개인정보유출관련판례및금융권시사점 금융정보보호부과장유정각 (kagi@kftc.or.kr) 대리송주민 (jumin@kftc.or.kr) Ⅰ. 개요 129 Ⅱ. 개인정보관련법률 129 Ⅲ. 개인정보유출관련판례 131 1. 엔씨소프트사건 131 2. A은행사건 132 3. LG전자사건 134 4. 옥션사건 136 5. GS칼텍스사건 138 Ⅳ. 금융권시사점 140 1. 개인정보유출기업의책임에대한이해 140 2. 개인정보위험관리방안마련 145 참고문헌 148 2011. 4 127
< 요약 > 지난 2010년한해동안약 1억건이상의개인정보침해사고가발생하는등개인정보침해가대형화 지능화 다양화됨에따라개인정보보호에대한사회적경각심이높아지고있다. 2011년 3월 29일개인정보보호에관한일반법으로 개인정보보호법 이공포되고, 개인정보유출피해자들이유출기업을대상으로적극적인손해배상소송을제기하는등개인정보유출기업의책임은갈수록커지고있다. 특히, 금융기관은업무특성상고객의개인정보를많이활용하고있으므로개인정보를안전하게보호하여고객의개인정보에대한권리와이익을보장할의무가있으며, 만약개인정보가유출된다면경영진의불구속입건및손해배상과같은민 형사상책임을비롯한규제당국의간섭, 기업이미지하락등다양한책임을지게될것으로보여진다. 이에본고에서는엔씨소프트사건, A은행사건, LG전자사건, 옥션사건, GS칼텍스사건등주요개인정보유출관련판례를비교 분석함으로써유출사고발생시금융기관의책임을이해하고효과적인개인정보위험관리방안을마련하고자한다. 관련판례를분석해보면, 개인정보유출기업의책임을정하는주요쟁점은 1 개인정보가관리 통제권을벗어나제3자가알수있는상태에이르렀는지 2 유출된정황이금전으로손해배상할수준인지 3 개인정보유출기업이주의의무를위반하였는지 4 해당기업의손해배상책임범위가어느정도인지등으로, 단순히유출사고발생당시의상황뿐만아니라사고발생전후의조치들에의해서도영향을받는다. 따라서금융기관은평상시에는개인정보의수집, 이용, 제공, 파기등단계별로요구되는보호기준을준수하고, 기술적 관리적 물리적보호조치를충분히이행하는것은물론개인정보영향평가를통해개인정보유출위험요인을분석하여개선사항을도출하며개인정보유출사고에대비한대응매뉴얼등을마련하는것이필요하다. 그리고유출사고발생시에는유출정보의성격, 규모, 확산범위, 유출로인한피해의정도, 사고당시취하고있던보호조치의수준, 유출의원인등을파악하고관련증거들을수집해야한다. 또한개인정보유출사실을지체없이피해고객에게통지하고, 피해고객들의피해현황접수를받을수있는창구를마련하는것은물론신속하고적절한피해확산방지및피해회복조치를통해추가적인피해를최소화하고피해고객들의권리를구제하고자노력해야한다. 128 지급결제와정보기술
개인정보유출관련판례및금융권시사점 Ⅰ. 개요 개인정보란생존하는개인에관한정보로서성명, 주민등록번호및영상등을통해개인을알아볼수있는정보를말하며, 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을모두포함하고있다. 개인정보침해는대형화 지능화 다양화되고있으며, 2010년한해동안약 1억건이상의개인정보침해사고가발생하는등개인정보보호에관한사회적경각심이높아지고있다. 또한개인정보에대한국민의권익을보장하고자제안된 개인정보보호법 이 2011년 3 월공포되었고개인정보유출피해자들이유출기업을대상으로적극적인손해배상소송을제기하는등개인정보유출기업의책임은갈수록커지고있다. 특히금융기관은업무특성상고객의개인정보를많이활용하고있으므로, 만약개인정보가유출된다면벌금 과태료부과및경영진의불구속입건과같은형사적책임, 개인정보유출피해자들에대한손해배상책임, 그외규제당국의간섭및기업이미지하락등다양한책임을지게될것으로보여진다. 따라서본고에서는개인정보유출관련판례를정리하고분석함으로써, 개인정보유출기업의책임을명확히이해하는것은물론유출사고발생시책임을최소화하고고객의개인정보를안전하게보호할수있는효과적인개인정보위험관리방안을모색해보고자한다. 제II장에서는현개인정보관련법률체계와개인정보보호법제정으로인해달라지는부분에관해간략히살펴본다. 제III장에서는엔씨소프트사건, A은행사건, LG전자사건, 옥션사건, GS칼텍스사건등대표적인개인정보유출관련판례들에대해자세히정리한다. 마지막으로제IV장에서는앞서살펴본개인정보유출관련판례를분석하여금융권에시사하는바와준비해야할사항에대해살펴보도록한다. Ⅱ. 개인정보관련법률 현재개인정보관련법률체계는금융, 정보통신, 공공, 교육, 의료등주요분야별로소관법령이나누어져있다 ( 표1 참조 ). 그런데이와같은체계에서는법적용의사각지대가존재하고, 개별법간처리기준이상이하여혼란을초래하는경우도있었다. 또한 정보통신망이용촉진및정보보호등에관한법률 을제외하고각각의개별법에서는개인정보보호관련조항이제한적이거나선언적인규정에그치고있어, 개인정보보호에관한일반법 2011. 4 129
