‘사회공학적기법’ 이메일 피싱으로 악성코드 감염된 직원 PC... 1대로 시작된 연쇄 감염이 원인
인터파크 측, 행정소송 진행했으나 대법원은 방송통신위원회와 원고 측 손들어주며 최종 패소
‘자기 책임의 원칙’에 의거해 보호조치 위반과 개인정보 유출 사이 인과관계 인정돼야
■ 방송 : 보안뉴스TV(bnTV) <김진환 변호사의 개인정보 지키다> 12화
■ 진행 : 이소미 보안뉴스 기자
■ 출연 : 김진환 변호사
▲[김진환의 개인정보 지키다] 11화 시작 화면[이미지=보안뉴스]
□ 이소미 기자
bnTV 구독자 여러분, 안녕하세요. 보안뉴스와 김진환 변호사가 함께하는 ‘개인정보 지키다’ 진행에 이소미 기자입니다. 저희 bnTV에서 한동안 교훈점이 담긴 역대급 개인정보 유출사건 TOP 5를 선정해 소개해 드렸는데요. 오늘은 그 마지막 편을 다루는 날입니다. 이 사건은 워낙 유명해서 실제 국내 흥행 드라마 에피소드로도 인용됐던 사건입니다. 바로 2016년도에 발생한 인터파크 개인정보 유출 사건입니다. 당시 피해 규모가 인터파크 회원 수의 절반에 이르렀다고 할만큼 유출 규모가 상당했는데요. 변호사님, 이 사건 개요부터 설명해 주시죠.
[인터파크 개인정보 유출 사건 개요]
■ 김진환 변호사
2016년에 발생한 인터파크 개인정보 유출 사건은 당시 가입 회원 절반 수에 해당하는 1,030만명의 개인정보가 대량으로 유출됐던 사건입니다. 유출된 정보로는 고객의 △이름 △생년월일 △휴대전화번호 △이메일 주소 이외에도 아이디·비밀번호까지 유출됐습니다. 이 사건은 인터파크 직원이 자신의 동생이 보낸 것으로 가장한 해커의 이메일에 악성코드가 숨겨져 있는 것을 모른 채 이메일을 열었다가 해당 직원의 PC가 악성코드에 감염되면서 연쇄적으로 파일 공유 서버와 DB서버 관리 직원의 PC까지 악성코드에 감염된 것이 원인이 돼 발생한 사건입니다.
직원이 무심코 이메일을 확인한 대가치고는 정말 엄청난 결과라고 할 수 있습니다. 이러한 이유로 대표적인 피싱 사건의 하나로 자주 거론되는 사건이기도 합니다.
[사건의 재판 결과]
□ 이소미 기자
네, 한마디로 ‘사회공학적기법’을 활용한 공격자에 의해 직원 한 명에 대한 보안 방어막이 뚫리면서 회사 전체에 파장을 불러일으킨 사건입니다.
이메일 피싱 공격은 ‘사회공학적기법 공격’이라고도 하는데요. 지금도 여전히 성행하고 있는 유효한 공격이기도 합니다. 그렇기 때문에 관련된 다양한 법률적인 인과관계도 살펴볼 수 있을 것 같고요. 변호사님, 그럼 결국 이 사건은 어떻게 결론이 났을까요?
■ 김진환 변호사
우선, 당시 인터파크 같은 온라인 서비스 사업자들이 처리하던 개인정보에 대해서는 정보통신망법이 적용됐고요. 주무 기관이던 방송통신위원회는 인터파크에 대해 합계 약 45억 원에 달하는 과징금과 과태료를 부과했습니다. 이런 금액은 당시까지 부과된 과징금 액수로는 역대 최고 금액에 해당됐는데요.
이에 따라 인터파크는 방송통신위원회를 상대로 ‘과징금 부과 처분 취소’를 요청하는 행정소송을 제기했고, 제1심과 제2심을 거쳐 대법원에 이르기까지 모두 인터파크의 패소로 확정되면서 최종적으로 방송통신위원회의 과징금 처분이 적법한 것으로 결론이 났습니다.
이후 인터파크를 상대로 인터파크 서비스 이용자들이 제기한 각종 민사소송 사건들에 대해서도 법원은 모두 원고들의 처분을 인용해 손해배상금 지급을 명하는 판결들이 선고됐고요. 인터파크로서는 원고당 10만 원 정도의 손해배상 책임을 지게 됐습니다.
