기업 정보보호 문화 구현의 중요성
정보침해 법정사례로 살펴본 개인정보보호 관련 법률 적용과 보안문화 필요성
http://www.boannews.com/media/view.asp?idx=51946&kind=6
정보침해 법정사례로 살펴본 개인정보보호 관련 법률 적용과 보안문화의 필요성
[보안뉴스= 구태언 개인정보보호위원회 위원] 우리 개인정보보호 법제는 개인정보보호법, 정보통신망법, 신용정보법 등으로 이루어져 있다. 이중 개인정보보호법이 일반법적인 성격을 갖는다면 정보통신망법과 신용정보법은 각각 정보통신망과 금융거래 등의 영역에 우선 적용되는 특별법적인 성격을 갖는다.
우리 법은 이러한 일반법과 특별법을 근거한 상세한 고시체계를 통하여 개인정보처리를 규율하고 있다. 여기에서는 개인정보 유출사고 판례를 중심으로 전사적 정보보호문화 구현의 중요성에 대해 얘기해보고자 한다.
개인정보보호법상 의무규정은 대부분 ‘관리적 보호조치’와 관련되어 있는데 특히 개인정보 처리에 관한 정책결정, 내부 관리계획 수립 및 시행, 수탁자 등 관리·감독, 위기대응에 관한 규정은 관리적 성격이 강하다.
예컨대 방화벽 관련 솔루션 도입 및 관리 그 자체는 ‘기술적 보호조치’에 해당하지만, 구체적인 방화벽 정책이나 접근통제의 범위 설정은 관리적 보호조치의 성격을 겸비한 것이다. 하지만 관리적 보호조치와 기술적 보호조치를 명확하게 구분하는 것은 사실상 불가능하다.
어떠한 기술적 보호조치를 도입·유지하고 이를 어떠한 방법으로 관리·감독할 것인지에 관한 결정과 계획은 관리적 보호조치의 성격을 지니게 된다. 어떤 관리적 보호조치를 어떻게 시행하고 그 취약점을 분석·대응하며 유출사고 발생 시 사고 원인을 분석하는 것은 기술적 보호조치와 불가분의 관계에 있기 때문이다.
결국 관리적 보호조치와 기술적 보호조치는 개인정보 보호조치를 관리적 측면과 기술적 측면의 양쪽에서 바라본 모습인 것이다.
관리적 보호조치의 중요성
최근 대규모 개인정보 유출사고의 잇따른 발생으로 인해 개인정보보호에 관한 법령과 정책이 강화되는 추세다.
개인정보 유출 또는 오남용으로 인한 형사·행정 제재와 손해배상청구소송이 증가하고 있으며, 개인정보 유출 사고로 인한 기업 이미지 훼손 및 주가 하락 등 2차 피해도 발생하고 있다.
개인정보 유출사고의 특성상 1인당 배상액은 10만원 내지 20만원 정도로 경미하지만 기업이 전체적으로 부담해야 하는 배상액은 수조원에 달하는 경우도 생기고 있다. 아울러 개정 개인정보보호법과 신용정보법에서 징벌적 손해배상 제도가 도입됨 따라 기업이 부담하는 리스크는 급증하게 됐다.
기업이 정보보호 리스크를 최소화하기 위해서는 어떠한 모습을 갖추어야 할까? 아래 정보유출사고 사례들은 정보보호 관계법령이 기업에게 요구하는 정보보호 수준이 어떠한지, 특히 법원이 어떠한 판단기준을 갖고 있는지를 살펴보는데 유익한 가늠자가 될 것이다.
# A쇼핑몰 사례(대법원 2015년 2월 12일 선고 2013다 43994, 2013다 44003(병합) 판결)
중국인 해커로 추정되는 자가 4차례에 걸쳐 A쇼핑몰의 데이터베이스 서버에 침입해 해당 서버에 저장되어 있던 A쇼핑몰 회원 약 1,000만 명의 성명, 주민등록번호, 주소, 전화번호, 아이디 등 개인정보가 유출됐다.
