 의 2.2.8. 에따르면피고는정보통신망의안정성등을확보하기위하여게이트웨이서버에서불필요한 FTP를제거할의무가있음에도, 피고는게이트웨이서버와 DB 서버관리자의 PC에 FTP 방식의프로토콜을설정하였다. 이에따라이사건해커는게이트웨이서버와 DB 서버관리자인김 * 영, 이 * 석의각 PC에설정되어있던 FTP 방식의프로토콜을이용하여 DB 서버로부터개인정보를유출해갈수있었다. 라. 로그아웃을하지않고, 자동로그아웃시간을설정하지않음이사건해킹사고가발생하기전날인 2011. 7. 25. 16:48경부터 17:29경까지 DB 서버관리자가김 * 영의 PC로 DB 서버에로그인하고업무를수행하였는데, 작업이종료된이후에도로그아웃을하지아니하였다. 또한피고는일정시간이상작업을수행하지않으면자동으로로그아웃이되는아이들타임 (idle time) 이나접속가능한최대시간인커넥트타임 (connect time) 을설정하지않았다. 이로인하여이사건해커는 DB 서버에접속하기위한두번째단계의인증, 즉 DB 서버관리자의이메일로전송된일회용비밀번호 (OTP, One Time Password) 를입력하지않고 DB 서버에접속하여개인정보를유출해갈수있었다. - 9 -

마. 개인정보암호화방식관련피고는개인정보를안전한방법으로암호화하여저장하여야하고, 특히비밀번호의경우원래의자료에함수를적용하여얻은결과 ( 이러한결과를 해쉬값 이라고한다 ) 를구하는것은간단하지만해쉬값에서원래의자료를구하는것은어려운특성을가지는일방향해쉬함수를통해암호화하여안정하게저장할의무가있음에도, 피고는보안강도가다른해쉬함수에비해낮아일반적으로권고되지아니하는 MD5 방식을사용하여비밀번호를암호화함으로써위의무를위반하였다. 3. 판단가. 침입탐지시스템등미비로대용량개인정보의유출을탐지하지못하였는지여부개인정보에대한불법적인접근을차단하기위한침입탐지시스템과침입방지시스템및개인정보의출력 복사시필요한보호조치등기술적 관리적보호조치에관하여는정보통신망법제28조제1항제2, 3호, 정보통신망법시행령제15조제2항및이사건고시제4, 5, 8조에서규정하고있다. 그런데, 이러한규정에서정한기술적 관리적보호조치에는개인정보처리시스템에서대량으로유출되는정보를실시간으로모니터링하는보호조치가포함되어있는것으로보기어렵다. 나아가을 5 내지 9호증, 14 내지 18호증의각기재에변론전체의취지를종합하면, 1 피고가작성한개인정보보호업무지침서에서는개인정보관리책임자의허가를얻어개인정보접근권한이부여될수있도록하고 ( 제22조 ), 개인정보접근권한대장과관련기록을작성하여보관하도록규정하면서 ( 제23조 ), 업무특성에따른접근권한부여기준 ( 제24조 ), 접근권한의변경과말소에대한기준 ( 제25조 ), 접근권한프로그램의 - 10 -

보안을위한비밀번호의작성규칙 ( 제26조 ), 개인정보접근로그저장, 로그의보관 관리, 로그에대한확인 감독을통한불법적인접근 사용모니터링 ( 제29조 ) 등에대하여정하고있는사실, 2 피고는개인정보취급자가외부에서개인정보관리시스템에접근하는경우가설사설망 (VPN) 을통해접근하도록하고있는사실, 3 피고는주식회사안철수연구소, 인포섹주식회사등과개인정보시스템에대한침입차단시스템또는침입탐지시스템설치, 유지보수, 증설계약등을체결하여침입차단시스템과침입탐지시스템을설치 운영하고있는사실을인정할수있다. 이에비추어보면, 피고는정보통신망법제28조제1항제2, 3호, 정보통신망법시행령제15조제2항및이사건고시제4, 5, 8조에서정한기술적 관리적보호조치를이행하고있는것으로보이고, 여기에앞서본바와같이이사건해커는이사건해킹사고발생 1년전부터이미해킹을위한도메인을만들어놓고수개의정보통신망에대해오랜기간지속적으로해킹을시도해왔으며, 피고등선별된특정 IP 주소에서사용되는컴퓨터가알집업데이트를요청하는경우에만다운로드경로를변경하도록조작하여그탐지가쉽지않은방법을사용하는등이사건해커가사용한해킹의수법, 해킹방지기술의한계, 해킹방지기술도입을위한경제적비용및그효용의정도등을종합하면, 피고가이사건해킹사고당시대량의정보가유출되는이상징후를감지하지못하였더라도이러한사정만으로는피고가개인정보에대한불법적인접근및유출을차단하기위한침입탐지시스템, 침입방지시스템을적절히운영하지못하고개인정보의출력 복사시필요한보호조치를갖추지못하였다는원고들의주장사실을인정하기에부족하고, 달리이를인정할증거가없다. 따라서원고들의위주장은더나아가살필필요없이이유없다. - 11 -

