대전지방법원 제 1 2 민사부 판 결 사 건 2012가합101743 손해배상 ( 기 ) 2012가합102449( 병합 ) 손해배상 ( 기 ) 원 고 별지원고명단기재와같다. 원고 A, B, C, D을제외한나머지원고들소송대리인법무법인유능담당변호사남광진 피 고 乙주식회사소송대리인법무법인내일담당변호사정갑생, 최린아 변론종결 2014. 7. 22. 판결선고 2014. 8. 14. 주 문 1. 원고 A, B, C, D 의소를각하한다. 2. 원고 A, B, C, D 을제외한나머지원고들의청구를모두기각한다. 3. 소송비용은원고들이부담한다. - 1 -
청구취지피고는원고들에게각 1,000,000원및이에대하여 2011. 7. 26. 부터이사건소장부본송달일까지는연 5%, 그다음날부터다갚는날까지는연 20% 의각비율로계산한돈을지급하라. 이 유 1. 기초사실가. 당사자의지위 1) 피고는인터넷상에서검색, 커뮤니티등을기반으로각종정보를제공하는포털서비스사업을하는회사로서네이트 (NATE), 네이트온 (NateON), 싸이월드 (CYWORLD) 와같은온라인서비스를제공하고있다. 2) 원고들은피고가제공하는네이트와싸이월드의한쪽또는양쪽서비스에가입한사람들로서, 가입당시피고에게아이디, 비밀번호, 주민등록번호, 성명, 생년월일, 이메일주소, 전화번호, 주소등개인정보를제공하였다. 나. 해킹사고의발생 1) 중국에거주하는것으로추정될뿐인적사항을알수없는해커 ( 이하 이사건해커 라한다 ) 는 2011. 7. 21. 00:40경피고의 DB기술팀직원인 E의컴퓨터에윈도우예약작업을이용하여, 이사건해커가미리설정해놓은임의의도메인인 nateon.duamlive.com 에역접속을시도하는기능을가진악성프로그램을유포하고, 2011. 7. 26. 부터 2011. 7. 27. 까지중국내불상지에서자신의컴퓨터로 E의컴퓨터에원격접속하여피고의정보통신망에침입하였으며, 네이트회원정보가저장되어있는데이터베이스서버, 싸이월드회원 - 2 -
정보가저장되어있는데이터베이스서버, 중복저장회원정보가저장되어있는데이터베이스서버에침입하여위각서버에서처리, 보관하고있는개인정보를아이피주소 211.115.112.36 이할당된컴퓨터인에듀티에스서버 (www.eduts.co.kr) 로전송 ( 이하 이사건해킹사고 라한다 ) 하였다. 2) 이사건해킹사고를통하여네이트또는싸이월드의회원중 34,954,887명의개인정보가유출되었는데, 유출된개인정보에는아이디, 비밀번호, 주민등록번호, 성명, 생년월일, 이메일주소, 전화번호, 주소가포함되어있고, 가입당시혈액형, 닉네임등을입력한일부회원들의경우위혈액형, 닉네임등도포함되어있다. 3) 피고는 2011. 7. 28. 이사건해킹사고를경찰과방송통신위원회에신고하였고, 네이트와싸이월드회원들에게이사건해킹사고로인한개인정보유출사실을공지하였다. 다. 경찰의수사결과 1) 경찰은 2011. 7. 28. 이사건해킹사고에대한수사에착수하였는데, 경찰의수사결과에의하면, 이사건해커는다음과같은경로로네이트와싸이월드회원들의개인정보를유출한것으로파악된다. 가 ) 주식회사이스트소프트 ( 이하 이스트소프트 라한다 ) 는압축프로그램인알집중국내공개용의경우무료로배포하는대신, 프로그램실행시프로그램창의일부에광고가게시되도록하여수익을얻고있는데, 이스트소프트는위광고를교체하기위해알집업데이트서버를이용하여알집프로그램에 ALAD.dll 이라는파일을전송한다. 나 ) 이사건해커는정상적인 ALAD.dll 파일이아닌동일한이름의악성프로그램인 ALAD.dll 파일을만들었고, 이를이스트소프트의알집업데이트를통해국내공 - 3 -
개용알집의사용자컴퓨터에설치하기위해다음과같이이스트소프트의알집업데이트서버를이용하였다. 다 ) 이사건해커는중국내에소재한컴퓨터에경유지를설정하기위한목적으로자신의 Y 드라이브를공유한채, 원격데스크톱연결을하였고, Y 드라이브에저장되어있던 \Y\myxxx\sb\dangqian\stmpxml.dll 파일을알집업데이트서버중하나에최초복사하여알집업데이트웹사이트의 ISAPI 필터 1) 에 stmpxml.dll 파일을등록시켰으며, 이를다시알집업데이트서버중다른 4개의서버에복사하여같은방법으로 ISAPI 필터에 stmpxml.dll 파일을등록하였다. 라 ) stmpxml.dll 파일이 ISAPI 필터에등록되면, 피고등선별된 IP 주소에서사용되는컴퓨터가알집업데이트를요청하는경우, 이스트소프트가설정한본래의다운로드경로인 http://aldn.altools.co.kr 이아닌, 이사건해커가설정한악성프로그램유포지인 http://inexon.softsforum.org 에서악성프로그램인 ALAD.dll 파일을다운로드받게된다. 악성프로그램인 ALAD.dll 파일이다운로드되면, 위파일은악성프로그램인 ALAD.exe 파일을생성, 실행시키고, 위프로그램은키로깅 (keylogging) 프로그램인 nateon.exe 프로그램을실행시켜키보드입력값이컴퓨터에파일로저장되게한다. 마 ) 2011. 7. 18. 08:58:27경피고의컴퓨터가알집업데이트과정에서 http://inexon.softforum.org 에서악성프로그램인 ALAD.dll 파일을최초로다운로드받았고, 그후인 2011. 7. 20. 14:59경피고의직원인 E의컴퓨터에 nateon.exe 파일이생성되어 2011. 7. 21. 02:02경 nateon.exe에감염되었으며, 2011. 7. 23. 13:09경 E의컴퓨터가 update.exe 파일과 windowsrpc.dll 파일을실행하였다. 1) ISAPI 필터는인터넷정보서버의앞단에위치하면서인터넷정보서버로들어온모든요청에대해가장먼저처리할권한과인터넷정보서버가생성한응답을클라이언트에보내주기전에가공할수있는권한을가진다. - 4 -
바 ) 그후 2011. 7. 26. 02:07경이사건해커가사용한컴퓨터가 E의컴퓨터를거쳐피고의 DB 관리자인 F의아이디로게이트웨이서버에접속하였다. 사 ) 이사건해커는피고의서버에침입하여개인정보를덤프 (dump) 파일로생성하여압축한다음, 이를게이트웨이서버에내려받고, 파일을송수신하는통신규약인 FTP(File Transfer Protocol) 를이용하여위개인정보파일을게이트웨이에서 E의컴퓨터와 F의컴퓨터로내려받은다음, 이를대한민국내경유지인에듀티에스사이트를거쳐중국으로전송하였다. 그자세한유출경로는다음과같다. (1) 네이트회원의개인정보유출경로이사건해커는, 2011. 7. 26. 03:42경 custdb2 컴퓨터에서리눅스 DB백업명령어인 exp 명령으로네이트회원개인정보 DB를 /data/cust.dmp 라는덤프포맷파일로저장하였고, 04:18경 pinfodb 컴퓨터에서서로다른컴퓨터사이에파일을복사하는명령어인 scp 명령으로 custdb2에저장된 /data/cust.dmp 파일을 /BACKUP 경로에내려받았으며, 04:25경 pinfodb 컴퓨터에서 /BACKUP/cus.dmp 파일을 /BACKUP/cus.dmp.bz2 파일로압축하였고, 05:36경 pinfodb에저장된 /BACKUP/cus.dmp.bz2 파일을게이트웨이서버의 C:\temp에내려받았으며, 06:22경 E의컴퓨터에서게이트웨이서버에저장된 C:\temp\cus.dmp.bz2 파일을내려받았고, 06:33경 E의컴퓨터에저장된 cus.dmp.bz2 파일을에듀티에스사이트로전송하였으며, 10:03경에듀티에스사이트에서중국으로 cus.dmp.bz2 파일을전송하였다. (2) 싸이월드회원의개인정보유출경로이사건해커는, 2011. 7. 26. 04:37경 custdb1 컴퓨터에서 exp 명령으로싸이월드회원개인정보 DB를 /data/cymem.dmp 라는덤프포맷파일로저장하였고, - 5 -