A쇼핑몰은 경찰 및 관계기관에 신고했고, A쇼핑몰 회원들에게 유출 사실을 공지했다. 개인정보가 유출된 A쇼핑몰 회원 일부는 A쇼핑몰이 개인정보 보호 및 관리에 소홀했다는 이유로 손해배상을 청구했다.
대법원은 정보통신서비스제공자의 주의의무 위반 여부를 판단함에 있어서 법률뿐만 아니라 계약(약관)위반 여부 역시 검토해야 한다고 설시하면서 그 판단 기준으로 ①해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준 ②정보통신서비스제공자의 업종·영업규모와 ③정보통신서비스제공자가 취하고 있던 전체적인 보안조치의 내용 ④정보보안에 필요한 경제적 비용 및 효용의 정도 ⑤해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성 ⑥정보통신서비스제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도를 제시했다.
위 판시에 따르면 정보통신서비스제공자는 법률에 규정된 사항을 모두 준수했다고 하더라도 위 기준에 따른 계약상 의무를 준수하지 않았다면 불법행위 책임을 피하기 어렵게 된다.
다만 대법원은 구 정보통신부령 제3조의3 제2항은 ‘정보통신부장관은 제1항 각 호의 규정에 의한 보호조치의 구체적인 기준을 정해 고시해야 한다’고 규정하고 있다고 설명했다.
이에 따라 정보통신부장관이 마련한 ‘개인정보의 기술적·관리적 보호조치 기준’은 해킹 등 침해사고 당시의 기술수준 등을 고려해 정보통신서비스제공자가 구 정보통신망법 제28조 제1항에 따라 준수해야할 기술적·관리적 보호조치를 구체적으로 규정하고 있다.
따라서 정보통신서비스제공자가 위 고시에서 정하고 있는 기술적·관리적 보호조치를 다했다면, 특별한 사정이 없는 한 정보통신서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반했다고 보기는 어렵다고 판시했다.
이처럼 대법원은 개인정보 침해 사고 시점을 기준으로 법령상 규정된 기술적·관리적 보호조치 의무 및 계약상 의무 위반 여부를 판단하고, 고시에서 정한 조치를 준수했다면 법령상 계약상 의무위반을 인정할 수 없다고 판시하고 있다.
이는 법령과 고시에서 정한 조치를 준수한 기업에 대해 책임을 묻지 아니함으로써, 기업의 예측 가능성을 확보하고 기업으로 하여금 기술적·관리적 보호조치를 충분히 이행할 동인을 제공한 것으로 평가할 수 있다.
위 판시 법리에 따라 기업들이 고시에서 요구하는 기준만을 준수한다는 비판이 제기되자 방송통신위원회는 2015년 5월 19일 ‘개인정보의 기술적·관리적 보호조치 기준’을 개정해 제1조 제2항에서 자율규제 원칙을 천명했고, 행정자치부는 관련 고시를 개정했다.
# K이동통신사 사례(서울중앙지방법원 2014년 8월 22일 선고 2012가합81628 판결, 항소심 진행중)
최OO는 2012년 2월 20일경 황OO을 통해 K사의 VPN을 이용할 수 있는 K사 대리점 PC에 설치된 원격제어 프로그램의 ID와 비밀번호를 받은 후 위 대리점 PC에 원격으로 프로그램을 설치한 다음 이를 실행해 2012년 7월 13일경까지 고객정보 873만 435건(중복제거 시 812만 9,090건)을 최OO의 서버에 전송해 데이터베이스(DB)에 저장함으로써 개인정보를 유출했다.
K사는 신용정보 조회이력을 검토하던 도중 2012년 7월 11일 이같은 유출 정황을 알게 돼 이를 경찰에 신고했고 인터넷을 통해 공지했다. 피해자들의 일부는 K사가 개인정보를 보호·관리하고 그에 필요한 조치를 다해야 할 주의의무를 위반해 피해자들의 개인정보가 유출되었다고 하면서 위자료 청구 소송을 제기했다.