나. 공개용알집사용으로인한손해배상책임발생여부 (1) 피고가저작권법위반행위로인해손해배상책임을부담하는지에관하여보건대, 피고의직원들이원고들주장과같이저작권법을위반하여국내의개인사용자에게무료로제공되는알집프로그램을사용하였다고하더라도, 피고가원고들에게손해배상책임을지려면위저작권법위반행위와원고들의손해발생사이에상당인과관계가있어야한다. 또한상당인과관계유무를판단함에있어서는결과발생의개연성은물론저작권법의입법목적과보호법익, 저작권법위반행위의태양및피침해이익의성질등을종합적으로고려하여판단하여야할것이다. 이사건에서피고는영리기업임에도, 유료로제공되는국내기업용알집프로그램을구매하여사용하지아니하고피고의직원들이이스트소프트가국내의개인사용자에게무료로제공하는국내공개용알집프로그램을설치하여사용한사실은당사자사이에다툼이없다. 그런데가사피고가국내공개용알집프로그램을사용한것이저작권법위반행위에해당하더라도저작권법의입법취지는저작자의권리를보호하고저작물의공정한이용을도모하고자함에있는것이지, 저작자의권리를침해하는방법으로컴퓨터프로그램저작물을이용하는과정에서제3자의해킹으로인하여개인정보가유출됨으로써손해가발생한경우그손해를입은자들을보호하고자함에있는것은아니라고할것이다. 그렇다면 1 이러한저작권법의목적과보호법익, 그리고피고가사용한국내공개용알집프로그램이불법복제된소프트웨어로는보이지않는점, 2 이사건해커가이스트소프트의업데이트서버를이용하여피고직원의컴퓨터에악성프로그램을설치하도록함으로써원고들의개인정보가유출되었고, 피고가사용한국내공개용알집프로그램자체에악성프로그램이포함되어있던것으로보이지않는점, - 12 -

3 정보통신망법, 정보통신망법시행령, 이사건고시등관련법령에서정보통신서비스제공자등에게요구하는기술적 관리적조치에국내공개용알집프로그램과같이저작자가개인사용자에게만사용할권한을부여한컴퓨터프로그램저작물의사용을금지하거나규제하는내용은포함되어있지않은점등을종합하여보면, 앞에서인정한사실만으로는피고의저작권법위반행위와원고들의주장과같은손해발생사이에상당인과관계가있다고보기에부족하고, 달리이를인정할증거가없다. 따라서원고들의이부분주장은더나아가살필필요없이이유없다. (2) 다음으로피고가국내기업용알집프로그램을사용하였더라면이사건해킹사고를막을수있었는지에관하여살펴본다. 이사건해커는국내공개용알집프로그램이광고업데이트를할때다운로드되는정상적인 ALAD.dll 파일과동일한이름의악성프로그램을만들어해킹에이용한사실, 광고업데이트는무료로제공되는국내공개용알집프로그램에포함된기능으로서, 국내공개용알집프로그램은국내기업용알집프로그램과달리광고업데이트를통하여전송받은파일이수시로로드되거나실행되는사실은앞에서인정한바와같으나, 한편이사건해커는악성프로그램이목표로한컴퓨터에설치되도록하기위해먼저이스트소프트가운영하는알집업데이트웹사이트의 ISAPI 필터에 stmpxml.dll 파일을등록한사실, ISAPI 필터에 stmpxml.dll 파일이등록되면, 피고등선별된 IP 주소에서사용되는컴퓨터가알집업데이트를요청하는경우이스트소프트가설정한본래의다운로드경로가아닌, 이사건해커가설정한악성프로그램유포지에서악성프로그램을다운로드받게되는사실도앞에서인정한바와같다. 여기에위각증거와갑 81, 93호증, 을 30호증의각기재및변론전체의취지를 - 13 -