05:08경 pinfodb 컴퓨터에서 scp 명령으로 custdb1에저장된 /data/cymem.dmp 파일을 /BACKUP 경로에내려받았으며, 05:15경 pinfodb 컴퓨터에서 /BACKUP/cymem.dmp 파일을 /BACKUP/cymem.dmp.bz2 파일로압축하였고, 05:36경 pinfodb에저장된 /BACKUP/cymem.dmp.bz2 파일을게이트웨이서버의 C:\temp에내려받았으며, 06:21 경 E의컴퓨터에서게이트웨이서버에저장된 C:\temp\cymem.dmp.bz2 파일을내려받았고, 06:32경 E의컴퓨터에저장된 cymem.dmp.bz2 파일을에듀티에스사이트로전송하였으며, 09:44경에듀티에스사이트에서중국으로 cymem.dmp.bz2 파일을전송하였다. (3) 중복저장회원정보의유출경로이사건해커는, 2011. 7. 26. 04:08경 custdb1 컴퓨터에서 exp 명령으로싸이월드회원개인정보 DB를 /tmp/pits.dmp 라는덤프포맷파일로저장하였고, 04:24 경 pinfodb 컴퓨터에서 /tmp/pits.dmp 파일을 /tmp/pits.dmp.bz2 파일로압축하였으며, 05:41경 pinfodb에저장된 /BACKUP/pits.dmp.bz2 파일을게이트웨이서버의 C:\temp에내려받았으며, 2007. 7. 27. 01:13경 F의컴퓨터에서게이트웨이서버에저장된 C:\temp\pits.dmp.bz2 파일을내려받았고, 01:30경 F의컴퓨터에저장된 pits.dmp.bz2 파일을에듀티에스사이트로전송하였으며, 06:30경에듀티에스사이트에서중국으로 pits.dmp.bz2 파일을전송하였다. 아 ) 한편, 이사건해커는이사건해킹사고이전에 2010. 7. 7. 경부터 30회에걸쳐이사건해커가설정한도메인에역접속을시도하는기능을가진악성프로그램을유포시켰고, 2010. 9. 14. 경부터 24회에걸쳐정당한접근권한없이피고와이스트소프트의각정보통신망을비롯한수개의정보통신망에침입하였다. - 6 -
2) 경찰은 2012. 6. 20. 이사건해커에대해기소중지의견으로서울중앙지방검찰청에사건을송치하였고, 피고의기술적 관리적조치에대해서는관련법령에서정한요건을위반하지않은것으로판단하였다. 라. 관련법령구정보통신망이용촉진및정보보호등에관한법률 (2012. 2. 17. 법률제11322호로개정되기전의것, 이하 정보통신망법 이라한다 ), 구정보통신망법시행령 (2011. 8. 29. 대통령령제23104호로개정되기전의것, 이하 정보통신망법시행령 이라한다 ), 개인정보의기술적 관리적보호조치기준 (2012. 8. 23. 방송통신위원회고시제 2012-50호로개정되기전의것, 이하 이사건고시 라한다 ) 중이사건과관련된규정은별지관련법령기재와같다. [ 인정근거 ] 다툼없는사실, 갑제20, 25호증, 을제30호증의각기재, 변론전체의취지 2. 원고 A, B, C, D의피고에대한소의적법여부에관한판단미성년자는법정대리인에의하여서만소송행위를할수있고 ( 민사소송법제55조 ), 법정대리권이있는사실은서면으로증명하여야하며 ( 민사소송법제58조제1항 ), 친권은부모가혼인중인때에는부모가공동으로행사하여야한다 ( 민법제909조제2항 ). 이사건에관하여보건대, 원고 A, B, C, D은이사건변론종결일현재미성년자이다. 그런데 1 원고 A의경우그모인 *** 가법정대리인으로서소송대리인을선임하였으나, 그부인 *** 가법정대리인으로서소송대리인을선임하였다는점을인정할증거가없다. 2 원고 B, C의경우각소송위임장의법정대리인부분에 부사망, 모 *** 로기재되어있고, 원고 D의경우소송위임장의법정대리인부분에 부 ***, 모 *** 으로기재되어있 - 7 -
으나, 위 ***, ***, *** 의법정대리권을인정할아무런증거가없다. 따라서원고 A, B, C, D의소송대리인은적법한소송대리권의위임을받지못한경우에해당하므로, 위원고들의소송대리인이피고에대하여제기한이사건소는부적법하다. 3. 당사자들의주장가. 원고들의주장요지 1) 불법행위를원인으로한손해배상청구피고는아래와같은개인정보수집및관리상의주의의무위반으로이사건해커에의해원고들의개인정보가유출되도록함으로써원고들의재산권, 인격권및개인정보자기결정권을침해하였으므로, 불법행위를원인으로한손해배상으로원고들에게각 1,000,000원및이에대한청구취지기재지연손해금을지급할의무가있다. 가 ) 개인정보수집에관한주의의무위반피고는회원들의전화번호, 주소, 주민등록번호, 혈액형등과다한개인정보를수집함으로써정보통신망법제23조제2항에서정한최소수집의무를위반하였다. 나 ) 개인정보관리에관한주의의무위반 (1) 외부에서개인정보처리시스템에접속할때에는아이디, 비밀번호를통한개인정보취급자인증과더불어공인인증서등추가적인인증수단을적용하여야하는데, 이러한추가적인인증수단을도입하지않아, 이사건해커가키로깅 (keylogging) 방식으로쉽게해킹할수있었다 ( 이사건고시제4조제4항 ). (2) 이사건해커는네이트와싸이월드회원의개인정보 DB에대한접근권한이없는 E의컴퓨터 (IP) 에서위 DB에대한접근권한이있는 F의 DB 관리자아이디와 - 8 -
비밀번호를이용하여위 DB에접속하였는바, 피고는개인정보처리시스템에대한접속권한을 IP 주소등으로제한하여인가받지않은접근을제한하여야할주의의무를위반하였다 ( 이사건고시제4조제5항제1호 ). (3) 피고의 DB 서버관리자는작업종료후로그아웃하지않은채퇴근하였고, 일정시간작업을수행하지않으면자동으로로그아웃되는방식의로그인시간제한설정을하지않았다. (4) 피고가내부적으로정한 개인정보보호업무지침서 제26조제4항은 DB 서버관리자의 PC에 FTP 방식의프로토콜을설정하지못하도록규정하고있다. 또한, 정보통신망법제45조에따라방송통신위원회가 2010. 2. 3. 고시한정보보호조치및안전진단방법 절차 수수료에관한지침 [ 별표1] 의 2.2.8. 은정보통신망의안정성등을확보하기위하여게이트웨이서버에서불필요한 FTP를제거하도록규정하고있다. 그럼에도피고는게이트웨이서버와 DB 서버관리자의컴퓨터에 FTP 방식의프로토콜을설정하였고, 이로인해이사건해커는게이트웨이서버와 DB 서버관리자인 E과 F의각컴퓨터에설정되어있던 FTP 방식의프로토콜을이용하여 DB 서버로부터개인정보를유출할수있었다. (5) 이사건해커가약 3,500만명에이르는회원들의개인정보를유출하는동안대규모데이터전송이발생하였을것인바, 당시피고의개인정보처리시스템에접속한 IP, 트래픽등을분석하였다면개인정보에대한복사명령, 전송명령이이루어짐을알수있었다. 따라서피고가침입탐지시스템과침입차단시스템을제대로설치 운영하여이상징후를실시간감시하였더라면개인정보유출은충분히막을수있었다. (6) 피고는그직원들이유료로제공되는국내기업용알집프로그램을사용 - 9 -
하도록관리할의무가있음에도, 그직원들이개인사용자에게무료로제공되는국내공개용알집프로그램을사용하는것을방치하였는데, 이는저작권법위반행위에해당한다. 또한, 국내공개용알집프로그램은자동광고업데이트기능이있어, 두터운방화벽이존재하더라도방화벽외부에있는파일이아무런제약없이방화벽내부로진입할수있는데, 피고는이러한국내공개용알집프로그램을아무런방비책없이사용하였는바, 피고는정당한권한없는자가정보통신망에접근 침입하는것을방지할의무를위반하였다. (7) 피고는 MD5 방식을사용하여비밀번호를암호화하였는데, MD5 방식은보안상취약점이지적되는암호화방식으로, 위방식만으로는안전한보호조치가이루어진것으로보기어렵다. 피고가여기에개별이용자별로별개의값을추가해서해쉬함수를적용하여변형된암호화방식을사용하였다하더라도, 피고가사용한해쉬함수는이용자의비밀번호에이용자의아이디를붙인것에불과하여, 이사건해킹사고로이용자의아이디가유출된이상피고가암호화한개인정보는쉽게해독가능하며, AES 128비트방식으로암호화된주민등록번호도 0에서 9까지의조합이어서쉽게해독할수있으므로, 피고는개인정보가안전하게저장 전송될수있는암호화기술을사용할의무를위반하였다. 2) 채무불이행을원인으로한손해배상청구원고들은네이트또는싸이월드에회원가입을하면서서비스이용약관및개인정보취급방침에동의하고피고에게이름, 주민등록번호등의개인정보를제공하였다. 따라서피고는서비스이용약관제23조제2항에따라개인정보를보호하기위한보안시스템을구축하여운영하고, 개인정보를취급함에있어안정성확보에필요한기술적 - 10 -
