개인정보위가 안전조치 의무 위반으로 개인정보를 유출한 케이티와 이스트소프트에 대한 과징금 재처분 조치를 내렸다.
개인정보보호위원회(이하 개인정보위)는 24일 제19회 전체회의를 열고 대법원 확정판결로 과징금 부과 처분이 취소된 2개 사업자의 재처분을 의결했다. 개인정보위는 케이티와 이스트소프트에 1억 4800만원의 과징금을 부과했다.
케이티 사건의 경우, 방통위는 당초 처분사유로 4가지를 들었는데 대법원은 이 중 3가지가 ‘당시 사회 통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 했다’고 판단하며 법 위반은 아니라고 봤다.
경찰은 2014년 3월 6일 케이티 홈페이지의 개인정보 누출 사건을 발표했고, 방통위는 민관합동조사단을 구성해 케이티의 개인정보 취급·운영 실태를 조사했다. 그 결과 2013년 8월부터 2014년 2월까지 1170만 8875건(이용자 981만 8074명)의 이름·주민등록번호 등 12개 항목의 개인정보가 누출됐다. 방통위는 KT가 ▲개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영(제28조제1항제2호) ▲개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치(제4호)를 이행하지 않았다고 판단했다.
특히, 방통위는 ▲이용자 본인 일치여부 인증절차가 미흡하고 특정 IP가 1일 최대 34만 1279건의 개인정보를 조회하는 등 외부의 권한없는 자의 접근을 차단 및 통제하지 못한 점 ▲해커가 사용한 수법이 이미 널리 알려진 방식(파라미터 변조)인 점 ▲2012년 7월 해킹사고를 당한 전력이 있어 유사 해킹사고가 재발할 수 있다는 사실을 사전에 인지하고 있는 상태인 점 ▲기술적·관리적 보호조치 미비 등을 개인정보 유출의 원인으로 꼽았다.
이스트소프트 사건은 처분사유 중 침입차단·탐지 시스템 ‘설치의무’와 ‘운영의무’를 나누어 판단해야 한다고 판결했다. ‘공개소프트웨어로 개인정보보호시스템을 구축하더라도 객관적으로 품질이 인정된 경우라면 적법하다’는 내용을 고려해 설치의무 부분은 법 위반이 아니라는 것이다.
방통위는 이스트소프트로부터 개인정보 유출신고를 받은 후인 2017년 9월 2일부터 과기정통부, 한국인터넷진흥원(KISA)과 함께 현장조사를 실시했다. 확보한 사고 관련자료 분석을 통해 해킹의 구체적인 방법과 절차, 개인정보 유출 규모 등을 확인했다. 2017년 12월 검거한 해커는 이스트소프트의 알툴바 서비스에 접속해 이용자가 저장한 알패스 정보(외부 사이트 주소, 아이디, 비밀번호)를 열람한 것으로 나타났다.
해커에게 유출된 개인정보는 알패스 서비스 이용자의 외부 사이트 주소, 아이디, 비밀번호 2546만1263건과 16만6179명의 계정정보(아이디/비밀번호) 등이다. 방통위는 이스트소프트 측이 적절한 규모의 침입차단·탐지시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하지 않은 점, 개인정보가 열람권한이 없는 자에게 공개되거나 외부로 유출되지 않도록 필요한 보안대책 및 개선조치를 취하지 않은 점 등을 문제로 꼽았다.
대법원은 법 위반이 인정되지 않는 부분이 당초 과징금 산정에 영향을 미쳤을 것으로 보고, 과징금 부과 처분을 전부 취소했다. 대법원은 ‘처분청의 재량이 인정되는 과징금 납부 명령의 경우 법원은 재량권의 일탈 여부만 판단할 수 있어 전부 취소한다’고 판결했다.
송상훈 개인정보위 조사조정국장은 "이번 재처분은 법원과 개인정보위가 개인정보의 안전조치의무에 대한 견해를 일부 달리한 데 따른 것이다"며 ""판결의 취지와 현 시점의 기술 수준 등에 대해 산업계 의견수렴을 거쳐 개인정보 안전조치 의무사항을 지속적으로 보완해 나가겠다"고 말했다.
이진 기자 jinlee@chosunbiz.com