인 개인정보보호법 의필요성이사회적으로대두되었다. 이에 2008 년개인정보보호법안이발의되었고, 2011 년 3 월 29 일공포되어 9 월 30 일부 터시행된다. < 표 1> 개인정보보호법제정전개인정보관련법률체계 분야금융 신용정보통신공공 행정교육의료 소관법령신용정보의이용및보호에관한법률정보통신망이용촉진및정보보호등에관한법률공공기관의개인정보보호에관한법률초 중등교육법생명윤리및안전에관한법률 개인정보보호법안의주요내용은다음과같다. 우선개인정보보호법의적용대상을공공 민간부문의모든개인정보처리자로확대하고, 전자적으로처리되는개인정보외에수기문서까지개인정보의보호범위에포함하고있다. 개인정보의처리에있어수집 이용 제공 파기등단계별로보호기준을강화하고있으며, 개인정보의분실 도난 유출 변조및훼손을방지하기위하여기술적 관리적 물리적보호조치를취하도록의무화하고있다. 개인정보처리자가개인정보유출사실을인지하였을경우지체없이해당정보주체에게관련사실을통지하고, 일정규모이상의개인정보가유출된때에는전문기관에신고하도록하고있다. 그리고정보주체의권리를보장하기위하여정보주체에게개인정보의열람청구권, 정정 삭제청구권, 처리정지요구권등을부여하고있으며, 개인정보처리자는정보주체가열람등을요구할수있는구체적인방법과절차를마련하고이를공개하도록규정하고있다. 또한개인정보피해구제제도를개선하고자집단분쟁조정제도및단체소송제도를도입하고있다. 개인정보에관한분쟁조정업무를신속하고공정하게처리하기위하여개인정보분쟁조정위원회를두고, 개인정보피해가다수의정보주체에게같거나비슷한유형으로발생하는경우분쟁조정위원회에일괄적인분쟁조정을의뢰또는신청할수있다. 개인정보처리자가분쟁조정위원회의조정을거부하거나조정결과를수락하지아니한경우, 법에서정한요건에해당하는단체는법원에행위의금지 중지를구하는단체소송을제기할수있다. 마지막으로개인정보에관한권리또는이익을침해받은사실을신고하고상담할수있는창구를마련하고자, 개인정보침해사실의신고제도를도입하고있다. 130 지급결제와정보기술
개인정보유출관련판례및금융권시사점 개인정보보호법은개인정보보호의사각지대를없애고개인정보침해로인한국민의피해구제를강화하여개인정보에대한권리와이익을보장하는것을목적으로하고있어, 금융권을비롯한사회전반에많은영향을미칠것으로예상된다. 개인정보보호법제정에따른금융권의기술적 관리적 물리적세부조치사항등은개인정보보호법시행령, 시행규칙, 관련고시및지침등을통해구체화될것으로예상된다. Ⅲ. 개인정보유출관련판례 본장에서는개인정보유출관련주요판례에대해자세히살펴보고자한다 ( 표 2 참조 ). < 표2> 개인정보유출관련주요판례 사건명 사건번호 선고일자등 엔씨소프트사건 2006나12182 서울중앙지방법원 2007.1.26 선고 A은행사건 2007나33059 서울고등법원 2007.11.27 선고 LG전자사건 2008나25888 서울고등법원 2008.11.25 선고 옥션사건 2008가합31411 서울중앙지방법원 2010.1.14 선고 GS칼텍스사건 2008가합90021, 2008가합88370 서울중앙지방법원 2010.9.16 선고 1. 엔씨소프트사건 가. 사건개요 엔씨소프트는온라인게임인리니지II 게임을개발하여그이용서비스를제공하는회사이다. 2005년 5월 11일엔씨소프트의담당직원이리니지II 게임서버및네트워크의정기점검작업을실시하면서아이디및비밀번호입력과관련된기능을점검하기위해키보드로입력한아이디및비밀번호가이용자의컴퓨터하드디스크에로그파일로기록되도록하였다. 기능점검후실수로아이디및비밀번호기록기능을삭제하지않은채정기점검작업을마치는바람에 2005년 5월 11일오전 10시부터 2005년 5월 16일 12시 20분까지리니지II 게임에접속한이용자들의아이디와패스워드가로그파일에기록되었다. 엔씨소프트는사고기간동안리니지II 게임서버에접속했던모든이용자들로하여금주민등록번호를통한동일인확인을거쳐새로운비밀번호로변경한후에만리니지II 게임에 2011. 4 131
접속할수있도록하는비밀번호강제변경조치를취했고, 리니지 II 게임홈페이지에이용 자들에대한사과문을게시하였다. 나. 판결요지 아이디와비밀번호는가상공간에서그행위자의인격을표상한다고할수있으므로, 당해개인을알아볼수있는개인에관한정보로서 정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 이라한다 ) 제2조제1항제6호에서정한개인정보에해당한다. 원고 ( 피해이용자 ) 들은자신들의의사에반하여개인정보가함부로공개되지아니할권리를가지며, 원고들의개인정보를수집 관리하는정보통신서비스제공자인엔씨소프트는원고들의개인정보가누출되지않도록보안조치를다하여야할주의의무가있다. 그럼에도불구하고엔씨소프트는리니지II 게임서버의정기점검과정에서원고들의개인정보인아이디및비밀번호가암호화되지않은상태로로그파일에기록되도록함으로써이와같은주의의무를위반하였다. 정보통신망법상의누출이라함은개인정보가정보통신서비스제공자및이용자의개인정보관리 통제권을벗어나당해개인정보를모르는제3자가그내용을알수있는상태에이르는것을의미한다고할수있다. 