뉴스1 DB

해킹으로 개인정보 1100만건을 유출해 7000만원의 과징금을 부과받은 KT가 과징금 취소소송을 내 승소가 확정됐다. 

대법원 3부(주심 안철상 대법관)는 KT가 방송통신위원회를 상대로 낸 과징금부과처분취소 소송에서 원고승소 판결한 원심을 확정했다고 13일 밝혔다. KT는 2013년 8월부터 2014년 2월까지 마이올레 홈페이지를 해킹당해 1100만여건의 개인정보를 유출당했다. 또 다른 해커는 올레클럽 홈페이지에서 8만3000여건의 개인 정보를 유출했다.

방통위는 2014년 6월 해킹사고와 관련해 KT가 보호조치를 다 하지 못했다고 보고 '개인정보의 기술적·관리적 보호조치 기준'을 정한 방통위 고시 위반을 근거로 7000만원의 과징금을 부과했다. KT는 이에 불복해 소송을 냈다.

올레클럽 해킹에는 퇴직자의 ID가 이용된 것으로 조사됐다. 이에 KT는 재판과정에서 "데이터베이스상 퇴직자의 사용자 계정을 말소했으므로 책임이 없다"고 주장했다. 반면 방통위는 "퇴직자 계정을 사용 중지한 것만으로는 퇴직자의 접근권한을 말소했다고 보기 어렵다"고 맞섰다. 

1심 재판부는 "퇴직자 계정 말소는 '계정사용중지'에 해당할뿐 개인정보처리시스템 '접근권한 말소'에 해당하지 않는다"면서 "이로 인해 해커가 개인정보처리시스템에 접근해 개인정보를 누출했다고 볼 수 밖에 없다"고 지적했다.

다만 "KT는 침입방지시스템과 침입탐지 기능을 수행하는 방화벽을 설치·운영했고 방통위 고시에서 요구하는 침입탐지 또는 침입차단 기능 시스템을 설치해 적절히 운영했다고 보인다"면서 "방통위의 과징금 처분은 재량권을 일탈·남용해 위법하므로 취소해야 한다"며 원고승소 판결했다.

2심도 "방통위 고시는 정보통신서비스 제공자 측의 내부 요인으로 개인정보가 유출되지 않도록 하라는 것으로 해킹을 통한 개인정보 누출 방지를 직접 규율하지는 않는다"면서 "고시가 규정한 개인정보처리시스템은 기본적으로 내부 영역에 있는 데이터베이스관리시스템을 의미할 뿐 웹 서버나 웹 페이지는 포함되지 않으며 원고는 수차례 웹 취약점을 점검하는 등의 조치를 취했다"면서 KT의 손을 들어줬다. 

방통위의 상고로 사건을 접수한 대법원은 "정보통신서비스 제공자의 내부 부주의로 인한 개인정보 유출뿐 아니라 해킹 등 외부의 불법 접근에 의한 개인정보 유출을 방지하기 위해 방통위 고시가 마련됐다"면서 "2심이 방통위 고시 제4조 제9항이 해킹을 통한 개인정보 유출 방지를 직접적으로 규율하지 않고 개인정보처리시스템에 웹 서버가 포함되지 않는다고 판단한 것은 부적절하다"고 지적했다. 

다만 "KT는 당시 정보보안의 기술 수준에 적합한 자동화 점검 도구를 활용하거나 모의해킹을 하는 등 웹 취약점의 존재를 최소화하도록 하는 조치를 충분히 수행했다"며 "KT가 보호조치의무를 위반하지 않았다고 본 원심 판단의 결론은 정당하다"고 밝혔다.

그러면서 대법은 "KT의 위반행위를 '중대한 위반행위'로 평가해 과징금을 산정한 것은 재량권을 일탈·남용한 것으로 볼 수 있다"면서 과징금을 취소한 원심 판결을 확정했다.


sh@news1.kr