2019. 5. 14. 10:48ㆍ생활법령
A통신사는 개인정보 유출에 대해 책임이 있을까요?
최해커씨는 2012년 자신이 개발한 해킹프로그램을 이용하여 인증서버를 우회하는 방식으로 A통신사의 고객정보 데이터베이스에 침입해 고객정보를 취득·유출했습니다. 이 사건으로 개인정보가 유출된 피해자들은 A통신사를 상대로 이 정보유출사고로 인해 개인정보통제에 관한 인격권이 침해되었다고 주장하면서, 위자료를 청구하는 소송을 제기하였습니다. 그리고 소송과정에서 A통신사는 별도의 인증서버를 두는 대신 데이터베이스 서버 자체에는 인증절차를 두지 않았다는 사실 등이 밝혀졌습니다.
과연 A통신사는 개인정보 유출에 대한 책임이 있을까요?
- 아롱이: 2012년 당시 상황으로 봤을 때는 별도의 인증서버를 둔 A통신사의 시스템 자체가 불완전하다고 할 수 없고, 인증서버의 접근기록을 확인·감독했으므로 개인정보 처리 내역 등에 관한 확인·감독을 게을리 하지도 않았어. 따라서 A통신사에게는 책임이 없어.
- 다롱이: 그래도, 데이터베이스서버 자체에는 인증절차를 두지 않았으므로 A통신사의 시스템은 불완전한 거고, 인증서버의 접근기록만을 확인·감독한 것은 개인정보 처리에 관한 확인·감독을 게을리 한 것이지. 따라서 A통신사는 개인정보 유출에 대해 책임이 있어.
정답은 1번.아롱이: 2012년 당시 상황으로 봤을 때는 별도의 인증서버를 둔 A통신사의 시스템 자체가 불완전하다고 할 수 없고, 인증서버의 접근기록을 확인·감독했으므로 개인정보 처리 내역 등에 관한 확인·감독을 게을리 하지도 않았어. 따라서 A통신사에게는 책임이 없어. 입니다.
정답은 “아롱이: 2012년 당시 상황으로 봤을 때는 별도의 인증서버를 둔 A통신사의 시스템 자체가 불완전하다고 할 수 없고, 인증서버의 접근기록을 확인·감독했으므로 개인정보 처리 내역 등에 관한 확인·감독을 게을리 하지도 않았어. 따라서 A통신사에게는 책임이 없어.”입니다.
A통신사는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무가 있습니다(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제28조제1항).
법원은 A통신사가 위와 같은 법률상 의무를 위반하였는지는 해킹 등 침해사고 당시 일반적으로 알려져 있는 정보보안기술 수준, 정보통신서비스 제공자의 업종과 영업 규모, 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안조치에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술 수준과 정보보안기술 발전 정도에 따른 피해 발생 회피 가능성, A통신사가 수집한 개인정보의 내용과 개인정보 누출로 인하여 이용자가 입게 되는 피해 정도 등의 사정을 고려하여, A통신사가 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 등을 종합하여 판단해야 합니다.
이에 따라 별도의 인증서버를 둔 A통신사의 접근통제시스템 자체가 불안전하다거나 개인정보 등 송수신시 암호화의무를 위반하였다고 볼 수 없고, (적어도 국내에서는 인증서버 우회방식의 해킹이 성공한 적이 없는 상황에서) A가 인증서버에 저장된 접속기록을 확인·감독한 이상 개인정보처리시스템의 개인정보 처리 내역 등에 관한 확인·감독을 게을리했다고 할 수 없다고 판단하였습니다(대법원 2018. 12. 28. 선고 2017다207994 판결).
이 판결은 정보통신서비스 제공자가 개인정보보호를 위한 법률상 또는 계약상 의무를 위반하였는지를 판단할 때에는, 해킹으로 인한 침해사고의 경우 당시 일반적으로 알려져 있는 정보보안 기술 수준, 정보통신서비스 제공자가취하고 있던 전체적인 보안조치의 내용, 해킹기술 수준과 정보보안기술 발전 정도에 따른 피해 발생 회피 가능성 등을 종합적으로 고려하여야 한다는 것을 다시 한 번 확인한 판결이라 할 수 있습니다.
소비자 입장에서 A통신사에게 책임이 없다면, 그 책임은 누구에게 물어야 하는건가요??
법이라는 것이 쉽지만은 않네요.
개인정보 보호법
제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2014. 3. 24.>
1. "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
2. "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
3. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. "개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
5. "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
6. "공공기관"이란 다음 각 목의 기관을 말한다.
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
7. "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.
개인정보 보호법의 정의 내용을 발췌한 내용입니다.
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.
⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.
개인정보에 대해서 많은 사람들이 민감해하고 법으로도 보호법을 만들어 두었는데, 주민번호를 확인하는 대신 다른 방법으로 본인을 확인하는 시스템을 하루 빨리 만들어 시행해야 하지 않을까 하는 생각이 듭니다.
재미있는 생활법령을 통해 저도 몰랐던 법을 알수 있는 좋은 기회였습니다. 매일 공부할 수 없지만, 자주 들여다 보며 사례를 보니 어려운 법에 대한 이해도 잘 되어 공유하고자하는 마음에 발췌하여 이렇게 글을 남깁니다.