종합하여알수있는다음과같은사정들, 즉 1 국내기업용알집프로그램에도기능향상이나오류수정등을위한업데이트기능이포함되어있는점, 2 국내공개용알집프로그램과국내기업용알집프로그램은동일한업데이트서버로부터동일한방식과동일한주기로업데이트를하며, 업데이트과정에서국내기업용알집프로그램도업데이트서버로부터국내공개용알집프로그램과동일한 ALAD.dll 파일을다운받는점, 3 이사건해커가만든악성프로그램의파일이름이 ALAD.dll로국내공개용알집프로그램의업데이트과정에서다운로드되는파일과동일하기는하나, 이는정상적인파일과혼동되도록그파일이름을위와같이사용한것으로보이고, 위악성프로그램자체는키로깅프로그램을실행시키도록하는파일인점, 4 피고이스트소프트는 2011. 8. 4. 및 2011. 8. 11. 이사건해커의공격에공개용알집에서사용하는광고업데이트모듈과관련한보안취약점이악용된것이다. 경찰은해당회사가사용중인 IP대역의업데이트정보요청에대해공개용알집업데이트서버가변조된업데이트정보를내려준것으로보고있다. 해당취약점을인지한다음날인 8. 4. 혹시모를추가해킹을예방하기위해보안취약점패치를완료하였다. 아울러이러한유형의사고를원천차단하기위해제품업데이트시업데이트할파일이정상파일인지확인하는무결성검증을강화하고, 전송과정에서의데이터변조를방지하는등기존알약제품에적용되어있는자가보호기능을공개용알툴즈제품에도적용할예정이다 는취지로인터넷공지를하였으나, 이것만으로는공개용알집프로그램에만무결성검증기능이없는등해킹에대한안전성측면에서국내기업용알집프로그램과국내공개용알집프로그램사이에차이가있었다고보기어렵고, 위와같은자가보호기능의흠결을피고의책임을인정하는근거로삼기는어려운점, 5 국내공개용알집프로그램에자 - 14 -

동광고업데이트기능이있다는것만으로방화벽외부에있는파일이더쉽고빠르게방화벽내부로진입할수있다고인정할증거도없는점등을종합하여보면, 이사건해커가사용한것으로보이는해킹기법에의하면피고가국내기업용알집프로그램을사용한경우에도그업데이트과정에서위와같은방식으로본래의다운로드경로가아닌악성프로그램유포지에서악성프로그램을다운로드받도록이스트소프트의업데이트웹사이트 ISAPI 필터를조작하는것이가능하였을것으로보인다. 그렇다면피고가국내기업용알집프로그램을사용하였더라도이사건해킹사고를막을수없었을가능성을배제할수없으므로, 비록국내공개용알집프로그램이수시로광고업데이트를하고국내기업용알집프로그램보다그이용자가많아이사건해커가해킹에이용하는것이보다용이하였을것으로추측된다고하더라도, 위에서인정한사실만으로는피고의국내공개용알집프로그램사용행위와원고들주장과같은손해발생사이에상당인과관계가있다고보기에부족하고달리이를인정할증거가없다. 따라서원고들의이부분주장도더나아가살필필요없이이유없다. 다. FTP 서비스의제공으로인한보호조치위반여부을 5 호증의기재에의하면, 피고가내부적으로정한 개인정보보호업무지침서 제 26조제4항이 개인정보접근 PC에대한 NULL session 접근이불가능하도록보안설정을하고, telnet 및 ftp 서비스등보안상취약한서비스는제공하지않도록한다. 라고규정하고있는사실은인정된다. 그러나위각증거와변론전체의취지를종합하여인정되는다음과같은사정들, 즉 1 피고의게이트웨이서버는정보통신망법제45조에따라방송통신위원회가 2010. 2. 3. 고시한정보보호조치및안전진단방법 절차 수수료에관한지침 [ 별표1] - 15 -

2.2.5. 의라우터가아니라윈도우 OS로작동하는서버이고, 위지침 [ 별표1] 의 2.2.8. 이규정한 라우터에서불필요한프로토콜을제거하는것 은위지침 [ 별표3] 의라. 군에해당하는피고에게적용되는의무가아닌점, 2 DB 서버관리자의 PC에서 FTP 프로토콜을삭제하는것은법령상의무가아니고, 피고가내부적으로정한 개인정보보호업무지침서 제26조제4항은개인정보접근 PC를 FTP 서버로이용할때 ( 즉, FTP 서비스를제공하는경우 ) 에는클라이언트로이용할때와는전혀다른보안문제가발생하기때문에개인정보접근 PC를 FTP 서버로설정하는행위 ( 즉개인정보접근 PC에서파일공유를열어주는방식을통해타컴퓨터로의접속및파일전송이가능하게만드는기능 ) 를금지하는취지인데, 이사건해킹사고는개인정보접근 PC를 FTP 서버로설정함으로써발생한것이아니라해커가개인정보접근 PC를 FTP 클라이언트로사용하여개인정보를전송한것이므로, 이사건해킹사고와관련하여위업무지침서위반사항은존재하지않는점, 3 피고의게이트웨이서버의 FTP 프로토콜과 DB 서버관리자 PC의 FTP 클라이언트기능은평소업무에필요한것이었던점, 4 피고게이트웨이서버와 DB 서버관리자 PC에 FTP 방식의프로토콜이설치되어있지않았다고하더라도, 이사건해커가개인정보를외부로유출할수있는수단은메신저프로그램, 대용량메일서비스등여러가지가있는점등을고려할때, 피고가 DB 서버의게이트웨이서버와 DB 서버관리자의 PC에 FTP 방식의프로토콜을설정하였다는사정만으로는피고가개인정보에대한불법적인접근을차단하기위한보호조치를위반하였다거나피고가 DB 서버의게이트웨이서버와 DB 서버관리자의 PC에 FTP 방식의프로토콜을설정하였던행위와이사건해킹사고사이에상당인과관계가있다고볼수없고, 달리이를인정할만한증거가없다. - 16 -