따라서사고기간동안 PC방컴퓨터에서리니지II 게임에접속하여 PC방컴퓨터에로그파일이저장된경우는개인정보누출로보고, 집의개인용컴퓨터에서리니지II 게임에접속하여개인용컴퓨터에로그파일이저장된경우는개인정보누출로보지않는다. 개인정보누출로인하여헌법에의하여보장된원고들의기본권인자신들의의사에반하여개인정보가함부로공개되지아니할권리가침해되었는바, 원고들이이사건사고로받은정신적고통은통상손해로볼수있다. 따라서엔씨소프트는원고들에게위자료를지급할의무가있으며, 위자료는각 10만원을인정한다. 2. A 은행사건 가. 사건개요 2006 년 3 월 15 일 A 은행직원이복권서비스이용계약을체결한가입회원들에게서비스 안내이메일을발송하는과정에서회원 32,377 명의성명, 주민등록번호, 이메일주소등 132 지급결제와정보기술
개인정보유출관련판례및금융권시사점 이수록된텍스트파일을이메일첨부파일로전송하는사고가발생하였다. A은행직원은이메일전송후회원정보가이메일에첨부된사실을알고, 이메일전송을강제중단하였으나이미 3,723명의회원들에게이메일발송이완료되었다. 사건발생후 A은행은이메일이발송된회원 3,723명의이메일계정을관리하는포털사이트에요청하여이미열람한 641명을제외한나머지회원들에게전송된이메일을회수하고, 이미열람한회원들에게는이메일을삭제하여줄것을요청하였다. 또한 A은행웹사이트내에고객정보유출피해접수센터를개설하여고객정보유출여부조회및피해접수창구를마련하는한편, 회원 32,377명에게정보도용차단서비스를 1년간무료로이용할수있는서비스를제공하였다. 나. 판결요지 A은행은원고 ( 피해고객 ) 들의개인정보가누출되지않도록필요한관리적조치를다하여야할주의의무가있음에도불구하고, 이메일을전송하는과정에서원고들의개인정보를첨부파일로전송하여이메일을수신한자들이개인정보를취득할수있게함으로써주의의무를위반하였다할수있다. 개인정보누출로인하여헌법에의하여보장된원고들의기본권인자신들의의사에반하여개인정보가함부로공개되지아니할권리가침해되었는바, 원고들이이사건사고로받은정신적고통은통상손해로볼수있다. 따라서 A은행은원고들에게위자료를지급할의무가있다. 손해배상책임의범위는쌍방의참작사유를함께고려하여성명, 주민등록번호, 이메일주소의정보가누출된원고들에게는각 20만원, 성명과이메일주소가누출된원고들에게는각 10만원의위자료를인정한다. 손해배상책임의범위를정함에있어, A은행참작사유는아래와같다. 1 이메일발송대상회원중약 1/10 정도에게만이메일이발송된상태에서발송을중단하고이메일을회수하는등사후조치를신속하게취함에따라개인정보가유포되는범위를줄임으로써그악용또는도용가능성을감소시킨점 2 누출된개인정보가실제로악용또는도용되었다는사실이밝혀지지않은점 3 누출된개인정보는개인의이메일계정으로전송되어, 이메일을받은사람외에일반인의접근이가능한상태에까지이르지않은점 4 이사건사고는 A은행직원의단순실수로인한것으로서, A은행이영업상이익을추구하는과정에서개인정보보호시스템에중대한하자를야기하였거나이를방치하여개인정보보호를태만히한것으로보이지않는점등 2011. 4 133
손해배상책임의범위를정함에있어, 원고측참작사유는아래와같다. 1 누출된개인정보인성명, 이메일주소, 특히주민등록번호는원고들개개인에대한식별수단으로서그유출로인하여신분도용의문제까지발생할수있는중요정보인점 2 A은행은이들정보를담은파일에대한암호화조치를제대로하지않아유출된파일을받은사람이이를손쉽게열어볼수있었고, 더군다나이들정보는서로결합됨으로써개인식별가능성이훨씬커지는데이사건에서는위정보들이 성명, 주민등록번호, 이메일주소 또는 성명, 이메일주소 의형태로서로결합되어유출된점 3 개인정보는상품이나서비스를제공하는사업자에게는홍보활동등의유용한영업수단이되는바, 이를영리적으로이용하는사업자로서는그에따른모든책임도부담하여야할것인점 4 A은행은원고들이복권서비스가입시고객이제공한개인정보를소중히여기며그보호에최선을다할것을다짐한다는등의 개인정보보호방침 을인터넷에게시하였을뿐아니라, 가입자들로부터개별동의를받는 전자금융기본거래약관 제24조에도 A은행의관리소홀로인한정보유출시에는 A은행이책임을진다고규정하는등스스로개인정보보호의책임을다할것을다짐하여서비스가입자들을안심시켰던점등 3. LG 전자사건 가. 사건개요 LG전자는 2006년 9월 3일 2006년도하반기신입사원채용공고를하고, 2006년 9월 4 일부터 2006년 9월 19일까지 LG전자채용사이트를통하여인터넷으로신입사원지원을받았는데, LG전자입사지원자들은이채용사이트에서입사지원서를작성하였다. LG전자서류전형에서불합격통지를받은이중한명이 2006년 9월 26일 22시 30분경다음포털사이트의취업정보공유카페게시판에 LG전자의모든지원서는누구나볼수있다 라는제목으로입사지원서를볼수있는링크파일을첨부하여게시하였다. 2006년 9월 26일 23시 25분경까지이글의조회수는 3,056회에달하였다. 위링크파일을실행하면입사지원자들의사진이나타나고, 사진을클릭하면기본인적사항 ( 성명, 주민등록번호등 ), 상세인적사항 ( 학력, 학점등 ), 자기소개, 경력, 연구실적등의하부메뉴가있는페이지가나타난다. 134 지급결제와정보기술