및관리적대책을수립 운영할계약상의무가있다. 그럼에도피고는위와같은계약상의무를불이행하여원고들의개인정보가이사건해커에의해유출되게함으로써원고들에게재산적 정신적손해를입게하였다. 따라서피고는채무불이행을원인으로한손해배상으로원고들에게각 1,000,000 원및이에대한청구취지기재지연손해금을지급할의무가있다. 3) 정보통신망법위반을원인으로한손해배상청구피고는 1 원고들의개인정보를과다하게수집하였고 ( 정보통신망법제23조제2 항전단 ), 2 개인정보처리시스템에대한접속권한을 IP주소등으로제한하지않았으며 ( 정보통신망법제28조제1항, 같은법시행령제15조제6항 ), 3 불필요한프로토콜을제거하지않았고 ( 정보통신망법제45조제2항, 같은법시행령제39조제2항제4호, 제5항, 제40조, 제42조, 제43조, 제46조 ), 4 침입탐지시스템및침입방지 ( 차단 ) 시스템을설치 운영하지않거나주기적인점검및업데이트를시행하지않았으며 ( 정보통신망법제28조제1항제2호, 같은법시행령제15조제2항제2호 ), 5 비밀번호를암호화함에있어 MD5 방식을사용하였다 ( 정보통신망법제28조제1항제4호, 같은법시행령제15조제4항제1호 ). 피고는위와같은정보통신망법위반으로원고들에게재산적 정신적손해를입게하였으므로, 정보통신망법제32조에따FMS 손해배상으로원고들에게각 1,000,000원및이에대한청구취지기재지연손해금을지급할의무가있다. 나. 피고의주장요지피고는다음과같은이유에서원고들의청구에응할수없다고주장한다. 1 피고는관련법령에서정한기술적 관리적보호조치를모두준수하였다. 따라서원고들의개인정보가유출되었다는이유만으로피고에게그책임을묻는것은결과책임을묻는 - 11 -
것이다. 2 원고들의개인정보가유출되었다는사실만으로원고들에게실질적인손해가발생한것으로볼수없으며, 가사원고들에게손해가발생하였다하더라도, 지적재산권을보호하는저작권법의보호법익을고려하면, 피고의국내공개용알집프로그램사용에따른저작권법위반행위와원고들의손해발생사이에는상당인과관계가없다. 나아가국내기업용알집프로그램에도 ALAD.dll 파일이존재하고, 그업데이트방식도국내공개용알집프로그램의업데이트방식과같은이상피고가국내기업용알집프로그램을사용하였다하더라도, 이사건해커의침입이가능하였다고할것이므로, 피고의국내공개용알집프로그램사용이이사건해킹사고의발생과상당인과관계가있다고볼수없다. 4. 사건의쟁점원고들은피고가서비스이용약관및관련법령에서정한개인정보수집및관리상의주의의무를위반하였음을전제로피고에대하여불법행위와채무불이행및정보통신망법제32조에따른손해배상을선택적으로구하고있다. 따라서아래에서는피고가개인정보유출방지에관한보호조치를제대로이행하지않음으로써개인정보수집및관리상의주의의무를위반한잘못이있는지를중심으로검토하기로한다. 다만피고의서비스이용약관제23조제2항에따른기술적 관리적보호조치이행의무의구체적인내용은, 결국정보통신망법등관련법령에서정한바에따라결정된다고할것이므로, 피고의위서비스이용약관위반여부즉, 채무불이행여부는정보통신망법등관련법령에서정한의무위반여부에관한판단부분에포함하여검토하기로한다. 5. 판단가. 정보통신서비스제공자의해킹사고방지를위한주의의무의정도 - 12 -
정보통신서비스제공자가정보통신서비스를제공하기위해이용자로부터수집한개인정보가해킹으로도난을당한경우에이용자들에대한정보통신서비스제공자의손해배상책임을인정하기위해서는, 정보통신서비스제공자가해킹사고를방지하기위하여선량한관리자로서이행하여야하는기술적 관리적보호조치의무를다하지못함으로써해킹사고를예방하지못한경우여야한다. 그리고정보통신서비스가 개방성 을특징으로하는인터넷을통하여이루어지고, 이를위해정보통신서비스제공자가구축하는시스템운영체제나서버프로그램은취약점을내포하고있어끊임없는해킹시도에노출되고있으며, 운영체제등소프트웨어제조업체나보안프로그램개발업체들은새로운해킹기법을방어하기위한보안기술을사후적으로보완하는방식으로해킹에대응하고있는점등을고려하면, 정보통신서비스제공자가해킹사고방지를위하여이행해야할선량한관리자로서의주의의무의정도는 1 관련법령이정보통신서비스제공자에게요구하고있는기술적 관리적보안조치의내용, 2 해킹당시당해정보통신서비스제공자가취하고있던보안조치의내용, 3 해킹방지기술의발전정도, 4 해킹방지기술도입을위한경제적비용및그효용의정도, 5 해커가사용한해킹기술의수준, 6 개인정보유출로인해이용자가입게되는피해의정도등을종합적으로고려하여판단하여야한다. 나. 피고의개인정보수집및관리상주의의무위반여부 1) 개인정보수집에관한주의의무 ( 최소수집의무 ) 위반여부현행정보통신망이용촉진및정보보호등에관한법률 (2012. 2. 17. 법률제 11322호로개정된것 ) 제23조의2 제1항은원칙적으로주민등록번호의수집 이용을금지하고, 예외적인경우에만이를수집 이용할수있는것으로개정되었는데, 이사 - 13 -
건해킹사고당시시행되던정보통신망법제23조의2 제1항에서는정보통신서비스제공자로서제공하는정보통신서비스의유형별일일평균이용자수가대통령령으로정하는기준에해당하는자는이용자가정보통신망을통하여회원으로가입할경우에주민등록번호를사용하지아니하고도회원으로가입할수있는방법을제공하여야한다고규정하고있었고, 제2항에서는제1항에해당하는정보통신서비스제공자는주민등록번호를사용하는회원가입방법을따로제공하여이용자가회원가입방법을선택하게할수있다고규정하고있었다. 따라서이사건해킹사고이전에는정보통신망법에따라회원들로부터주민등록번호를수집하는것이가능하였다고할것인바, 가사피고가주민등록번호없이실명제를운용하는것이가능하였다하더라도, 이러한사정만으로는피고가이사건해킹사고이전에회원들로부터주민등록번호를수집한것이최소수집의무를위반한것이라고인정하기어렵고, 달리이를인정할만한증거가없다. 나아가피고가회원들의주민등록번호외에전화번호, 주소, 혈액형등의개인정보를수집하였다고하더라도, 이러한사정만으로는피고가최소수집의무를위반하였다고인정하기어렵고, 달리이를인정할증거가없다. 따라서원고들의이부분주장은이유없다. 2) 개인정보관리에관한주의의무위반여부가 ) 공인인증서등추가적인인증수단관련보호조치위반여부원고들은개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속할필요가있는때에는아이디, 비밀번호를통한개인정보취급자인증과함께공인인증서등안전한인증수단이추가로마련되어야함에도 ( 이사건고시제4조제4 항 ), 피고가이러한의무를위반하여이사건해커로하여금쉽게개인정보를유출할 - 14 -