따라서원고들의위주장도이유없다. 라. 로그아웃을하지않고, 자동로그아웃시간을설정하지않은행위관련보호조치위반여부갑 90호증의기재와변론전체의취지에의하면, 피고의 DB 서버관리자는이사건해킹사고발생전날인 2011. 7. 25. 16:48경부터 17:29경까지김 * 영의 PC로서버에접속하여업무를수행하였는데, 작업이종료된이후에도로그아웃을하지아니하였던사실, 이사건해킹사고발생당시피고가운용하고있던데이터손실방지기능에 관리자로그인제한시간설정 기능이포함되어있었던사실을인정할수있다. 그러나원고들의위주장은이사건해커가사용한방법처럼 DB 관리자가내부에서 DB 서버에접속하는경우두번째단계의인증으로 DB 관리자의이메일로전송된일회용비밀번호 (OTP) 를입력하는구간이존재한다는것을전제로하는것인데, 이를인정할만한증거가없다. 오히려을 31, 32호증의각기재에변론전체의취지를종합하여인정되는다음과같은사정들, 즉 1 이사건해킹사고발생당시 DB 서버관리자가작업종료후로그아웃하거나, 자동로그아웃시간을설정하는것은법령상의무가아니었던점, 2 DB 서버에접속하는경우이메일로전송된일회용비밀번호 (OTP) 입력을통한인증은피고의 외부고객센터소속종사자 가외부에서 DB 서버에접속하는경우에관한것이고, 이사건해커와같이 DB 서버관리자 PC 를통하여내부에서 DB 서버에접속하는경우일회용비밀번호 (OTP) 를입력하는구간은존재하지않았던점, 3 이사건해커는 2011. 7. 26. 오전시간동안수차례관리자의아이디와비밀번호를새로입력하고로그인하였던점등을종합하여보면, 이사건해커가관리자의아이디와비밀번호를이미파악하였던이상 DB 서버관리자의로그아웃여부와무관 - 17 -

하게 DB 서버에접속할수있었을것으로보인다. 따라서위에서인정한사실만으로는이사건해킹사고발생전날 DB 서버관리자가작업종료후로그아웃하지않았고이사건해킹사고발생당시피고가아이들타임이나커넥트타임을설정하지않았던행위와원고들의주장과같은손해발생사이에상당인과관계가있다고보기에부족하고달리이를인정할증거가없다. 따라서원고들의위주장도더나아가살필필요없이이유없다. 마. 개인정보암호화방식관련보호조치위반여부암호화기술등을이용한개인정보의보안조치에관해서는정보통신망법제28조제1 항제4호, 정보통신망법시행령제15조제4항및이사건고시제6조에서규정하고있다. 그런데을 21, 22, 29호증의각기재에변론전체의취지를종합하면, 피고는이용자의비밀번호를일방향암호화하고, 주민등록번호도별도로암호화하여저장 관리하고있는사실, 피고는개인정보처리시스템외의시스템으로개인정보를전송하거나저장할때암호화하도록하고있고, 개인정보를전송할때에는개인정보의추출요청자, 추출항목, 사용목적, 추출대상자, 자료활용기간, 자료보관방법, 파기책임자및파기예정일등을특정하여관리하고있는사실을인정할수있는바, 이에비추어보면, 피고는정보통신망법제28조제1항제4호, 정보통신망법시행령제15조제4항및이사건고시제6조에서정한암호화기술등을이용한보안조치를이행하고있는것으로보인다. 또한가사피고의암호화방식이 MD5 방식이라고하더라도그해독이법령등에의하여요구되는기준보다도쉽게될것이라고볼만한증거가없고, 원고들의주장과같이피고가사용한암호화방식이구식이어서상대적으로해독가능성이크다고하더 - 18 -

라도앞에서본바와같이피고가정보통신망법등관련법령에서정한기술적 관리적보호조치를이행하였고피고의행위와원고들주장의손해발생사이에상당인과관계가인정되지않는이상이러한사정과원고가제출한증거들만으로는피고가암호화기술의사용과관련한기술적 관리적보호조치를위반한것으로인정하기에부족하며, 달리이를인정할증거가없다. 따라서원고들의위주장도더나아가살필필요없이이유없다. 4. 결론 그렇다면원고들의이사건청구는모두이유없으므로이를기각한다. 재판장판사김성곤 판사 김기춘 판사 강인혜 - 19 -