[연이은 패소의 원인]
□ 이소미 기자
지금까지 저희가 살펴본 개인정보 유출 사건들 중에서 카드 3사 사건을 제외하면 오히려 원고 측 패소가 압도적이었는데요. 인터파크의 경우는 행정소송에서도 또 민사소송에서도 모두 패소했습니다. 특별히 이런 결과가 나오게 된 배경이 있을까요?
■ 김진환 변호사
말씀하신 것처럼 2008년에 발생한 ‘옥션 개인정보 유출 사건’을 필두로 해서 대형 개인정보 유출사건들이 발생한 이래 많은 사건들에 있어 사업자의 민·형사 또는 행정상 책임이 최종적으로 인정된 경우보다 그렇지 않은 경우가 훨씬 더 많았던 것이 사실입니다.
그러나 그동안 개인정보보호에 관한 법령이나 각종 고시가 보다 더 엄격히 보강되면서 개인정보 처리자 의무의 범위나 정도가 많이 상향됐고요. 각종 개인정보 유출사건들이 일상적이라고 할 정도로 많이 발생하다보니 명백하게 법을 위반한 사건들이 속출하면서 그 같은 결과가 나온 것으로 생각됩니다.
□ 이소미 기자
변호사님 말씀대로 개인정보 유출 사건은 이제 일상이라는 표현이 당연하게 느껴질 정도로 빈번하게 발생하고 있는데요. 데이터 자산 가치가 높아진 시대인만큼 개인정보는 해커들이 최우선적으로 노리는 대상이 됐습니다. 그러면서 자연스레 개인정보보호 법령도 강화되고, 개인정보 처리 범주가 상향된 것은 필수 불가결한 상황인 것 같습니다.
[인터파크 개인정보 유출 사건의 특이점]
□ 이소미 기자
변호사님, 인터파크 개인정보 유출 사건을 통해 얻을 수 있는 교훈점에는 뭐가 있을까요?
■ 김진환 변호사
인터파크 개인정보 유출 건에서의 교훈이라면 저는 미래에 대해서 이 사건이 갖는 중요한 의미를 같이 생각해봤으면 좋겠습니다.
앞서 얘기 나눈대로 개인정보보호 관련 법령이 점차 엄격해지고 있다고 했는데 이 사건에 적용됐던 구(舊) 정보통신망법 제 64조의 4항 제 1항 제 6호는 ‘개인정보 유출 시에 과징금을 부과하기 위한 요건으로 이용자의 개인정보를 유출한 경우로서 고시를 포함한 법령에서 정한 보호조치를 취하지 아니한 경우’ 이렇게 돼있거든요?
그런데 이 규정이 개정되기 전에는 ‘고시를 포함한 법령에서 정한 보호조치를 하지 않아 이용자의 개인정보를 유출한 경우’ 이렇게 돼 있습니다. 그래서 보호조치를 취하지 않은 것과 개인정보 유출 사이에 인과관계가 인정돼야 한다는 것인데, 당시 적용된 개정 법률에는 마치 인과관계가 필요없는 것으로 볼 수 있는 여지가 있었기 때문에 관련 조항의 문구가 수정된 것입니다.
이에 따라 인터파크 측은 행정소송 사건에서 보호조치 위반과 개인정보 유출 사이에는 반드시 인과관계가 있어야 한다고 주장했지만, 법원은 제1심에서 제3심에 이르기까지 일관되게 보호조치 위반과 개인정보 유출 사이에는 인과관계가 필요 없다는 취지로 판단했습니다.
그렇지만 저는 이러한 법원의 판단은 잘못된 것이라고 생각합니다. 왜냐하면 이러한 판단은 헌법상 법치주의에 당연히 내재된 원리라고 할 수 있는 ‘자기책임의 원칙’에 반할 가능성이 매우 높기 때문입니다. 자기책임의 원칙이란, 자기가 결정하지 않은 것이나 결정할 수 없는 것에 대해서는 책임지지 않고 책임을 지는 범위도 스스로 결정한 결과나 그와 상관관계가 있는 부분에 국한됨을 의미하는 원리를 말하는데요.