개인정보유출관련판례및금융권시사점 LG전자는 2006년 9월 27일 0시 8분경입사지원자들의등록정보열람이불가능하도록채용사이트서버의접속을차단하였고, 같은날 19시 40분경 LG전자홈페이지에공식사과문을게재하였다. 전산자료를통해확인한결과, 위링크파일을실행하여비정상적방법으로입사지원자들의등록정보를열람한 IP주소는 671개였고, 3천여명의입사지원서가열람당하였다. 나. 판결요지 공공기관의개인정보보호에관한법률 에의하면공공기관외의개인또는단체는컴퓨터를사용하여개인정보를처리함에있어공공기관의예에준하여개인정보보호조치를강구하도록규정하고있으므로, LG전자는입사지원자들이자신의개인정보를제공한목적에반하여유출되거나훼손되지않도록당시의기술수준에부합하는보안조치를취하여야할주의의무가있다. LG전자입사지원사이트의웹서버에웹방화벽을적용하지않고있었던점, 입사지원자의지원서내용을열람할수있는 URL 중특정변수의인자값을변경하여입력하면위사이트에침입하여타인의입사지원서를열람할수있는보안취약점을간과한점, 같은방법으로다른대기업의입사지원사이트에도침입을시도하였으나 LG전자등 4개회사를제외하고는보안장치에막혀그뜻을이루지못한점등에비추어보면, LG전자는당시의기술수준에비추어보더라도신입사원의채용을위한목적으로보관중인개인정보의분실 도난 누출등방지에필요한보안조치를취하여야할주의의무를위반하였다할수있다. LG전자의손해배상책임의범위를통상적인개인정보침해사건에비하여무겁게볼사유와가볍게하는사유를모두고려하면, 위자료의액수는각 30만원으로정함이상당하다. 단, 입사지원을위한등록정보를열람당한경우에만위자료청구를인정하고, 단순히열람당할가능성이있었다는점만으로는위자료청구를인정하지않는다. 손해배상책임의범위를정함에있어, 통상적인개인정보침해사건에비하여무겁게보는사유는아래와같다. 1 LG전자의보안조치는당시의기술수준에비추어충분하다고볼수없는점 2 LG전자시스템의모니터링이아니라다른인터넷게시판의모니터링을통하여이사건사고를발견하였고, 그로부터 1시간 8분이경과한후해당웹서버가차단되기까지입사지원자들의정보를열람할수있었던점 2011. 4 135
3 사고발생하루후에입사지원사이트에사고발생사실을게시하였을뿐입사지원자들에게이메일등을통해안내한바없고, 소송에이르기전까지입사지원자들에게개인정보유출여부와유출된정보가무엇인지확인하여준바없는점 4 개인사, 가족관계, 가치관등사적인영역의민감한정보까지침범당하였던점 5 위게시글이 3,056회의조회수를기록하였고, 입사지원자들의등록정보를열람한 IP주소가 671개이며, 3천여명의입사지원서가열람당한점 손해배상책임의범위를정함에있어, 통상적인개인정보침해사건에비하여가볍게하는사유는아래와같다. 1 LG전자는성명, 주민등록번호등기본적인적사항은별도로보관하고 Master ID에의하여만접근할수있도록하는등나름대로보안조치를취하였던점 2 사고발생후해킹방지시스템을보완하는등의조치를취한점 3 미흡하나마입사지원사이트에사고발생사실을알리고사과및재발방지를다짐한점 4 성명, 주민등록번호등은열람된바없고, 유출된정보에의하더라도지인이나주변사람이아니면실제신원을구체적으로특정하기는어려웠을것으로보이는점 5 저장이나재전송등이어려운방식으로열람되었고, 유출된정보의경제적가치에비추어 2차적인피해확산가능성은높지아니한점 6 누출된개인정보가추가로외부에확산되거나불법적인용도에사용되었음을인정할증거는발견되지않는점 7 입사지원자들의개인정보를처리하는데에영리의목적이없었던점 8 제3자의범죄행위를직접적인원인으로하여발생한점 4. 옥션사건 가. 사건개요 2008 년 1 월 4 일부터 2008 년 1 월 9 일까지 4 차례에거쳐중국인해커로추정되는이가 옥션의데이터베이스서버에침입하여, 해당서버에저장되어있던옥션회원약 1 천만명 1) 1) 옥션은사건발생당시에는고객정보중일부인약 1 천만건이유출됐다고밝혔지만, 2010 년 3 월본사건의유출피해자가전체회원인약 1,800 만명이라고발표하였다. 136 지급결제와정보기술
개인정보유출관련판례및금융권시사점 의성명, 주민등록번호, 주소, 전화번호, 아이디등개인정보가유출되었다. 옥션은 2008 년 2 월 4 일이사고를경찰및관계기관에신고하였고, 2008 년 2 월 5 일옥션회원들에게 개인정보유출사실을공지하였다. 나. 판결요지 정보통신서비스제공자가정보통신서비스를제공하기위해이용자로부터수집한개인정보를해킹으로인해도난당하였을때이용자들에대한손해배상책임을지기위해서는, 정보통신서비스제공자가해킹사고를방지하기위해서선량한관리자로서취해야할기술적 관리적조치의무를위반함으로써해킹사고를예방하지못한경우여야한다. 정보통신서비스제공자가해킹사고방지를위해취해야할선량한관리자로서의주의의무를위반하였는지여부를판단하는고려사항은아래와같다. 1 관련법령이정보통신서비스제공자에게요구하고있는기술적 관리적보안조치의내용 2 해킹당시당해정보통신서비스제공자가취하고있던보안조치의내용 3 해킹방지기술의발전정도 4 해킹방지기술도입을위한경제적비용및그효용의정도 5 해커가사용한해킹기술의수준 6 개인정보유출로인해이용자가입게되는피해의정도 위와같은법리를기초로다음의각사항을살펴보면, 옥션이선량한관리자로서의주의의무를위반한점이인정되지않는다. 1 웹서버인이노믹스서버노출주장 2 웹방화벽미설치주장 3 개인정보암호화미이행주장 4 인증및접근제어시스템미도입주장 5 쿼리미탐지주장 6 아이디및비밀번호설정주장 7 해킹사고부적절대응주장 8 정보통신망법제28조에따른손해배상주장 9 전자금융거래이용약관및전자금융거래법에따른손해배상주장 2011. 4 137