별지 2 관련법령 [ 정보통신망법 ] 제23 조 ( 개인정보의수집제한등 ) 1 정보통신서비스제공자는사상, 신념, 과거의병력등개인의권리 이익이나사생활을뚜렷하게침해할우려가있는개인정보를수집하여서는아니된다. 다만, 제22 조제1항에따른이용자의동의를받거나다른법률에따라특별히수집대상개인정보로허용된경우에는그개인정보를수집할수있다. 2 정보통신서비스제공자는이용자의개인정보를수집하는경우에는정보통신서비스의제공을위하여필요한최소한의정보를수집하여야하며, 필요한최소한의정보외의개인정보를제공하지아니한다는이유로그서비스의제공을거부하여서는아니된다. 제23 조의2( 주민등록번호외의회원가입방법 ) 1 정보통신서비스제공자로서제공하는정보통신서비스의유형별일일평균이용자수가대통령령으로정하는기준에해당하는자는이용자가정보통신망을통하여회원으로가입할경우에주민등록번호를사용하지아니하고도회원으로가입할수있는방법 ( 이하 " 대체수단 " 이라한다 ) 을제공하여야한다. 2 제1항에해당하는정보통신서비스제공자는주민등록번호를사용하는회원가입방법을따로제공하여이용자가회원가입방법을선택하게할수있다. 제27 조 ( 개인정보관리책임자의지정 ) 1 정보통신서비스제공자등은이용자의개인정보를보호하고개인정보와관련한이용자의고충을처리하기위하여개인정보관리책임자를지정하여야한다. 다만, 종업원수, 이용자수등이대통령령으로정하는기준에해당하는정보통신서비스제공자등의경우에는지정하지아니할수있다. 2 제1항단서에따른정보통신서비스제공자등이개인정보관리책임자를지정하지아니하는경우에는그사업주또는대표자가개인정보관리책임자가된다. 3 개인정보관리책임자의자격요건과그밖의지정에필요한사항은대통령령으로정한 - 20 -

다제28 조 ( 개인정보의보호조치 ) 1 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실 도난 누출 변조또는훼손을방지하기위하여대통령령으로정하는기준에따라다음각호의기술적 관리적조치를하여야한다. 1. 개인정보를안전하게취급하기위한내부관리계획의수립 시행 2. 개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치의설치 운영 3. 접속기록의위조 변조방지를위한조치 4. 개인정보를안전하게저장 전송할수있는암호화기술등을이용한보안조치 5. 백신소프트웨어의설치 운영등컴퓨터바이러스에의한침해방지조치 6. 그밖에개인정보의안전성확보를위하여필요한보호조치 2 정보통신서비스제공자등은이용자의개인정보를취급하는자를최소한으로제한하여야한다. 제32 조 ( 손해배상 ) 이용자는정보통신서비스제공자등이이장의규정을위반한행위로손해를입으면그정보통신서비스제공자등에게손해배상을청구할수있다. 이경우해당정보통신서비스제공자등은고의또는과실이없음을입증하지아니하면책임을면할수없다. 제46 조의3( 정보보호안전진단 ) 1 다음각호의어느하나에해당하는자는방송통신위원회가안전진단을수행할수있다고인정한자 ( 이하 " 안전진단수행기관 " 이라한다 ) 로부터자신의정보통신망또는집적정보통신시설에대하여매년정보보호지침에따른정보보호안전진단을받아야한다. 이경우안전진단수행기관은 15 명이상의정보보호기술인력을보유하고최근 3년이내에정보보호컨설팅을수행한실적이있는법인이어야한다. 1. 전기통신사업법제2조제8호에따른전기통신사업자로서전국적으로정보통신망서비스를제공하는자 ( 이하 " 주요정보통신서비스제공자 " 라한다 ) 2. 집적정보통신시설사업자 3. 정보통신서비스제공자로서매출액, 이용자수등이대통령령으로정하는기준에해당하는자 - 21 -