수있도록하였다고주장한다. 그러나이사건해커는외부에서피고의개인정보처리시스템에접속한것이아니라, 피고의내부로침입한후내부직원인 E의컴퓨터에서개인정보처리시스템에접속하였고, 이사건해킹사고당시피고는내부에서개인정보처리시스템에접속하는경우추가적인인증수단을적용하지는않았던것으로보인다 ( 이사건고시제4조제4 항은외부에서개인정보처리시스템에접속이필요한경우에는공인인증서등안전한인증수단을적용할의무를규정하고있으나, 내부에서개인정보처리시스템에접속하는경우추가적인인증수단을적용할의무를규정하고있지는않다 ). 따라서외부에서개인정보처리시스템에접속하는경우를전제로공인인증서등추가적인인증수단을마련하지않아피고가기술적 관리적보호조치를위반하였다는원고들의이부분주장은이유없다. 나 ) 개인정보처리시스템에대한접속권한을 IP 주소등으로제한할의무위반여부피고가정보통신망을통한불법적인접근및침해사고방지를위하여개인정보처리시스템에대한접속권한을 IP 주소등으로제한하여인가받지않은접근을차단하는시스템을설치 운영하여야할의무 ( 이사건고시제4조제5항제1호 ) 를위반하였는지보건대, 을제30호증의기재에의하면, 이사건해커가네이트와싸이월드의 DB 서버에대한접근권한이없는 E의 IP 주소로 VPN 서버와게이트웨이서버에접속한다음위 DB 서버에대한접근권한이있는 F의 DB 관리자아이디와비밀번호를이용하여위 DB 서버에접속한사실이인정된다. 한편을제43호증의기재및변론전체의취지를종합하면, E은피고의 이글루스 라는블로그서비스의 DB 서버관리자로서 E에게부여된 IP 주소로피고의 VPN 서버와게이트웨이서버에접속할권한이있 - 15 -
었던사실을인정할수있는바, 이에의하면이사건해커가접속이허용되지않은불특정 IP 주소로피고의 VPN 서버와게이트웨이서버에접속한것이아니라, 접속이허용된 E의 IP 주소로피고의 VPN 서버와게이트웨이서버에접속한다음 F의 DB 관리자아이디와비밀번호를이용하여네이트와싸이월드의 DB 서버에접속하였음을알수있으므로, 비록 E이네이트와싸이월드의 DB 서버에접근할권한은없었더라도피고의 VPN 서버와게이트웨이서버에접속할권한이있었던이상 (E의 IP 주소로네이트와싸이월드의 DB 서버에접속할수있었던것은이사건해커가 F의 DB 관리자아이디와비밀번호를도용하였기때문이다 ), 피고가개인정보처리시스템에대한접속권한을 IP 주소등으로제한하여야할의무를위반하였다고단정할수없고, 달리이를인정할증거가없다. 오히려을제30, 40 내지 45호증의각기재및변론전체의취지를종합하면, DB 서버를관리하는피고의담당자가그 DB 서버에접속하기위해서는 1 담당자컴퓨터에서아이디, 비밀번호로로그인하고, 2 웹브라우저를실행한뒤 sslvpn.skcomms.co.kr 에접속한후, 3 SSL-VPN 에아이디, 비밀번호입력하고, 4 VPN 네트워크인터페이스가활성화되어 VPN 아이피주소가자동할당되면, 5 원격데스크탑을실행해서게이트웨이에아이피주소를입력하여접속하고, 6 또다른아이디, 비밀번호로로그인하여, 7 오라클 (Oracle) DB 서버에접속하는프로그램인오렌지 (Orange) 를실행해서또다른아이디, 비밀번호를입력하여야하는절차를거쳐야하는사실을인정할수있고, 이에비추어보면, 피고는 DB 서버담당자에게부여된한정된 IP 주소로만 VPN 서버와게이트웨이서버를거쳐 DB 서버에접속할수있도록함으로써개인정보처리시스템에대한접속권한을 IP 주소등으로제한하여인가받지않은접근을차단할의무를이행하였다고 - 16 -
판단된다. 따라서원고들의이부분주장은이유없다. 다 ) DB 서버관리자가작업종료후로그아웃하지않았고, 자동로그아웃시간을설정하지않은행위관련보호조치위반여부피고의 DB 서버관리자가이사건해킹사고발생전날인 2011. 7. 25. 16:48 경부터 17:29경까지자신의 PC로서버에접속하여업무를수행하다가작업이종료된이후에도로그아웃하지않은사실, 이사건해킹사고발생당시피고가운용하고있던 DLP 솔루션보호기능에 관리자로그인제한시간설정 기능이포함되어있었던사실은당사자사이에다툼이없거나갑제16호증의기재에의하여이를인정할수있다. 그러나을제30, 40호증의각기재에변론전체의취지를종합하여알수있는다음과같은사정들, 즉 1 이사건해킹사고발생당시 DB 서버관리자가작업종료후로그아웃하거나, 자동로그아웃시간을설정하는것이법령상의무는아니었던점, 2 DB 서버에접속하는경우이메일로전송된일회용비밀번호 (OTP) 입력을통한인증은피고의 외부고객센터소속종사자 가외부에서 DB 서버에접속하는경우에관한것이고, 이사건해커와같이 DB 서버관리자 PC 를통하여내부에서 DB 서버에접속하는경우일회용비밀번호 (OTP) 를입력하는구간은존재하지않았던점, 3 이사건해커는 2011. 7. 26. 오전시간동안수차례관리자의아이디와비밀번호를새로입력하고로그인하였던점등을종합하여볼때, 이사건해커가 DB 서버관리자의아이디와비밀번호를이미파악하였던이상, DB 서버관리자의로그아웃여부와무관하게 DB 서버에접속할수있었을것으로보이고, 내부에서 DB 서버에접속하는경우일회용비밀번호 (OTP) 를입력하는구간은존재하지않았으므로, 앞서인정한사실만으로는이사건해킹사고발생전날 DB 서버관리자가작업종료후로그아웃하지않았고이 - 17 -
사건해킹사고발생당시피고가자동로그아웃시간을설정하지않았던행위와원고들주장과같은손해발생사이에상당인과관계가있다고보기에부족하고, 달리이를인정할증거가없다. 따라서이와다른전제에선원고들의이부분주장은더나아가살필필요없이이유없다. 라 ) 게이트웨이서버와 DB 서버관리자컴퓨터에 FTP 방식의프로토콜을설정한행위관련보호조치위반여부을제5호증의기재에의하면, 피고가내부적으로정한개인정보보호업무지침서제26조제4항이 개인정보접근 PC에대한 NULL session 접근이불가능하도록보안설정을하고, telnet 및 ftp 서비스등보안상취약한서비스는제공하지않도록한다. 라고규정하고있는사실은인정된다. 그러나앞서든증거들에변론전체의취지를종합하여인정되는다음과같은사정들, 즉 1 피고의게이트웨이서버는정보통신망법제45조에따라방송통신위원회가 2010. 2. 3. 고시한정보보호조치및안전진단방법 절차 수수료에관한지침 [ 별표1] 2.2.5. 의라우터가아니라윈도우 OS로작동하는서버이고, 위지침 [ 별표1] 의 2.2.8. 이규정한 라우터에서불필요한프로토콜을제거하는것 은위지침 [ 별표3] 의라. 군에해당하는피고에게적용되는의무가아닌점, 2 DB 서버관리자의컴퓨터에서 FTP 프로토콜을삭제하는것은법령상의무가아니고, 피고가내부적으로정한개인정보보호업무지침서제26조제4항은개인정보접근컴퓨터를 FTP 서버로이용할때 ( 즉, FTP 서비스를제공하는경우 ) 에는클라이언트로이용할때와는전혀다른보안문제가발생하기때문에개인정보접근컴퓨터를 FTP 서버로설정하는행위 ( 즉개인정보접근컴퓨터에서파일공유를열어주는방식을통해타컴퓨터로의접속및파일전송을가능하게만드는기능 ) 를금지하는취지 - 18 -
인데, 이사건해킹사고는개인정보접근컴퓨터를 FTP 서버로설정함으로써발생한것이아니라이사건해커가개인정보접근컴퓨터를 FTP 클라이언트로사용하여개인정보를전송한것이므로, 이사건해킹사고와관련하여위업무지침서위반사항은존재하지않는점, 3 피고의게이트웨이서버의 FTP 프로토콜과 DB 서버관리자컴퓨터의 FTP 클라이언트기능은평소업무에필요하였던점, 4 피고의게이트웨이서버와 DB 서버관리자컴퓨터에 FTP 방식의프로토콜이설치되어있지않았다고하더라도, 이사건해커가개인정보를외부로유출할수있는수단은메신저프로그램, 대용량메일서비스등여러가지가있는점등을종합하여볼때, 피고가 DB 서버의게이트웨이서버와 DB 서버관리자의컴퓨터에 FTP 방식의프로토콜을설정하였다는사정만으로는피고가개인정보에대한불법적인접근을차단하기위한기술적 관리적보호조치를위반하였다거나, 피고가 DB 서버의게이트웨이서버와 DB 서버관리자의컴퓨터에 FTP 방식의프로토콜을설정하였던행위와이사건해킹사고사이에상당인과관계가있다고볼수없고, 달리이를인정할만한증거가없다. 따라서원고들의이부분주장은이유없다. 마 ) 개인정보의불법유출탐지와방지를위한기술적 관리적보호조치위반여부정보통신망법제28조제1항제2, 3호, 같은법시행령제15조제2항및이사건고시제4, 5조는개인정보에대한불법적접근을차단하기위한기술적 관리적보호조치에관하여규정하고있다. 그러므로피고가위와같은기술적 관리적보호조치의무를위반하였는지보건대, 을제5, 17, 30, 41호증 ( 가지번호포함 ) 의각기재및변론전체의취지를종합하면, 피고가작성한개인정보보호업무지침서에서는개인정보관리책임자의허가를받아 - 19 -