옥션은이사건해킹사고당시다음과같이정보통신망법등에서규정하고있는개인정보보호를위한기술적 관리적보호조치를한사실이인정된다. 1 개인정보관리계획의수립 시행 2 업무요청시스템을통한개인정보처리시스템접근제어및접근기록저장 3 침입탐지시스템및침입방지시스템운용 4 정보보호정책및관리지침등을통한패스워드작성규칙수립 시행, PC 보안지침수립 시행, 스팸메일 인터넷유해사이트를차단하는응용소프트웨어운영 5 회원비밀번호의일방향해쉬알고리즘을통한암호화저장, 개인정보전송구간의 SSL 암호화송 수신 6 복수의백신소프트웨어설치 운영, 업무요청시스템을통해사전승인후개인정보출력가능 5. GS 칼텍스사건 가. 사건개요 GS칼텍스는이용실적에따라포인트가적립되는 GS 포인트카드회원으로가입한고객들의개인정보를데이터베이스에구축하여관리하고있다. 그런데동데이터베이스에접근할권한이있는자회사직원이해당권한을이용하여고객정보를빼낸후이를시중에판매하거나집단소송을의뢰받을변호사에게판매하는방법등으로금원을취득하기로모의하였다. 2008년 7월 8일부터 2008년 7월 20일까지데이터베이스서버에접속하여회원 1,100만여명의성명, 주민등록번호, 주소, 전화번호, 이메일주소등개인정보를자신의사무용컴퓨터로전송받아 76개의엑셀파일로저장하였다. 공범중한명이 2008년 8월 28일한변호사사무실사무장에게 1,200만명의개인정보를넘겨줄테니집단소송에활용하고그수익을달라고제의하였고, 사무장은집단소송을위해서는우선개인정보유출사실이언론에보도되어사회문제가되어야한다고말하였다. 이에해당공범은 2008년 9월 2일기자들을만나 도심쓰레기더미에서 GS칼텍스고객정보가담긴 DVD를주웠다 는취지로말하며, 개인정보가담긴 CD와 DVD를교부하였다. 2008년 9월 4일한기자는건네받은 CD, DVD에수록된개인정보가 GS칼텍스고객정보와일치하는지여부를문의하였고, 2008년 9월 5일 GS칼텍스는위 CD 및 DVD에수록된개인정보가데이터베이스에수록된개인정보와거의일치함을확인하였으며, 같은 138 지급결제와정보기술
개인정보유출관련판례및금융권시사점 날 서울도심한복판쓰레기더미에서 1,100만명이넘는개인정보가담긴 GS칼텍스고객명단 이라고적힌 CD가발견되었다 는내용이언론에보도되었다. 2008년 9월 5일부터 2008년 9월 6일까지사건관련공범들은검거되었고, 공범들이소지하고있던고객정보가수록된 CD, DVD 등은모두압수되었거나폐기되었다. 기자등에게제공된 CD 및 DVD는언론보도이후전량임의제출되거나폐기 압수되었다. 나. 판결요지 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실 도난 누출 변조또는훼손을방지하기위하여기술적 관리적조치를하여야할주의의무가있다고할것이다. 그러나정보통신서비스제공자등에게개인정보누출로인한손해배상책임을지우기위해서는원고 ( 피해고객 ) 들의개인정보가외부로누출됨으로써불특정다수에게공개되어이를열람할수있는상태또는원고들의의사에반하여개인정보가수집 이용될수있는상태에이르러원고들의개인정보자기결정권이침해되었다거나침해될상당한위험이발생하였다는점이인정되어야한다고할것이다. 이사건의경우범행공모자가고객정보를빼내어보관하던저장매체나기자들이언론보도를위하여소지한저장매체가모두조기에수사기관에제출되었거나폐기된점등을비추어보면, 원고들의개인정보가불특정다수에게공개되어이를열람할수있는상태또는원고들의의사에반하여개인정보가수집 이용될수있는상태에이르러원고들의개인정보자기결정권이침해되었다거나침해될상당한위험이발생하여원고들에게정신적손해가발생하였다는점을인정하기어렵다. 또한원고들이자신들의개인정보가추가로복제되어유출됨으로써제3자에게공개되거나범죄등에도용또는악용될지도모른다는막연한불안감이나불쾌감을가지게될수도있었음은능히추단되나, 이러한사정만으로원고들이수인한도를초과하여 GS칼텍스가금전으로위자할만한정신적손해를입었다고평가하기는어렵다. 따라서 GS칼텍스의주의의무위반여부및위자료의액수등나머지점에관하여나아가살펴볼필요없이이유없다. 2011. 4 139