2 제1항에따라정보보호안전진단을받는사업자는관련정보의제공및시설ㆍ장소에의출입허용등안전진단수행기관의정보보호안전진단업무에협력하고, 대통령령으로정하는바에따라정보보호안전진단의결과를방송통신위원회에제출하여야한다. 3 제1항에따라정보보호안전진단을받아야하는사업자가정보통신기반보호법제9조에따라취약점의분석ㆍ평가를받거나제47 조에따른정보보호관리체계의인증을받으면그분석 평가를받거나인증을받은해당연도에는제1항에따른정보보호안전진단을받은것으로본다. 4 안전진단수행기관은제1항에따른정보보호안전진단을받은사업자에게안전진단의결과에따라정보보호조치의개선을권고할수있다. 5 안전진단수행기관은제4항에따라정보보호조치의개선을권고하였으면그권고내용및처리결과를방송통신위원회에통보하여야한다. 6 방송통신위원회는제2항에따라제출된정보보호안전진단의결과와제5항에따른통보내용에따라필요하면정보보호안전진단을받은사업자에게정보보호조치에관한개선명령을할수있다. 7 제1항에따른정보보호안전진단의방법 절차 수수료, 안전진단수행기관의인정절차, 정보보호기술인력의자격기준, 정보보호컨설팅수행실적, 그밖에필요한사항은대통령령으로정한다. 8 방송통신위원회는제1항제3호의요건에해당하는지를확인하기위하여필요하면관계행정기관, 관련자료보유기관또는정보통신서비스제공자에대하여필요한자료의제공또는사실의확인을요청할수있다. 제47 조 ( 정보보호관리체계의인증 ) 1 정보통신망의안정성및신뢰성을확보하기위하여기술적 물리적보호조치를포함한종합적관리체계 ( 이하 " 정보보호관리체계 " 라한다 ) 를수립 운영하고있는자는정보보호관리체계가제2항에따라방송통신위원회가고시한기준에적합한지에관하여방송통신위원회나한국인터넷진흥원이지정하는기관 ( 이하 " 정보보호관리체계인증기관 " 이라한다 ) 으로부터인증을받을수있다. 2 방송통신위원회는제1항에따른인증에관한정보보호관리기준등필요한기준을정하여고시할수있다. 3 제1항에따라정보보호관리체계의인증을받은자는대통령령으로정하는바에따라 - 22 -

인증의내용을표시하거나홍보할수있다. 4 제1항에따른인증의방법 절차와그밖에필요한사항은대통령령으로정한다. 5 정보보호관리체계인증기관지정의기준 절차 유효기간등에필요한사항은대통령령으로정한다. [ 정보통신망법시행령 ] 제15 조 ( 개인정보의보호조치 ) 1 법제28 조제1항제1호에따라정보통신서비스제공자등은개인정보의안전한취급을위하여다음각호의내용을포함하는내부관리계획을수립 시행하여야한다. 1. 개인정보관리책임자의지정등개인정보보호조직의구성 운영에관한사항 2. 개인정보취급자의교육에관한사항 3. 제2항부터제5항까지의규정에따른보호조치를이행하기위하여필요한세부사항 2 법제28 조제1항제2호에따라정보통신서비스제공자등은개인정보에대한불법적인접근을차단하기위하여다음각호의조치를하여야한다. 1. 개인정보를처리할수있도록체계적으로구성한데이터베이스시스템 ( 이하 " 개인정보처리시스템 " 이라한다 ) 에대한접근권한의부여 변경 말소등에관한기준의수립 시행 2. 개인정보처리시스템에대한불법적인접근을차단하기위한침입차단시스템및침입탐지시스템의설치 운영 3. 비밀번호의생성방법및변경주기등의기준설정과운영 4. 그밖에개인정보에대한접근통제를위하여필요한조치 3 법제28 조제1항제3호에따라정보통신서비스제공자등은접속기록의위조 변조방지를위하여다음각호의조치를하여야한다. 1. 개인정보취급자가개인정보처리시스템에접속하여개인정보를처리한경우접속일시, 처리내역등의저장및이의확인 감독 2. 개인정보처리시스템에대한접속기록을별도저장장치에백업보관 4 법제28 조제1항제4호에따라정보통신서비스제공자등은개인정보가안전하게저장 전송될수있도록다음각호의보안조치를하여야한다. 1. 비밀번호및바이오정보 ( 지문, 홍채, 음성, 필적등개인을식별할수있는신체적또 - 23 -