예를 들어, 어떤 사업자가 개인정보보호 관련 법령 중에 ‘캐비넷에 종이 서류를 보관할 때는 자물쇠를 설치해야 한다’는 법령은 어겼지만, 막상 개인정보 유출은 온라인을 통해 발생한 경우를 한 번 상정해 볼까요? 그럼 이 케이스에서 비록 해당 사업자가 종이 서류를 보관할 때에 법령상 보호조치를 위반한 잘못이 있더라도 이러한 보호조치 위반과 온라인을 통한 개인정보 유출과는 아무런 연관성이 없기 때문에, 법률적 책임은 자기 자신이 잘못한 범주 내에서만 져야 한다는 자기 책임의 원칙상 개인정보 유출에 대한 책임을 지어서는 안 된다는 것입니다.
그럼에도 불구하고 인터파크 사건에서 법원은 보호조치 위반과 개인정보 유출 사이에 인과관계가 필요 없다고 봐서, 헌법이나 법치주의상으로 당연한 기본원리를 다소 등한시한 채 당시의 정보통신망법 문구에만 매달려 판단된 것이 아닐까 하는 생각입니다.
현재는 당시의 정보통신망법의 규정은 삭제되고, 유사한 문구로 개인정보 보호법에 옮겨와 새롭게 규정되었습니다. 새로운 개인정보 보호법의 규정에 대해서는 향후 하급심 법원이나 대법원이 어떠한 판단을 내리게 될지 좀 더 지켜볼 필요가 있을 것 같습니다. 다만, 자기책임의 원칙을 충분히 고려해 고시 등의 법령 위반과 개인정보 유출 간에는 규범적인 의미의 인과관계는 반드시 인정돼야 한다고 생각합니다.
[마무리]
□ 이소미 기자
네, 말씀해 주신 ‘자기 책임의 원칙’에 의거한다면, 인터파크 측에서는 원치 않게 발생한 해킹 사건으로 어떤 결정도 내릴 수 없는 상황이었다는 점에서 안타깝기도 한데요. 개정 전 개인정보 보호법에서 문제가 된 규정들이 수정되면서 새롭게 규정됐다는 점은 정말 반가운 소식입니다.
저희 ‘개인정보 지키다’ 코너에서는 개인정보보호와 관련된 시청자분들의 궁금증들을 해결해 드리려고 합니다. 방송 보시면서 궁금한 사항이나 꼭 다뤄주었으면 하는 내용이 있으시다면 언제든 ‘bntv 소통창구’로 의견 남겨주세요.
이메일 또는 유튜브 댓글로 자유롭게 의견 남겨주시면 방송을 통해 여러분의 궁금증 시원하게 해결해 드리겠습니다. 김진환 변호사와 함께하는 개인정보보호의 모든 것 ‘개인정보 지키다!’ 저희가 오늘 준비한 내용은 여기까지고요.
저희는 다음 시간에 더욱 흥미로운 내용으로 준비해서 찾아뵙도록 하겠습니다. 시청해 주신 여러분 고맙습니다.
[이소미 기자(boan4@boannews.com)]
인터파크 측, 행정소송 진행했으나 대법원은 방송통신위원회와 원고 측 손들어주며 최종 패소
‘자기 책임의 원칙’에 의거해 보호조치 위반과 개인정보 유출 사이 인과관계 인정돼야
■ 방송 : 보안뉴스TV(bnTV) <김진환 변호사의 개인정보 지키다> 12화
■ 진행 : 이소미 보안뉴스 기자
■ 출연 : 김진환 변호사
▲[김진환의 개인정보 지키다] 11화 시작 화면[이미지=보안뉴스]
□ 이소미 기자
bnTV 구독자 여러분, 안녕하세요. 보안뉴스와 김진환 변호사가 함께하는 ‘개인정보 지키다’ 진행에 이소미 기자입니다. 저희 bnTV에서 한동안 교훈점이 담긴 역대급 개인정보 유출사건 TOP 5를 선정해 소개해 드렸는데요. 오늘은 그 마지막 편을 다루는 날입니다. 이 사건은 워낙 유명해서 실제 국내 흥행 드라마 에피소드로도 인용됐던 사건입니다. 바로 2016년도에 발생한 인터파크 개인정보 유출 사건입니다. 당시 피해 규모가 인터파크 회원 수의 절반에 이르렀다고 할만큼 유출 규모가 상당했는데요. 변호사님, 이 사건 개요부터 설명해 주시죠.