Ⅳ. 금융권시사점 개인정보유출사고발생시해당기업은벌금 과태료부과및경영진의불구속입건과같은형사적책임 2), 개인정보유출피해자들에대한민사상손해배상책임, 그외규제당국의간섭, 기업이미지하락, 고객신뢰성하락, 매출감소및주식가치하락등다양한책임을지게된다. 따라서본장에서는앞서살펴본개인정보유출관련판례를분석하여유출기업의여러가지책임중다양한이해관계가얽혀있고사회적파급효과가큰민사상손해배상책임에대해좀더자세히알아보고자한다. 그리고개인정보유출기업의책임에대한명확한이해를통해개인정보유출사고발생시책임을최소화하고고객의개인정보를안전하게보호할수있는효과적인개인정보위험관리방안을마련하고자한다. 1. 개인정보유출기업의책임에대한이해 지금까지살펴본개인정보유출관련판례를분석해보면, 개인정보유출기업의책임을 정하는데있어주요쟁점은다음의 4 가지라할수있다 ( 그림 1 참조 ). 1 개인정보가해당기업및이용자의개인정보관리 통제권을벗어나제3자가알수있는상태에이르렀는가? 2 1번이그러하다면, 유출된개인정보의성격및확산범위등그정황이손해배상할수준인가? 3 2번이그러하다면, 개인정보유출기업이선량한관리자로서지켜야할주의의무를위반하였는가? 4 3번이그러하다면, 해당기업의손해배상책임범위는어느정도인가? 2) 2010 년 3 월신세계몰, 아이러브스쿨등 25 개기업사이트에서성명, 주민등록번호, 주소, 아이디, 비밀번호등약 2 천만건의개인정보가해킹으로인해유출되었다는사실이밝혀졌다. 개인정보유출기업들중개인정보를안전하게보호하기위한기술적 관리적보호조치를제대로이행하지않은업체들이처벌을받았는데, 중요정보를암호화하지않은업체경영진들은불구속입건되었고, 개인정보처리자에대한보안교육을실시하지않은업체들은과태료처분을받았다. 140 지급결제와정보기술
개인정보유출관련판례및금융권시사점 < 그림 1> 개인정보유출기업의책임 개인정보가관리 통제권을벗어나제 3 자가알수있는상태에이르렀는가? 예 아니오 ( 개인용컴퓨터 ) 그정황이손해배상할수준인가? 예 아니오 ( 화상정보 ) 개인정보유출기업이주의의무를위반하였는가? 예 아니오 손해배상책임없음 해당기업의손해배상책임범위는어느정도인가? 10 만원 20 만원 30 만원 (PC 방컴퓨터 ) A 은행 손해배상책임있음 ( 전체정보 ) 첫번째쟁점은개인정보가해당기업및이용자의개인정보관리 통제권을벗어나제3 자가알수있는상태에이르렀는지, 즉개인정보가유출되었는지여부이다. 이때제3자가개인정보의내용을취득하여야만유출되었다고보는것은아니며, 일반적수준의제3자가해당정보를알수있는상태에이르렀다면개인정보가유출된것으로본다. 엔씨소프트사건에서는동일한개인정보인아이디와비밀번호가기록되었다하더라도, 기록된장소가 PC방컴퓨터인지집의개인용컴퓨터인지에따라개인정보유출여부를다르게판단한바있다. 즉, PC방컴퓨터의로그파일에아이디와비밀번호가기록된경우는컴퓨터에관한일정수준의지식이있는제3자라면누구라도로그파일에접근하여해당정보를알수있는상태에이르렀으므로개인정보가유출된것으로인정하였지만, 개인용컴퓨터에기록된경우는개인정보유출로인정하지않았다. 그리고엔씨소프트사건에서개인용컴퓨터에기록된경우를제외하고다른모든사건에서는개인정보가유출되었음을인정하였는 2011. 4 141
데, 특히화상정보 ( 사진 ) 가개인정보인지논란이되었던 LG전자사건을눈여겨볼필요가있다. LG전자는화상정보만으로는개인의식별이불가능하다는취지의주장을하였지만, 개인을식별할수있는정보 는당해정보에의해개인을식별할가능성만있으면되는것으로, 화상정보는성명및주민등록번호와마찬가지로개인정보라인정되었다. 두번째쟁점은유출된개인정보의성격및확산범위등을고려할때그정황이금전으로손해배상할정도의수준인가하는것이다. LG전자사건에서화상정보 ( 사진 ) 는안전성확보조치를강구해야할개인정보라할수있지만, 성명, 주민등록번호, 학력등입사지원을위한등록정보가명백히유출된경우외에단지입사지원자의사진이 50명단위로화면에노출된경우 ( 단순히열람당할가능성이있는경우 ) 는위자료청구를인정하지않았다. GS 칼텍스사건에서는유출된개인정보가범행관계자및언론등소수의수중에만머물러있다가수사기관에제출또는폐기되었기에, 불특정다수에게공개되어이를열람할수있는상태또는의사에반하여개인정보가수집 이용될수있는상태에이르렀다인정할수없으므로, GS칼텍스가금전으로손해배상할정도의수준이아니라고판결되었다. 세번째쟁점은개인정보유출기업이선량한관리자로서의주의의무를위반하였는지여부이다. 해당기업이주의의무를위반하였는지여부를판단하는것은법률적판단이개입될수있는사안으로논란의여지가있을수있다. 관련판례에따르면법령이요구하고있는기술적 관리적보안조치의내용, 해킹당시취하고있던보안조치의내용, 해킹방지기술의발전정도, 해킹방지기술도입을위한경제적비용및그효용의정도, 해커가사용한해킹기술의수준, 개인정보유출로인해이용자가입게되는피해의정도등을고려하여주의의무를위반하였는지여부를판단하고있다 ( 표3 참조 ). 옥션사건에서는이러한법리를기초로옥션이해킹사고당시개인정보보호를위한기술적 관리적보호조치를한사실이인정되며, 선량한관리자로서의주의의무를위반한점은인정되지않는다고판결되었다. < 표 3> 개인정보유출기업의주의의무위반여부판단시고려사항 - 법령이요구하고있는기술적 관리적보안조치의내용 - 해킹당시취하고있던보안조치의내용 - 해킹방지기술의발전정도 - 해킹방지기술도입을위한경제적비용및그효용의정도 - 해커가사용한해킹기술의수준 - 개인정보유출로인해이용자가입게되는피해의정도등 142 지급결제와정보기술