위 청구에서 원고들은 피고 K 사가 ①VPN 비밀번호와 관련해 고시 제4조 제4항 및 제7항의 비밀번호 작성규칙을 위반했고 ②접근통제시스템과 관련해 피고의 접근통제시스템이 불완전해 고시 제4조 제5항을 위반했고 ③퇴직자의 ID가 사용돼 고시 제4조 제2항, 제5항 및 내부정보보호업무처리지침을 위반했고 ④전송구간 암호화를 하지 않거나 암호화키를 소홀히 하는 등, 암호화에 관한 기술적·관리적 보호조치를 다하지 못했으며 ⑤내부관리계획의 시행과 관련해 피고는 개인정보를 안전하게 취급하기 위해 내부관리계획을 수립·시행해야 함에도 이러한 의무를 다하지 않아 정보통신망법 제28조 제1항 제1호를 위반했다고 주장했다.
1심 법원은 원고의 ①의 주장에 대해 VPN에 접속을 하는 과정에도 위 고시가 적용되나 피고의 인증절차를 전체적으로 보면 VPN의 접속단계에서 ID와 비밀번호만을 요구하는 것이 위 고시 규정을 위반한 것은 아니라는 이유로 ②의 주장에 대해서는 피고는 개인정보처리시스템에 보다 근접한 접속창구에 비밀번호 작성규칙을 수립하여 이를 운영·관리하고 있었다는 이유로 ⑤의 주장에 대하여는 피고가 내부관리계획을 수립하여 이를 시행하고 있었다는 이유로 이를 받아들이지 않았다.
다른 한편, 1심 법원은 피고가 퇴직한 자가 시스템에 접근할 수 있는 권한을 변경 또는 말소하지 않아 이 사건 고시 제4조 제2항, 제6조 및 내부정보보호업무처리지침을 위반했고, 전송구간 암호화를 하지 않거나 암호화키를 소홀히 관리하는 등 이 사건 고시에서 요구하는 암호화에 관한 기술적·관리적 보호조치를 다하지 못함으로써 비정상적인 접근을 탐지·차단하지 못했으므로, 이 사건 고시 제5조 제1항을 위반했다고 판시하면서 원고의 ③과 ④의 주장은 받아들였다.
위 판결에서 법원은 ‘기술적·관리적 보호조치 기준’ 고시를 중심으로 의무 위반 여부를 검토했다. 법원이 인정한 위법 요소를 살펴보면, 퇴직자 계정 관리, 불법 접근 탐지 여부, 전송구간 암호화 도입 여부, 키 관리 적정성인데, 법원은 이에 대하여 평소에 관리를 철저히 했다면 유출 사고를 피할 수 있었다고 본 것이다. 이처럼 최소한 고시에서 요구하고 있는 사항들은 철저히 이행하는 것이 중요하다.
그런데 위 판결에서는 법령과 고시 외에 ‘내부관리계획’도 위법의 판단근거로 쟁점화됐다. K 사의 내부관리계획에 위반한 것이 위법의 근거가 된 것이다. 이러한 법원의 판단에 비추어볼 때 이행가능성이 낮은 선언적 내부 지침은 유출사고 등 발생 시 책임의 근거가 될 수 있으므로 주의할 필요가 있다. 적절한 내부관리 계획을 수립하고 전사적으로 정보보안 지침 및 절차를 준수하는 문화가 중요하게 된 것이다.
# 카드 3사 사례(2016년 2월 5일자 서울중앙지방법원 판결)
카드 3사에 FDS 개발용역 중이던 개발사 PM 박OO은 자신의 업무용PC 2대에 보안프로그램을 설치하지 않고, 이를 은폐해 개발용 네트워크에 몰래 접속하여 고객 개인정보를 다운로드 받은 후, 보조 저장매체에 담아서 이를 유출했다(L사).
박OO은 실제 테스트용으로 필요한 고객 개인정보를 저장매체를 통해 옮겨달라고 요청했고, 카드사는 고객 개인정보를 하드디스크(HDD)에 담아서 이를 전달했다(K사, N사).