개인정보접근권한이부여될수있도록하고있고 ( 제22조 ), 개인정보접근권한대장과관련기록을작성하여보관하도록규정하면서 ( 제23조 ), 업무특성에따른접근권한부여기준 ( 제24조 ), 접근권한의변경과말소에대한기준 ( 제25조 ), 접근권한프로그램의보안을위한비밀번호의작성규정 ( 제27조 ), 개인정보접근로그저장, 로그의보관 관리, 로그에대한확인 감독을통한불법적인접근 사용감시 ( 제29조 ) 등에대하여정하고있는사실, 피고는개인정보취급자가외부에서개인정보관리시스템에접근하는경우가설사설망 (VPN) 을통해접근하도록하고있는사실, 피고는주식회사안철수연구소, 인포섹주식회사등과개인정보시스템에대한침입차단시스템또는침입탐지시스템설치, 유지보수, 증설계약등을체결하여침입차단시스템과침입탐지시스템을설치 운영하고있는사실, 피고는개인정보처리시스템에아이디와비밀번호를입력한후계속해서 2차로그인을위해이메일로 OTP 번호를발송하여로그인하도록하고, 개인정보처리시스템에대한접속권한을아이피주소등으로제한하여인가받지않은접근을제한하는방화벽을설치하는방법으로침입차단시스템을설치 운영하고있는사실, 피고는침입차단시개인정보처리시스템에접속한아이피주소등을재분석하여불법적인개인정보유출시도를탐지하도록하는침입탐지시스템을설치 운영하고있는사실을인정할수있는바, 이에비추어보면, 피고는이사건해킹당시정보통신망법제28조제1항제2, 3호, 정보통신망법시행령제15조제2항및이사건고시제4, 5조에서정한기술적 관리적보호조치를이행하고있었던것으로보이고, 여기에이사건해커가사용한해킹의수법, 해킹방지기술의한계, 해킹방지기술도입을위한경제적비용및그효용의정도등을종합하여보면, 피고가이사건해킹사고당시대량의정보가유출되는이상징후를감지하지못하였다하더라도, 이러한사정만으로 - 20 -
는피고가개인정보에대한불법적인접근을차단하기위한기술적 관리적보호조치를위반하였다고인정하기에부족하고, 달리이를인정할증거가없다. 따라서원고들의이부분주장은이유없다. 바 ) DB 서버접속내역및접속하여수행하는업무내역을실시간감시하지않은행위관련보호조치위반여부을제30, 35, 46, 47호증 ( 가지번호포함 ) 의각기재및변론전체의취지를종합하면, 이사건해킹사고발생당시피고는와이즈허브시스템즈의 DLP 솔루션과주니퍼네트웍스의 ISG2000 통합보안게이트웨이 라는방화벽을사용하고있었던사실, 위 DLP 솔루션은사용자컴퓨터에저장된전자문서및데이터가외부로유출되는것을탐지또는차단, 로그를생산하여자료의유출을방지하고감시및추적기능을제공하는자료유출방지시스템으로서, 이름, 주소, 전화번호, 이메일주소, 주민등록번호, 계좌번호등특정패턴의정보가들어있는파일을식별할수있고, 이들정보가특정건수이상유출될경우에는관리자에게경고를발송하거나, 위유출을차단하거나, 일시차단후상급자가승인하여야위차단이해제되는기능이있었던사실, 이사건해킹사고당시 DLP 솔루션이암호화되지않은이름, 주소, 전화번호, 이메일주소등의개인정보유출을탐지하지못한사실을인정할수있다. 그러나앞서든증거들에변론전체의취지를종합하여인정되는다음과같은사정들, 즉 1 이사건해킹사고발생당시관련법령에서정한기술적 관리적보호조치에개인정보처리시스템에서대량으로유출되는정보를실시간으로감시하는보호조치가포함된보기어려운점, 2 이사건해킹사고당시 DLP 솔루션의설치는피고와동종업계사업자들사이에서보편적으로사용되던기술적조치가아니었던점, 3 피고가사용한 DLP 솔루션은 PC에 - 21 -
서외부로전송되는내역만을탐지대상으로삼을수있었을뿐, 유닉스서버인 DB 서버에서게이트웨이서버로전송되는내역및윈도우서버운영체제를사용하는게이트웨이서버에서직원컴퓨터로전송되는내역을탐지할수는없었고, 암호화된비밀번호와주민등록번호를탐지할수는없었던점, 4 이사건해킹사고당시이사건해커가사용한방식인 command 상태 ( 일명 DOS창 ) 에서 FTP 명령을실행하여파일을전송할경우 DLP 솔루션이이름, 주소, 전화번호, 이메일주소등개인정보유출을탐지하지못하는프로그램오류 (bug) 가존재하여, 위와같은개인정보유출이탐지된내역이없었던점, 5 피고와보안관제계약을체결한주식회사안철수연구소의모니터링은 네트워크장비의정상작동 여부를위한것이었으므로그임계치를심야시간과업무시간으로나누어설정할이유가없었던점, 6 DLP 솔루션에는파일용량을기준으로정보유출을차단하는기능이없었을뿐아니라, 평소트래픽에비하여이사건해커가 2GB, 2GB, 6GB로나누어외부로유출한파일로인하여발생한트래픽이이상징후로판단하여야할정도의대용량이라고보기는어려운점등에비추어보면, 피고가 DLP 솔루션을갖추고있었음에도 2011. 7. 26. 새벽부터 2011. 7. 27. 새벽까지이틀에걸쳐대량의개인정보가유출되는이상징후를감지하지못하였다고하더라도, 이러한사정만으로피고가개인정보에대한불법적인접근을차단하기위한기술적 관리적보호조치를위반하였다고인정하기에부족하고, 달리이를인정할증거가없다. 따라서원고들의이부분주장도이유없다. 사 ) 국내공개용알집프로그램사용관련보호조치위반여부 (1) 저작권법위반에관하여원고들은, 피고가영리기업임에도저작권법을위반하여국내의개인사용자 - 22 -
에게무료로제공되는알집프로그램을사용한잘못이있으므로, 피고는원고들에게이사건해킹사고로인한손해를배상할책임이있다고주장한다. 그런데원고들의주장과같이피고가국내공개용알집프로그램을사용한것이저작권법위반행위에해당한다고하더라도, 그로인해피고가원고들에대하여손해배상책임을부담하기위해서는, 저작권법위반행위와이사건해킹사고로인한원고들의손해발생사이에상당인과관계가있어야하고, 이를판단함에있어서는결과발생의개연성은물론저작권법의입법목적과보호법익, 저작권법위반행위의태양및피침해이익의성질등을종합적으로고려하여야한다. 이스트소프트의라이센스정책에의하면, 이스트소프트가제공하는국내공개용알집프로그램은국내의개인사용자에게무료로제공되는프로그램이고, 영리기업은유료로제공되는국내기업용알집프로그램을구매하여사용하도록하고있는사실은원고들과피고사이에다툼이없고, 피고가영리기업임에도피고의직원들이국내공개용알집프로그램을설치하여사용한사실은앞서본바와같다. 그러나피고가국내공개용알집프로그램을사용한것이저작권법위반행위에해당한다고하더라도, 저작권법의입법취지는저작자의권리를보호하고저작물의공정한이용을도모하고자함에있는것이지, 저작자의권리를침해하는방법으로컴퓨터프로그램저작물을이용하는과정에서제3자의해킹으로개인정보가유출됨으로써손해가발생한경우그손해를입은자들까지보호하고자함에있는것은아닌점, 피고가사용한국내공개용알집프로그램이불법복제된소프트웨어로보이지는않는점, 이사건해커가이스트소프트의업데이트서버를이용하여피고직원의컴퓨터에악성프로그램을설치하도록함으로써원고들의개인정보가유출되었던것이지, 피고가사용한국내공개 - 23 -
용알집프로그램자체에악성프로그램이포함되어있던것은아닌점, 정보통신망법등관련법령에서정보통신서비스제공자등에게요구하는기술적 관리적조치에국내공개용알집프로그램과같이저작자가개인사용자에게만사용할권한을부여한컴퓨터프로그램저작물의사용을금지하거나규제하는내용이포함되어있지는않은점등을종합하여보면, 앞서인정한사실만으로는피고의저작권법위반행위와이사건해킹사고로인한원고들의손해발생사이에상당인과관계가있다고볼수없고, 달리이를인정할증거가없다. 따라서이와다른전제에선원고들의이부분주장은더나아가살펴볼필요없이이유없다. (2) 국내공개용알집프로그램사용과이사건해킹사고사이에상당인과관계가존재하는지여부피고가국내기업용알집프로그램이아닌국내공개용알집프로그램을사용하였기때문에이사건해킹사고를막을수없었던것인지보건대, 을제30, 49, 50 호증의각기재및변론전체의취지를종합하면, 이사건해커는국내공개용알집프로그램이광고업데이트를할때다운로드되는정상적인 ALAD.dll 파일과같은이름의악성프로그램을만들어해킹에이용한사실, 광고업데이트는무료로제공되는국내공개용알집프로그램에만포함된기능인사실은인정된다. 그러나이사건해커는악성프로그램이목표로한컴퓨터에설치되도록하기위하여먼저이스트소프트가운영하는알집업데이트웹사이트의 ISAPI 필터에 stmpxml.dll 파일을등록한사실, ISAPI 필터에 stmpxml.dll 파일이등록되면, 피고등선별된 IP 주소에서사용되는컴퓨터가알집업데이트를요청하는경우이스트소프트가설정한본래의다운로드경로가아닌, 이사건해커가설정한악성프로그램유포 - 24 -