개인정보유출관련판례및금융권시사점 네번째쟁점은개인정보유출기업의손해배상책임범위가어느정도인가하는것이다. 관련판례에따르면손해배상책임의범위를정함에있어, 개인정보를처리하는자가취한사고당시의보안조치의수준, 사고발생후얼마나신속하게사고를파악하고적시에적절한피해확산방지조치를취하였는지여부, 피해자의자기정보통제권과관련하여피해자에대한사고발생안내의적절성및피해접수내지확인 피해회복조치이행여부, 유출된정보의성격및유출된정보의양, 정보가유출된범위및유출된정보의전파가능성, 스팸메일이나명의도용등추가적인피해발생여부, 개인정보를처리하는자가개인정보를수집 처리함으로써얻는이익등을고려하고있다 ( 표4 참조 ). 엔씨소프트사건, A은행사건, LG전자사건등각사건별로 10만원에서 30만원까지다양한위자료판결을받았음을확인할수있다. < 표 4> 개인정보유출기업의손해배상책임범위책정시고려사항 - 개인정보를처리하는자가취한사고당시의보안조치의수준 - 사고발생후얼마나신속하게사고를파악하고적시에적절한피해확산방지조치를취하였는지여부 - 피해자의자기정보통제권과관련하여피해자에대한사고발생안내의적절성및피해접수내지확인 피해회복조치이행여부 - 유출된정보의성격및유출된정보의양 - 정보가유출된범위및유출된정보의전파가능성 - 스팸메일이나명의도용등추가적인피해발생여부 - 개인정보를처리하는자가개인정보를수집 처리함으로써얻는이익등 이같은주요쟁점들을종합적으로고려한주요개인정보유출관련판례를비교 분석 하면 < 표 5>, < 그림 2> 와같다. 2011. 4 143
< 표 5> 개인정보유출관련판례비교 분석 구분엔씨소프트사건 A 은행사건 LG 전자사건옥션사건 GS 칼텍스사건 사건발생시기 2005 년 5 월 2006 년 3 월 2006 년 9 월 2008 년 1 월 2008 년 7 월 사건발생원인 개인정보처리자의과실 개인정보처리자의과실 개인정보처리자의과실과제 3 자 ( 해커등 ) 의불법행위의경합 제 3 자 ( 해커등 ) 의불법행위 개인정보처리자의고의 피해자 사고기간 ( 약 5 일 ) 동안리니지 II 게임에접속한이용자 은행복권서비스가입자 LG 전자입사지원자 옥션회원 GS 칼텍스고객 피해규모약 40 만명 32,377 명약 3,000 명약 1,800 만명약 1,100 만명 유출정보의성격 리니지 II 게임아이디및비밀번호 성명, 주민등록번호, 이메일주소등 성명, 주민등록번호, 학력, 학점, 경력등 성명, 주민등록번호, 주소등 성명, 주민등록번호, 주소등 유출확산범위 이용자 PC 의로그파일에기록 피해고객앞이메일로전송 불특정다수의인터넷열람 중국인해커로추정되는제 3 자등불특정다수 범행관계자및언론등에 CD 및 DVD 로배포 유출기업의주의의무위반여부 위반위반위반위반아님 - 유출기업의손해배상책임여부 위자료지급 (10 만원 ) 위자료지급 ( 성명, 주민등록번호, 이메일유출시 20 만원, 성명과이메일유출시 10 만원 ) 위자료지급 (30 만원 ) 책임없음 책임없음 비고 PC 방컴퓨터의경우만개인정보유출로보고, 개인용컴퓨터의경우는개인정보유출로인정하지않음 - 단순히열람당할가능성이있는경우는위자료청구를인정하지않음 - - 144 지급결제와정보기술
개인정보유출관련판례및금융권시사점 < 그림 2> 개인정보유출관련판례비교 분석 개인정보처리자의고의 - 서비스가입자 - 범행관계자및언론에노출 - 2008 년 7 월 - 서비스가입자 - 불특정다수에게노출 - 2008 년 1 월 제 3 자의불법행위 - 리니지가입자 - PC 로그파일에기록 - 2005 년 5 월 - 입사지원자 - 불특정다수에게노출 - 2006 년 9 월 A은행 - 복권서비스가입자 - 피해고객에게노출 - 2006년 3월 피해규모 1천 1만 1십만 1백만위자료 개인정보처리자의과실 10 만원 2. 개인정보위험관리방안마련 금융기관은개인정보유출기업의책임에대한이해를토대로개인정보유출사고에대비하여효과적인개인정보위험관리방안을마련할필요가있다. 앞서살펴본바와같이개인정보유출기업의책임은단순히유출사고발생당시의상황뿐만아니라유출사고발생전후의조치들에의해서도영향을받는다. 즉, 해당기업이사고발생전개인정보를보호하기위해취하고있던조치들부터사고발생후에개인정보유출고객의피해를최소화하고보상하기위해취한조치들까지모두직 간접적으로개인정보유출기업의책임에영향을주고있다. 2011. 4 145