법원은 ①‘개인정보 안전성 확보조치 기준’ 제9조 위반 여부와 관련해 보안프로그램을 통하여 업무용 컴퓨터에 USB 등을 연결해 사용할 수 없도록 제한하고, 나아가 그 기능이 실질적으로 작동하고 있는지 관리·감독하는 조치를 수반해야 하는데 카드사는 USB 쓰기를 제한하는 보안 프로그램을 설치하지 않았거나 그 관리·감독을 소홀히 했다고 판단했고 ②암호화되지 않은 카드 고객 정보 제공과 관련한 규정 위반여부와 관련해, 카드사가 암호화하지 않은 고유식별 번호가 포함된 정보를 보조저장매체에 저장한 후 제공하여 업무에 사용하도록 하고, 관리·감독을 하지 않고 방치함으로써 고객정보 유출가능성을 증대시켰다고 판단했으며 ③구 전자금융감독규정 제13조 위반 여부와 관련해, 카드사가 전산자료보호대책(단말기의 공유 등 금지)에도 불구하고, 업무용 컴퓨터 이용 시 접근권한 제한조치 등을 취하지 아니한 위법이 있다고 판단했다.
법원의 위 판단에 비추어 다음과 같은 통제항목을 도출해낼 수 있을 것이다. 기업은 개인정보처리를 위·수탁할 때 수탁사의 안전성 확보조치 의무에 대하여 문서화해야 하고, 개발 수탁사에게 개인정보를 전달할 때에는 고유식별 정보를 암호화해야 한다. 또한, 테스트 목적으로 이용자의 실제 개인정보를 사용하는 때에는 이를 변환해 사용하거나 테스트 종료시 즉시 파기하도록 해야 하고, 정보보호 안전성을 위하여 접근권한을 통제하는 조치를 해야 하며, 수탁사가 지침을 준수하고 있는지 실제로 관리·감독해야 한다.
정보보호 문화, 어떻게 구현할까
결국 앞서 3가지 사건 판례에서도 보듯 법원은 정보보호 리스크를 줄이기 위한 기업의 노력을 가장 중요시했다. 회사의 정보보호 리스크를 줄이기 위해서는 CPO 조직의 통제적 역할이 중요하다. CPO 조직은 정보보안법령의 각종 규제로부터 통제항목을 도출하여 현업에서 이를 준수하도록 하고 이를 기록으로 남겨 관리해야 한다. 또한, 위탁사와 수탁사가 명확한 관리체계를 인식하여 법령의 요구사항이 일선 조직에까지 분담되도록 정책과 지침을 세심하게 가다듬을 필요도 있다.
하지만 무엇보다 중요한 것은 정보보호 정책 또는 지침을 실천에 옮기는 것이다. 이는 전사적 정보보안 문화가 뒷받침되지 않는 한 요원한 일이다. ‘왜 우리가 정보보안을 하느냐?’거나 ‘정보보안은 정보보안팀의 업무다’라는 식의 사고가 만연한 이상 개인정보 유출과 뒤이은 대규모 손해배상 사태는 ‘사고’가 아닌 ‘운명’인 것이다.
판례가 요구하고 있는 정보보호 수준은 상당히 높은데 이는 사내에서 몇몇이 외롭게 동분서주한다고 해서 달성할 수 있는 것이 아니다.
그렇다면 전사적 정보보안 문화는 어떻게 이룩할 수 있을까? 우선 회사 규모에 걸맞은 정보보호 조직을 구성하고 CPO가 경영진으로부터 독립적인 업무 수행이 가능하도록 조직을 정비하는 것이 필요하다.
대외적으로는 정보보호조치를 준수하는 회사라는 이미지를 구축하는 것이 필요한데, 이는 ①정보보호위원회를 정기적으로 운영하고 ②보안·법률 전문가가 경영진에게 정기적으로 감사보고서를 작성하여 보고하게 하며 ③정기적으로 정보보호 교육을 실시함으로써 이룰 수 있을 것이다. 또한, 회사의 운영을 책임지는 임원들의 인식이 전환될 필요도 있다.
평소 업무를 처리할 때에 정보보호 지침을 점검하도록 지시하는 임원의 한 마디, 임원회의 때 CEO의 당부 한 마디는 사내에 정보보호 문화를 뿌리내리게 하는 봄비 같은 역할을 할 것이다.
정보보호 조직 역시 방해하는 조직이라는 인식을 불식시키기 위하여 단순히 제지하는 것을 넘어 문제를 해결하기 위한 적극적인 솔루션을 제시하는 모습을 보여야 할 것이다.