[인터파크 개인정보 유출 사건 개요]
■ 김진환 변호사
2016년에 발생한 인터파크 개인정보 유출 사건은 당시 가입 회원 절반 수에 해당하는 1,030만명의 개인정보가 대량으로 유출됐던 사건입니다. 유출된 정보로는 고객의 △이름 △생년월일 △휴대전화번호 △이메일 주소 이외에도 아이디·비밀번호까지 유출됐습니다. 이 사건은 인터파크 직원이 자신의 동생이 보낸 것으로 가장한 해커의 이메일에 악성코드가 숨겨져 있는 것을 모른 채 이메일을 열었다가 해당 직원의 PC가 악성코드에 감염되면서 연쇄적으로 파일 공유 서버와 DB서버 관리 직원의 PC까지 악성코드에 감염된 것이 원인이 돼 발생한 사건입니다.
직원이 무심코 이메일을 확인한 대가치고는 정말 엄청난 결과라고 할 수 있습니다. 이러한 이유로 대표적인 피싱 사건의 하나로 자주 거론되는 사건이기도 합니다.
[사건의 재판 결과]
□ 이소미 기자
네, 한마디로 ‘사회공학적기법’을 활용한 공격자에 의해 직원 한 명에 대한 보안 방어막이 뚫리면서 회사 전체에 파장을 불러일으킨 사건입니다.
이메일 피싱 공격은 ‘사회공학적기법 공격’이라고도 하는데요. 지금도 여전히 성행하고 있는 유효한 공격이기도 합니다. 그렇기 때문에 관련된 다양한 법률적인 인과관계도 살펴볼 수 있을 것 같고요. 변호사님, 그럼 결국 이 사건은 어떻게 결론이 났을까요?
■ 김진환 변호사
우선, 당시 인터파크 같은 온라인 서비스 사업자들이 처리하던 개인정보에 대해서는 정보통신망법이 적용됐고요. 주무 기관이던 방송통신위원회는 인터파크에 대해 합계 약 45억 원에 달하는 과징금과 과태료를 부과했습니다. 이런 금액은 당시까지 부과된 과징금 액수로는 역대 최고 금액에 해당됐는데요.
이에 따라 인터파크는 방송통신위원회를 상대로 ‘과징금 부과 처분 취소’를 요청하는 행정소송을 제기했고, 제1심과 제2심을 거쳐 대법원에 이르기까지 모두 인터파크의 패소로 확정되면서 최종적으로 방송통신위원회의 과징금 처분이 적법한 것으로 결론이 났습니다.
이후 인터파크를 상대로 인터파크 서비스 이용자들이 제기한 각종 민사소송 사건들에 대해서도 법원은 모두 원고들의 처분을 인용해 손해배상금 지급을 명하는 판결들이 선고됐고요. 인터파크로서는 원고당 10만 원 정도의 손해배상 책임을 지게 됐습니다.
[연이은 패소의 원인]
□ 이소미 기자
지금까지 저희가 살펴본 개인정보 유출 사건들 중에서 카드 3사 사건을 제외하면 오히려 원고 측 패소가 압도적이었는데요. 인터파크의 경우는 행정소송에서도 또 민사소송에서도 모두 패소했습니다. 특별히 이런 결과가 나오게 된 배경이 있을까요?
■ 김진환 변호사
말씀하신 것처럼 2008년에 발생한 ‘옥션 개인정보 유출 사건’을 필두로 해서 대형 개인정보 유출사건들이 발생한 이래 많은 사건들에 있어 사업자의 민·형사 또는 행정상 책임이 최종적으로 인정된 경우보다 그렇지 않은 경우가 훨씬 더 많았던 것이 사실입니다.
그러나 그동안 개인정보보호에 관한 법령이나 각종 고시가 보다 더 엄격히 보강되면서 개인정보 처리자 의무의 범위나 정도가 많이 상향됐고요. 각종 개인정보 유출사건들이 일상적이라고 할 정도로 많이 발생하다보니 명백하게 법을 위반한 사건들이 속출하면서 그 같은 결과가 나온 것으로 생각됩니다.
□ 이소미 기자
변호사님 말씀대로 개인정보 유출 사건은 이제 일상이라는 표현이 당연하게 느껴질 정도로 빈번하게 발생하고 있는데요. 데이터 자산 가치가 높아진 시대인만큼 개인정보는 해커들이 최우선적으로 노리는 대상이 됐습니다. 그러면서 자연스레 개인정보보호 법령도 강화되고, 개인정보 처리 범주가 상향된 것은 필수 불가결한 상황인 것 같습니다.