는행동적특징에관한정보를말한다 ) 의일방향암호화저장 2. 주민등록번호및계좌정보등금융정보의암호화저장 3. 정보통신망을통하여이용자의개인정보및인증정보를송신 수신하는경우보안서버구축등의조치 4. 그밖에암호화기술을이용한보안조치 5 법제28 조제1항제5호에따라정보통신서비스제공자등은개인정보처리시스템및개인정보취급자가개인정보처리에이용하는정보기기에컴퓨터바이러스, 스파이웨어등악성프로그램의침투여부를항시점검 치료할수있도록백신소프트웨어를설치하여야하며, 이를주기적으로갱신 점검하여야한다. 6 방송통신위원회는제1항부터제5항까지의규정에따른사항과법제28 조제1항제6호에따른그밖에개인정보의안전성확보를위하여필요한보호조치의구체적인기준을정하여고시하여야한다. 제42 조 ( 정보보호안전진단확인증의발급 ) 정보통신망법제46 조의3 제1항에따른안전진단수행기관 ( 이하 " 안전진단수행기관 " 이라한다 ) 은정보보호안전진단을실시한결과법제45 조제2항에따른정보보호조치및안전진단방법 절차 수수료에관한지침 ( 이하 " 정보보호지침 " 이라한다 ) 을준수하는자에대하여는방송통신위원회가정하여고시하는정보보호안전진단확인증을발급하여야한다. 제43 조 ( 정보보호안전진단결과의제출 ) 1 안전진단대상자가정보통신망법제46 조의3제2항에따라정보보호안전진단결과를방송통신위원회에제출하는경우에는안전진단수행기관으로부터정보보호안전진단결과를통보받은날부터 15 일이내에정보보호안전진단결과통지서를제출하여야한다. 2 안전진단수행기관이법제46 조의3 제5항에따라정보보호조치의개선권고내용및처리결과를방송통신위원회에통보하는경우에는그권고를하거나처리가완료된후 15 일이내에정보보호조치의개선권고내용및처리결과통보서를제출하여야한다. [ 이사건고시 ] 제1조 ( 목적 ) 이기준은정보통신망법제28 조제1항및정보통신망법시행령제15 조제6항에따라정보통신서비스제공자등이이용자의개인정보를취급함에있어서개인정보가분실 도난 누출 변조 훼손등이되지아니하도록안전성을확보하기위하여취하여야 - 24 -

하는기술적 관리적보호조치의구체적인기준을정하는것을목적으로한다. 제2조 ( 정의 ) 이기준에서사용하는용어의뜻은다음과같다. 1. 개인정보관리책임자 라함은정보통신서비스제공자의사업장내에서이용자의개인정보보호업무를총괄하거나업무처리를최종결정하는임직원을말한다. 2. 개인정보취급자 라함은정보통신서비스제공자의사업장내에서이용자의개인정보를수집, 보관, 처리, 이용, 제공, 관리또는파기등의업무를하는자를말한다. 2의 2. 내부관리계획 이라함은정보통신서비스제공자등이개인정보의안전한취급을위하여개인정보보호조직의구성, 개인정보취급자의교육, 개인정보보호조치등을규정한계획을말한다. 3. 개인정보처리시스템 이라함은개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말한다. 4. 비밀번호 라함은이용자및개인정보취급자등이시스템또는정보통신망에접속할때식별자와함께입력하여정당한접속권한을가진자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. 5. 접속기록 이라함은이용자또는개인정보취급자등이개인정보처리시스템에접속하여수행한업무내역에대하여식별자, 접속일시, 접속지를알수있는정보, 수행업무등접속한사실을전자적으로기록한것을말한다. 6. 바이오정보 라함은지문, 얼굴, 홍채, 정맥, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보로서그로부터가공되거나생성된정보를포함한다. 7. P2P(Peerto Peer) 라함은정보통신망을통해서버의도움없이개인과개인이직접연결되어파일을공유하는것을말한다. 8. 공유설정 이라함은컴퓨터소유자의파일을타인이조회 변경 복사등을할수있도록설정하는것을말한다. 9. 보안서버 라함은정보통신망에서송 수신하는정보를암호화하여전송하는웹서버를말한다. 10. 인증정보 라함은개인정보처리시스템또는정보통신망을관리하는시스템등이요구한식별자의신원을검증하는데사용되는정보를말한다. 제3조 ( 내부관리계획의수립 시행 ) 1 정보통신서비스제공자등은다음각호의사항을정하여개인정보보호조직을구성 - 25 -

운영하여야한다. 1. 개인정보관리책임자의자격요건및지정에관한사항 2. 개인정보관리책임자와개인정보취급자의역할및책임에관한사항 3. 개인정보내부관리계획의수립및승인에관한사항 4. 개인정보의기술적 관리적보호조치이행여부의내부점검에관한사항 5. 그밖에개인정보보호를위해필요한사항 2 정보통신서비스제공자등은다음각호의사항을정하여개인정보관리책임자및개인정보취급자를대상으로매년 2회이상교육을실시하여야한다. 1. 교육목적및대상 2. 교육내용 3. 교육일정및방법 3 정보통신서비스제공자등은제1항및제2항에대한세부계획, 제4조부터제8조까지의보호조치이행을위한세부적인추진방안을포함한내부관리계획을수립 시행하여야한다. 제4조 ( 접근통제 ) 1 정보통신서비스제공자등은개인정보처리시스템에대한접근권한을서비스제공을위하여필요한개인정보관리책임자또는개인정보취급자에게만부여한다. 2 정보통신서비스제공자등은전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소한다. 3 정보통신서비스제공자등은제1항및제2항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 5년간보관한다. 4 정보통신서비스제공자등은개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속이필요한경우에는공인인증서등안전한인증수단을적용하여야한다. 5 정보통신서비스제공자등은정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한시스템을설치 운영하여야한다. 1. 개인정보처리시스템에대한접속권한을 IP 주소등으로제한하여인가받지않은접근을제한 2. 개인정보처리시스템에접속한 IP 주소등을재분석하여불법적인개인정보유출시도를탐지 - 26 -