지에서악성프로그램을다운로드하게되는사실은앞서인정한바와같고, 여기에앞서든증거에변론전체의취지를더하여인정할수있는다음과같은사정들, 즉국내기업용알집프로그램에도기능향상이나오류수정등을위한업데이트기능이포함되어있는점, 이사건해커가만든악성프로그램의파일이름이 ALAD.dll로국내공개용알집프로그램의광고업데이트과정에서다운로드되는파일과같기는하나, 이는정상적인파일과혼동되도록그파일이름을위와같이사용한것으로보이고, 위악성프로그램자체는키로깅프로그램을실행시키도록하는파일인점등을종합하여볼때, 이사건해커가사용한것으로보이는해킹기법에따르면, 피고가국내기업용알집프로그램을사용한경우에도국내기업용알집프로그램의업데이트과정에서위와같은방식으로본래의다운로드경로가아닌악성프로그램유포지에서악성프로그램을다운로드받도록이스트소프트의업데이트웹사이트 ISAPI 필터를조작하는것이가능하였을것으로보인다. 따라서피고가국내기업용알집프로그램을사용하였더라도이사건해킹사고를막을수없었을가능성이있으므로, 비록국내공개용알집프로그램이수시로광고업데이트를하고, 국내기업용알집프로그램보다그이용자가많아이사건해커가해킹에이용하는것이더용이하였을것으로추측된다하더라도, 위에서인정한사실만으로는피고의국내공개용알집프로그램사용행위와이사건해킹사고로인한원고들의손해발생사이에상당인과관계가있다고인정하기에부족하고, 달리이를인정할증거가없다. 따라서이와다른전제에선원고들의이부분주장은더나아가살펴볼필요없이이유없다. 아 ) 암호화기술사용관련보호조치위반여부암호화기술등을이용한보안조치에관하여는정보통신망법제28조제1항제 - 25 -
4호, 정보통신망법시행령제15조제4항및이사건고시제6조에서규정하고있는데, 을제30호증의기재에변론전체의취지를종합하면, 피고는이용자의비밀번호를일방향암호화하고, 주민등록번호도별도로암호화하여저장 관리하고있는사실, 또한피고는개인정보처리시스템외의시스템으로개인정보를전송하거나저장할때암호화하도록하고있고, 개인정보를전송할때에는개인정보의추출요청자, 추출항목, 사용목적, 추출대상자, 자료활용기간, 자료보관방법, 파기책임자및파기예정일등을특정하여관리하고있는사실을인정할수있는바, 이에비추어보면, 피고는정보통신망법제28조제1항제4호, 정보통신망법시행령제15조제4항및이사건고시제6조에서정한암호화기술등을이용한보안조치를이행하고있는것으로보인다. 가사피고가사용한 MD5 암호화방식이상대적으로해독가능성이크다고하더라도, 이러한사정만으로는피고가암호화기술사용관련기술적 관리적보호조치를위반하였다고인정하기에부족하고, 달리이를인정할증거가없다. 따라서원고들의이부분주장은이유없다. 다. 소결론따라서이사건해킹사고당시정보통신망법등관련법령에서정한기술적 관리적보호조치의내용, 피고가이행한기술적 관리적보호조치의수준, 이사건해커가사용한해킹의수법, 해킹방지기술의한계, 해킹방지기술도입을위한경제적비용및그효용의정도등앞서검토한내용을종합하여보면, 피고가개인정보유출방지에관한기술적 관리적보호조치를이행하지않아이사건해킹사고를막지못한것으로보기어려우므로, 피고가서비스이용약관및관련법령에서정한개인정보수집및관리상의주의의무를위반하였음을전제로한원고들의이사건청구는모두이유없다. - 26 -
6. 결론 그렇다면, 원고 A, B, C, D 의소는부적법하여각하하고, 나머지원고들의청구는이유 없어이를모두기각하기로하여, 주문과같이판결한다. 재판장판사장성관 판사 김미경 판사 김병훈 - 27 -
원고명단생략 - 28 -
관련법령 [ 정보통신망법 ] 제23조 ( 개인정보의수집제한등 ) 1 정보통신서비스제공자는사상, 신념, 과거의병력등개인의권리 이익이나사생활을뚜렷하게침해할우려가있는개인정보를수집하여서는아니된다. 다만, 제22조제1항에따른이용자의동의를받거나다른법률에따라특별히수집대상개인정보로허용된경우에는그개인정보를수집할수있다. 2 정보통신서비스제공자는이용자의개인정보를수집하는경우에는정보통신서비스의제공을위하여필요한최소한의정보를수집하여야하며, 필요한최소한의정보외의개인정보를제공하지아니한다는이유로그서비스의제공을거부하여서는아니된다. 제23조의2( 주민등록번호외의회원가입방법 ) 1 정보통신서비스제공자로서제공하는정보통신서비스의유형별일일평균이용자수가대통령령으로정하는기준에해당하는자는이용자가정보통신망을통하여회원으로가입할경우에주민등록번호를사용하지아니하고도회원으로가입할수있는방법 ( 이하 " 대체수단 " 이라한다 ) 을제공하여야한다. 2 제1항에해당하는정보통신서비스제공자는주민등록번호를사용하는회원가입방법을따로제공하여이용자가회원가입방법을선택하게할수있다. 제27조 ( 개인정보관리책임자의지정 ) 1 정보통신서비스제공자등은이용자의개인정보를보호하고개인정보와관련한이용자의고충을처리하기위하여개인정보관리책임자를지정하여야한다. 다만, 종업원수, 이용자수등이대통령령으로정하는기준에해당하는정보통신서비스제공자등의경우에는지정하지아니할수있다. 2 제1항단서에따른정보통신서비스제공자등이개인정보관리책임자를지정하지아니하는경우에는그사업주또는대표자가개인정보관리책임자가된다. 3 개인정보관리책임자의자격요건과그밖의지정에필요한사항은대통령령으로정한다제28조 ( 개인정보의보호조치 ) 1 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실 도난 누출 - 29 -
변조또는훼손을방지하기위하여대통령령으로정하는기준에따라다음각호의기술적 관리적조치를하여야한다. 1. 개인정보를안전하게취급하기위한내부관리계획의수립 시행 2. 개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치의설치 운영 3. 접속기록의위조 변조방지를위한조치 4. 개인정보를안전하게저장 전송할수있는암호화기술등을이용한보안조치 5. 백신소프트웨어의설치 운영등컴퓨터바이러스에의한침해방지조치 6. 그밖에개인정보의안전성확보를위하여필요한보호조치 2 정보통신서비스제공자등은이용자의개인정보를취급하는자를최소한으로제한하여야한다. 제32조 ( 손해배상 ) 이용자는정보통신서비스제공자등이이장의규정을위반한행위로손해를입으면그정보통신서비스제공자등에게손해배상을청구할수있다. 이경우해당정보통신서비스제공자등은고의또는과실이없음을입증하지아니하면책임을면할수없다. 제45조 ( 정보통신망의안정성확보등 ) 2 방송통신위원회는제1항에따른보호조치의구체적내용을정한정보보호조치및안전진단의방법 절차 수수료에관한지침 ( 이하 정보보호지침 이라한다 ) 을정하여고시하고정보통신서비스제공자에게이를지키도록권고할수있다. 제46조의3( 정보보호안전진단 ) 1 다음각호의어느하나에해당하는자는방송통신위원회가안전진단을수행할수있다고인정한자 ( 이하 " 안전진단수행기관 " 이라한다 ) 로부터자신의정보통신망또는집적정보통신시설에대하여매년정보보호지침에따른정보보호안전진단을받아야한다. 이경우안전진단수행기관은 15명이상의정보보호기술인력을보유하고최근 3년이내에정보보호컨설팅을수행한실적이있는법인이어야한다. 1. 전기통신사업법제2조제8호에따른전기통신사업자로서전국적으로정보통신망서비스를제공하는자 ( 이하 " 주요정보통신서비스제공자 " 라한다 ) 2. 집적정보통신시설사업자 3. 정보통신서비스제공자로서매출액, 이용자수등이대통령령으로정하는기준에해 - 30 -