따라서금융기관은평상시에는개인정보보호를위하여개인정보의수집, 이용, 제공, 파기등단계별로요구되는보호기준을준수하고, 기술적 관리적 물리적보호조치를충분히이행하는것은물론개인정보영향평가를통해개인정보유출위험요인을분석하고개선사항을도출하는것이필요하다. 또한개인정보유출사고에대비한대응매뉴얼등을마련하여개인정보유출사고발생시최대한사고를빨리탐지하고신속하고적절한사후조치를취함으로써피해를최소화하는것이중요하다. 그리고유출사고발생시에는유출정보의성격, 규모, 확산범위, 유출로인한실질적인피해, 전파가능성, 추가피해발생여부, 사고당시취하고있던보호조치의수준, 유출의원인등을파악하고관련증거들을수집하는것이필요하다. 이때관련증거들이법적으로인정받을수있도록변호사자문및법무팀과의협업등을통해미리준비할필요가있다. 또한개인정보유출사실을인지하였을경우지체없이피해고객에게통지하고개인정보유출로인한피해현황을접수받을수있는창구를마련하는것은물론신속하고적절한피해확산방지및피해회복조치를통해추가적인피해를최소화하고피해고객들의권리를구제하고자노력해야한다 ( 표6 참조 ). < 표 6> 개인정보위험관리방안 구분위험관리방안주 ) 평상시관리항목 1 개인정보의수집, 이용, 제공, 파기등단계별로요구되는보호기준을준수 - 수집목적, 항목, 보유및이용기간을고지하고정보주체의동의획득 - 필요최소한의개인정보를수집 - 개인정보를제 3 자에게제공할때에는제공받는자, 제공받는항목, 보유및이용기간등을고지하고정보주체의동의획득 - 개인정보가불필요하게되었을때에는지체없이복구또는재생되지않도록파기 - 사상, 신념등사생활을현저히침해할우려가있는민감한정보는처리를제한 - 업무를위탁할경우에는수탁자가개인정보를안전하게처리하는지감독하는등적절한조치 - 개인정보취급자에대한정기적인교육실시등 2 개인정보의안전한관리를위해요구되는기술적 관리적 물리적보호조치를충분히이행 - 개인정보처리방침의수립및공개 - 개인정보보호책임자의지정 - 개인정보보호계획의수립및시행 - 개인정보처리실태및관행의정기적인조사및개선 - 개인정보유출및오 남용방지를위한내부통제시스템의구축 - 개인정보에대한접근통제실시 - 개인정보접속기록의위 변조방지조치 - 악성프로그램방지조치등 3 개인정보영향평가를통한개인정보유출위험요인분석과개선사항도출 4 개인정보유출사고에대비한대응매뉴얼등마련 - 유출사고발생시확인 수집 조치한사항들이법적증거로인정받을수있도록변호사자문및법무팀과의협업등을통해준비등 146 지급결제와정보기술
개인정보유출관련판례및금융권시사점 유출사고발생시확인항목 1 유출정보의성격, 규모, 확산범위 2 유출로인한피해의정도 - 실질적인피해현황 - 유출된개인정보의전파가능성 - 스팸메일이나명의도용등추가적인피해발생여부등 3 사고당시취하고있던보호조치의수준 4 유출의원인 ( 해킹인경우해킹기술의수준, 해킹방지기술의발전정도, 해킹방지기술도입을위한경제적비용및그효용의정도등도함께확인 ) 유출사고발생시조치항목 1 개인정보유출사실을지체없이피해고객에게통지 - 인터넷홈페이지상의공지뿐만아니라피해고객에게유선및이메일로개별통지필요 2 피해고객으로부터개인정보유출로인한피해현황을접수받을수있는창구마련 3 신속하고적절한피해확산방지및피해회복조치 - 개인정보유출을야기한직 간접적인사고발생원인즉시제거 - 미비한기술적 관리적 물리적보호조치보완 - 유출된개인정보의악용또는도용을막을수있는대책마련등 4 유출사고로인한민 형사상책임등에대한법률자문및대책마련 주 ) 위험관리방안의세부적인내용은개인정보보호법을바탕으로한시행령, 시행규칙, 관련고시및지침등을통해구체화될예정 금융기관은업무특성상고객의개인정보를많이활용하고있으므로개인정보를안전하게보호하여고객의개인정보에대한권리와이익을보장할의무가있으며, 만약개인정보가유출된다면민 형사상책임을비롯한기업이미지하락, 매출감소등다양한책임을지게된다. 따라서금융기관은효과적인개인정보위험관리방안을마련하여이행하는등고객의개인정보를안전하게보호하기위해최선의노력을다하여야한다. 2011. 4 147
< 참고문헌 > [1] 강신기, 개인정보보호법제정경과및주요내용, 개인정보보호법워크숍, 2011. 2 [2] 공공기관의개인정보보호에관한법률, 법률제10012호 [3] 구태언, 기업의보안조치의무와관련한판례동향, 제8회인터넷 & 정보보호세미나, 2010. 8 [4] 김지현, 최근의판례로비추어본개인정보보호동향, 국제개인정보보호심포지움 2010, 2010. 3 [5] 신용정보의이용및보호에관한법률, 법률제10228호 [6] 임종인, 고객정보유출로인한기업의책임, 상장협연구제59호, 2009. 4 [7] 정보통신망이용촉진및정보보호등에관한법률, 법률제10166호 [8] 행정안전위원회, 개인정보보호법안 ( 대안 ), 2010. 9 [9] 개인정보유출관련주요판례 서울중앙지방법원 2007.1.26. 선고 2006나12182 서울고등법원 2007.11.27. 선고 2007나33059 서울고등법원 2008.11.25. 선고 2008나25888 서울중앙지방법원 2010.1.14. 선고 2008가합31411 서울중앙지방법원 2010.9.16. 선고 2008가합90021, 2008가합88370 148 지급결제와정보기술