6 정보통신서비스제공자등은이용자가안전한비밀번호를이용할수있도록비밀번호작성규칙을수립하고, 이행한다. 7 정보통신서비스제공자등은개인정보취급자를대상으로다음각호의사항을포함하는비밀번호작성규칙을수립하고, 이를적용 운용하여야한다. 1. 다음각목의문자종류중 2종류이상을조합하여최소 10 자리이상또는 3종류이상을조합하여최소 8자리이상의길이로구성가. 영문대문자 (26 개 ) 나. 영문소문자 (26 개 ) 다. 숫자 (10 개 ) 라. 특수문자 (32 개 ) 2. 연속적인숫자나생일, 전화번호등추측하기쉬운개인정보및아이디와비슷한비밀번호는사용하지않는것을권고 3. 비밀번호에유효기간을설정하여반기별 1회이상변경 8 정보통신서비스제공자등은취급중인개인정보가인터넷홈페이지,P2P, 공유설정등을통하여열람권한이없는자에게공개되거나외부에유출되지않도록개인정보처리시스템및개인정보취급자의컴퓨터에조치를취하여야한다. 제5조 ( 접속기록의위 변조방지 ) 1 정보통신서비스제공자등은개인정보취급자가개인정보처리시스템에접속한기록을월 1회이상정기적으로확인 감독하여야하며, 시스템이상유무의확인등을위해최소 6개월이상접속기록을보존 관리하여야한다. 2 단, 제1항의규정에도불구하고전기통신사업법제5조의규정에따른기간통신사업자의경우에는보존 관리해야할최소기간을 2년으로한다. 3 정보통신서비스제공자등은개인정보취급자의접속기록이위 변조되지않도록별도의물리적인저장장치에보관하여야하며정기적인백업을수행하여야한다. 제6조 ( 개인정보의암호화 ) 1 정보통신서비스제공자등은비밀번호및 바이오정보는복호화되지아니하도록일방 향암호화하여저장한다. 2 정보통신서비스제공자등은주민등록번호, 신용카드번호및계좌번호에대해서는안전 한암호알고리듬으로암호화하여저장한다. - 27 -

3 정보통신서비스제공자등은정보통신망을통해이용자의개인정보및인증정보를송 수신할때에는안전한보안서버구축등의조치를통해이를암호화해야한다. 보안서버는다음각호중하나의기능을갖추어야한다. 1. 웹서버에 SSL(SecureSocketLayer) 인증서를설치하여전송하는정보를암호화하여송 수신하는기능 2. 웹서버에암호화응용프로그램을설치하여전송하는정보를암호화하여송 수신하는기능 4 정보통신서비스제공자등은이용자의개인정보를개인용컴퓨터 (PC) 에저장할때에는이를암호화해야한다. 제7조 ( 악성프로그램방지 ) 정보통신서비스제공자등은백신소프트웨어를월 1회이상주기적으로갱신 점검하고, 악성프로그램관련경보가발령된경우및백신소프트웨어또는운영체제제작업체에서업데이트공지가있는경우에는응용프로그램과정합성을고려하여최신소프트웨어로갱신 점검하여야한다. 제8조 ( 출력 복사시보호조치 ) 1 정보통신서비스제공자등은개인정보처리시스템에서개인정보의출력시 ( 인쇄, 화면표시, 파일생성등 ) 용도를특정하여야하며, 용도에따라출력항목을최소화한다. 2 정보통신서비스제공자등은개인정보가포함된종이인쇄물, 개인정보가복사된외부저장매체등개인정보의출력 복사물을안전하게관리하기위해출력 복사기록등필요한보호조치를갖추어야한다. 제9조 ( 개인정보표시제한보호조치 ) 정보통신서비스제공자등은개인정보업무처리를목적으로개인정보의조회, 출력등의업무를수행하는과정에서개인정보보호를위하여개인정보를마스킹하여표시제한조치를취하는경우에는다음의원칙으로적용할수있다. 1. 성명중이름의첫번째글자이상 2. 생년월일 3. 전화번호또는휴대폰전화번호의국번 4. 주소의읍 면 동 5. 인터넷주소는버전 4의경우 17~24 비트영역, 버전 6의경우 113~128 비트영역. 끝. - 28 -