당하는자 2 제1항에따라정보보호안전진단을받는사업자는관련정보의제공및시설ㆍ장소에의출입허용등안전진단수행기관의정보보호안전진단업무에협력하고, 대통령령으로정하는바에따라정보보호안전진단의결과를방송통신위원회에제출하여야한다. 3 제1항에따라정보보호안전진단을받아야하는사업자가정보통신기반보호법제9조에따라취약점의분석ㆍ평가를받거나제47조에따른정보보호관리체계의인증을받으면그분석 평가를받거나인증을받은해당연도에는제1항에따른정보보호안전진단을받은것으로본다. 4 안전진단수행기관은제1항에따른정보보호안전진단을받은사업자에게안전진단의결과에따라정보보호조치의개선을권고할수있다. 5 안전진단수행기관은제4항에따라정보보호조치의개선을권고하였으면그권고내용및처리결과를방송통신위원회에통보하여야한다. 6 방송통신위원회는제2항에따라제출된정보보호안전진단의결과와제5항에따른통보내용에따라필요하면정보보호안전진단을받은사업자에게정보보호조치에관한개선명령을할수있다. 7 제1항에따른정보보호안전진단의방법 절차 수수료, 안전진단수행기관의인정절차, 정보보호기술인력의자격기준, 정보보호컨설팅수행실적, 그밖에필요한사항은대통령령으로정한다. 8 방송통신위원회는제1항제3호의요건에해당하는지를확인하기위하여필요하면관계행정기관, 관련자료보유기관또는정보통신서비스제공자에대하여필요한자료의제공또는사실의확인을요청할수있다. 제47조 ( 정보보호관리체계의인증 ) 1 정보통신망의안정성및신뢰성을확보하기위하여기술적 물리적보호조치를포함한종합적관리체계 ( 이하 " 정보보호관리체계 " 라한다 ) 를수립 운영하고있는자는정보보호관리체계가제2항에따라방송통신위원회가고시한기준에적합한지에관하여방송통신위원회나한국인터넷진흥원이지정하는기관 ( 이하 " 정보보호관리체계인증기관 " 이라한다 ) 으로부터인증을받을수있다. 2 방송통신위원회는제1항에따른인증에관한정보보호관리기준등필요한기준을정하여고시할수있다. - 31 -
3 제1항에따라정보보호관리체계의인증을받은자는대통령령으로정하는바에따라인증의내용을표시하거나홍보할수있다. 4 제1항에따른인증의방법 절차와그밖에필요한사항은대통령령으로정한다. 5 정보보호관리체계인증기관지정의기준 절차 유효기간등에필요한사항은대통령령으로정한다. [ 정보통신망법시행령 ] 제15조 ( 개인정보의보호조치 ) 1 법제28조제1항제1호에따라정보통신서비스제공자등은개인정보의안전한취급을위하여다음각호의내용을포함하는내부관리계획을수립 시행하여야한다. 1. 개인정보관리책임자의지정등개인정보보호조직의구성 운영에관한사항 2. 개인정보취급자의교육에관한사항 3. 제2항부터제5항까지의규정에따른보호조치를이행하기위하여필요한세부사항 2 법제28조제1항제2호에따라정보통신서비스제공자등은개인정보에대한불법적인접근을차단하기위하여다음각호의조치를하여야한다. 1. 개인정보를처리할수있도록체계적으로구성한데이터베이스시스템 ( 이하 " 개인정보처리시스템 " 이라한다 ) 에대한접근권한의부여 변경 말소등에관한기준의수립 시행 2. 개인정보처리시스템에대한불법적인접근을차단하기위한침입차단시스템및침입탐지시스템의설치 운영 3. 비밀번호의생성방법및변경주기등의기준설정과운영 4. 그밖에개인정보에대한접근통제를위하여필요한조치 3 법제28조제1항제3호에따라정보통신서비스제공자등은접속기록의위조 변조방지를위하여다음각호의조치를하여야한다. 1. 개인정보취급자가개인정보처리시스템에접속하여개인정보를처리한경우접속일시, 처리내역등의저장및이의확인 감독 2. 개인정보처리시스템에대한접속기록을별도저장장치에백업보관 4 법제28조제1항제4호에따라정보통신서비스제공자등은개인정보가안전하게저장 전송될수있도록다음각호의보안조치를하여야한다. 1. 비밀번호및바이오정보 ( 지문, 홍채, 음성, 필적등개인을식별할수있는신체적또 - 32 -
는행동적특징에관한정보를말한다 ) 의일방향암호화저장 2. 주민등록번호및계좌정보등금융정보의암호화저장 3. 정보통신망을통하여이용자의개인정보및인증정보를송신 수신하는경우보안서버구축등의조치 4. 그밖에암호화기술을이용한보안조치 5 법제28조제1항제5호에따라정보통신서비스제공자등은개인정보처리시스템및개인정보취급자가개인정보처리에이용하는정보기기에컴퓨터바이러스, 스파이웨어등악성프로그램의침투여부를항시점검 치료할수있도록백신소프트웨어를설치하여야하며, 이를주기적으로갱신 점검하여야한다. 6 방송통신위원회는제1항부터제5항까지의규정에따른사항과법제28조제1항제6호에따른그밖에개인정보의안전성확보를위하여필요한보호조치의구체적인기준을정하여고시하여야한다. 제39조 ( 정보보호안전진단의방법및절차등 ) 2 법제46조의3 제1항에따라안전진단을받아야하는자 ( 이하 안전진단대상자 라한다 ) 는정보보호안전진단에필요한다음각호의사항을준비하여야한다. 4. 그밖에정보보호안전진단에필요한서류로서방송통신위원회가정하여고시한서류 5 정보보호안전진단의방법및절차에관한구체적인기준은방송통신위원회가정하여고시한다. 제40조 ( 정보보호안전진단의수수료 ) 방송통신위원회는다음각호의사항을고려하여정보보호안전진단수수료산정을위한구체적인기준을정하여고시하여야한다. 1. 정보보호안전진단을받는정보통신설비및시설의규모 2. 정보보호안전진단에참가하는자의전문성 3. 정보보호안전진단기간제42조 ( 정보보호안전진단확인증의발급 ) 정보통신망법제46조의3 제1항에따른안전진단수행기관 ( 이하 " 안전진단수행기관 " 이라한다 ) 은정보보호안전진단을실시한결과법제45조제2항에따른정보보호조치및안전진단방법 절차 수수료에관한지침 ( 이하 " 정보보호지침 " 이라한다 ) 을준수하는자에대하여는방송통신위원회가정하여고시하는정보보호안전진단확인증을발급하여야한다. - 33 -
제43조 ( 정보보호안전진단결과의제출 ) 1 안전진단대상자가정보통신망법제46조의3 제2항에따라정보보호안전진단결과를방송통신위원회에제출하는경우에는안전진단수행기관으로부터정보보호안전진단결과를통보받은날부터 15일이내에정보보호안전진단결과통지서를제출하여야한다. 2 안전진단수행기관이법제46조의3 제5항에따라정보보호조치의개선권고내용및처리결과를방송통신위원회에통보하는경우에는그권고를하거나처리가완료된후 15일이내에정보보호조치의개선권고내용및처리결과통보서를제출하여야한다. 제46조 ( 안전진단수행기관의인정절차등 ) 1 법제46조의3제1항및제7항에따라안전진단수행기관으로인정받으려는자는안전진단수행기관인정신청서 ( 전자문서로된신청서를포함한다 ) 에다음각호의서류 ( 전자문서를포함한다 ) 를첨부하여방송통신위원회에제출하여야한다. 1. 법인의정관 2. 정보보호기술인력보유현황과이를증명할수있는서류 3. 정보보호컨설팅수행실적명세서와이를증명할수있는서류 2 제1항에따른안전진단수행기관인정신청서를받은방송통신위원회는 전자정부법 제36 조제1항에따른행정정보의공동이용을통하여법인등기사항증명서를확인하여야한다. 3 방송통신위원회는제1항에따른인정신청을받은경우에는제44조및제45조에따른정보보호기술인력의자격기준및정보보호컨설팅수행실적의충족여부를심사하여신청을받은날부터 30일이내에그결과를신청인에게통지하고, 안전진단수행기관으로인정하는경우에는신청인에게안전진단수행기관인정서를발급하여야한다. 4 제3항에따라안전진단수행기관으로인정받은자는제44조및제45조에따른정보보호기술인력의자격기준및정보보호컨설팅수행실적을충족하지못하는경우에는방송통신위원회에안전진단수행기관인정서를반납하여야한다. [ 이사건고시 ] 제1조 ( 목적 ) 이기준은정보통신망법제28조제1항및정보통신망법시행령제15조제6항에따라정보통신서비스제공자등이이용자의개인정보를취급함에있어서개인정보가분실 도난 누출 변조 훼손등이되지아니하도록안전성을확보하기위하여취하여야하는기술적 관리적보호조치의구체적인기준을정하는것을목적으로한다. - 34 -
제2조 ( 정의 ) 이기준에서사용하는용어의뜻은다음과같다. 1. 개인정보관리책임자 라함은정보통신서비스제공자의사업장내에서이용자의개인정보보호업무를총괄하거나업무처리를최종결정하는임직원을말한다. 2. 개인정보취급자 라함은정보통신서비스제공자의사업장내에서이용자의개인정보를수집, 보관, 처리, 이용, 제공, 관리또는파기등의업무를하는자를말한다. 2의2. 내부관리계획 이라함은정보통신서비스제공자등이개인정보의안전한취급을위하여개인정보보호조직의구성, 개인정보취급자의교육, 개인정보보호조치등을규정한계획을말한다. 3. 개인정보처리시스템 이라함은개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말한다. 4. 비밀번호 라함은이용자및개인정보취급자등이시스템또는정보통신망에접속할때식별자와함께입력하여정당한접속권한을가진자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. 5. 접속기록 이라함은이용자또는개인정보취급자등이개인정보처리시스템에접속하여수행한업무내역에대하여식별자, 접속일시, 접속지를알수있는정보, 수행업무등접속한사실을전자적으로기록한것을말한다. 6. 바이오정보 라함은지문, 얼굴, 홍채, 정맥, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보로서그로부터가공되거나생성된정보를포함한다. 7. P2P(Peer to Peer) 라함은정보통신망을통해서버의도움없이개인과개인이직접연결되어파일을공유하는것을말한다. 8. 공유설정 이라함은컴퓨터소유자의파일을타인이조회 변경 복사등을할수있도록설정하는것을말한다. 9. 보안서버 라함은정보통신망에서송 수신하는정보를암호화하여전송하는웹서버를말한다. 10. 인증정보 라함은개인정보처리시스템또는정보통신망을관리하는시스템등이요구한식별자의신원을검증하는데사용되는정보를말한다. 제3조 ( 내부관리계획의수립 시행 ) 1 정보통신서비스제공자등은다음각호의사항을정하여개인정보보호조직을구성 운영하여야한다. - 35 -
1. 개인정보관리책임자의자격요건및지정에관한사항 2. 개인정보관리책임자와개인정보취급자의역할및책임에관한사항 3. 개인정보내부관리계획의수립및승인에관한사항 4. 개인정보의기술적 관리적보호조치이행여부의내부점검에관한사항 5. 그밖에개인정보보호를위해필요한사항 2 정보통신서비스제공자등은다음각호의사항을정하여개인정보관리책임자및개인정보취급자를대상으로매년 2회이상교육을실시하여야한다. 1. 교육목적및대상 2. 교육내용 3. 교육일정및방법 3 정보통신서비스제공자등은제1항및제2항에대한세부계획, 제4조부터제8조까지의보호조치이행을위한세부적인추진방안을포함한내부관리계획을수립 시행하여야한다. 제4조 ( 접근통제 ) 1 정보통신서비스제공자등은개인정보처리시스템에대한접근권한을서비스제공을위하여필요한개인정보관리책임자또는개인정보취급자에게만부여한다. 2 정보통신서비스제공자등은전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소한다. 3 정보통신서비스제공자등은제1항및제2항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 5년간보관한다. 4 정보통신서비스제공자등은개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속이필요한경우에는공인인증서등안전한인증수단을적용하여야한다. 5 정보통신서비스제공자등은정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한시스템을설치 운영하여야한다. 1. 개인정보처리시스템에대한접속권한을 IP주소등으로제한하여인가받지않은접근을제한 2. 개인정보처리시스템에접속한 IP주소등을재분석하여불법적인개인정보유출시도를탐지 6 정보통신서비스제공자등은이용자가안전한비밀번호를이용할수있도록비밀번호 - 36 -
작성규칙을수립하고, 이행한다. 7 정보통신서비스제공자등은개인정보취급자를대상으로다음각호의사항을포함하는비밀번호작성규칙을수립하고, 이를적용 운용하여야한다. 1. 다음각목의문자종류중 2종류이상을조합하여최소 10자리이상또는 3종류이상을조합하여최소 8자리이상의길이로구성가. 영문대문자 (26개) 나. 영문소문자 (26개) 다. 숫자 (10개) 라. 특수문자 (32개) 2. 연속적인숫자나생일, 전화번호등추측하기쉬운개인정보및아이디와비슷한비밀번호는사용하지않는것을권고 3. 비밀번호에유효기간을설정하여반기별 1회이상변경 8 정보통신서비스제공자등은취급중인개인정보가인터넷홈페이지, P2P, 공유설정등을통하여열람권한이없는자에게공개되거나외부에유출되지않도록개인정보처리시스템및개인정보취급자의컴퓨터에조치를취하여야한다. 제5조 ( 접속기록의위 변조방지 ) 1 정보통신서비스제공자등은개인정보취급자가개인정보처리시스템에접속한기록을월 1회이상정기적으로확인 감독하여야하며, 시스템이상유무의확인등을위해최소 6개월이상접속기록을보존 관리하여야한다. 2 단, 제1항의규정에도불구하고전기통신사업법제5조의규정에따른기간통신사업자의경우에는보존 관리해야할최소기간을 2년으로한다. 3 정보통신서비스제공자등은개인정보취급자의접속기록이위 변조되지않도록별도의물리적인저장장치에보관하여야하며정기적인백업을수행하여야한다. 제6조 ( 개인정보의암호화 ) 1 정보통신서비스제공자등은비밀번호및 바이오정보는복호화되지아니하도록일방 향암호화하여저장한다. 2 정보통신서비스제공자등은주민등록번호, 신용카드번호및계좌번호에대해서는안전한암호알고리듬으로암호화하여저장한다. 3 정보통신서비스제공자등은정보통신망을통해이용자의개인정보및인증정보를송 - 37 -
수신할때에는안전한보안서버구축등의조치를통해이를암호화해야한다. 보안서버 는다음각호중하나의기능을갖추어야한다. 1. 웹서버에 SSL(Secure Socket Layer) 인증서를설치하여전송하는정보를암호화하여송 수신하는기능 2. 웹서버에암호화응용프로그램을설치하여전송하는정보를암호화하여송 수신하는기능 4 정보통신서비스제공자등은이용자의개인정보를개인용컴퓨터 (PC) 에저장할때에는이를암호화해야한다. 제7조 ( 악성프로그램방지 ) 정보통신서비스제공자등은백신소프트웨어를월 1회이상주기적으로갱신 점검하고, 악성프로그램관련경보가발령된경우및백신소프트웨어또는운영체제제작업체에서업데이트공지가있는경우에는응용프로그램과정합성을고려하여최신소프트웨어로갱신 점검하여야한다. 제8조 ( 출력 복사시보호조치 ) 1 정보통신서비스제공자등은개인정보처리시스템에서개인정보의출력시 ( 인쇄, 화면표시, 파일생성등 ) 용도를특정하여야하며, 용도에따라출력항목을최소화한다. 2 정보통신서비스제공자등은개인정보가포함된종이인쇄물, 개인정보가복사된외부저장매체등개인정보의출력 복사물을안전하게관리하기위해출력 복사기록등필요한보호조치를갖추어야한다. 제9조 ( 개인정보표시제한보호조치 ) 정보통신서비스제공자등은개인정보업무처리를목적으로개인정보의조회, 출력등의업무를수행하는과정에서개인정보보호를위하여개인정보를마스킹하여표시제한조치를취하는경우에는다음의원칙으로적용할수있다. 1. 성명중이름의첫번째글자이상 2. 생년월일 3. 전화번호또는휴대폰전화번호의국번 4. 주소의읍 면 동 5. 인터넷주소는버전 4의경우 17~24 비트영역, 버전 6의경우 113~128 비트영역. 끝. - 38 -