[인터파크 개인정보 유출 사건의 특이점]
□ 이소미 기자
변호사님, 인터파크 개인정보 유출 사건을 통해 얻을 수 있는 교훈점에는 뭐가 있을까요?
■ 김진환 변호사
인터파크 개인정보 유출 건에서의 교훈이라면 저는 미래에 대해서 이 사건이 갖는 중요한 의미를 같이 생각해봤으면 좋겠습니다.
앞서 얘기 나눈대로 개인정보보호 관련 법령이 점차 엄격해지고 있다고 했는데 이 사건에 적용됐던 구(舊) 정보통신망법 제 64조의 4항 제 1항 제 6호는 ‘개인정보 유출 시에 과징금을 부과하기 위한 요건으로 이용자의 개인정보를 유출한 경우로서 고시를 포함한 법령에서 정한 보호조치를 취하지 아니한 경우’ 이렇게 돼있거든요?
그런데 이 규정이 개정되기 전에는 ‘고시를 포함한 법령에서 정한 보호조치를 하지 않아 이용자의 개인정보를 유출한 경우’ 이렇게 돼 있습니다. 그래서 보호조치를 취하지 않은 것과 개인정보 유출 사이에 인과관계가 인정돼야 한다는 것인데, 당시 적용된 개정 법률에는 마치 인과관계가 필요없는 것으로 볼 수 있는 여지가 있었기 때문에 관련 조항의 문구가 수정된 것입니다.
이에 따라 인터파크 측은 행정소송 사건에서 보호조치 위반과 개인정보 유출 사이에는 반드시 인과관계가 있어야 한다고 주장했지만, 법원은 제1심에서 제3심에 이르기까지 일관되게 보호조치 위반과 개인정보 유출 사이에는 인과관계가 필요 없다는 취지로 판단했습니다.
그렇지만 저는 이러한 법원의 판단은 잘못된 것이라고 생각합니다. 왜냐하면 이러한 판단은 헌법상 법치주의에 당연히 내재된 원리라고 할 수 있는 ‘자기책임의 원칙’에 반할 가능성이 매우 높기 때문입니다. 자기책임의 원칙이란, 자기가 결정하지 않은 것이나 결정할 수 없는 것에 대해서는 책임지지 않고 책임을 지는 범위도 스스로 결정한 결과나 그와 상관관계가 있는 부분에 국한됨을 의미하는 원리를 말하는데요.
예를 들어, 어떤 사업자가 개인정보보호 관련 법령 중에 ‘캐비넷에 종이 서류를 보관할 때는 자물쇠를 설치해야 한다’는 법령은 어겼지만, 막상 개인정보 유출은 온라인을 통해 발생한 경우를 한 번 상정해 볼까요? 그럼 이 케이스에서 비록 해당 사업자가 종이 서류를 보관할 때에 법령상 보호조치를 위반한 잘못이 있더라도 이러한 보호조치 위반과 온라인을 통한 개인정보 유출과는 아무런 연관성이 없기 때문에, 법률적 책임은 자기 자신이 잘못한 범주 내에서만 져야 한다는 자기 책임의 원칙상 개인정보 유출에 대한 책임을 지어서는 안 된다는 것입니다.
그럼에도 불구하고 인터파크 사건에서 법원은 보호조치 위반과 개인정보 유출 사이에 인과관계가 필요 없다고 봐서, 헌법이나 법치주의상으로 당연한 기본원리를 다소 등한시한 채 당시의 정보통신망법 문구에만 매달려 판단된 것이 아닐까 하는 생각입니다.
현재는 당시의 정보통신망법의 규정은 삭제되고, 유사한 문구로 개인정보 보호법에 옮겨와 새롭게 규정되었습니다. 새로운 개인정보 보호법의 규정에 대해서는 향후 하급심 법원이나 대법원이 어떠한 판단을 내리게 될지 좀 더 지켜볼 필요가 있을 것 같습니다. 다만, 자기책임의 원칙을 충분히 고려해 고시 등의 법령 위반과 개인정보 유출 간에는 규범적인 의미의 인과관계는 반드시 인정돼야 한다고 생각합니다.
[마무리]
□ 이소미 기자
네, 말씀해 주신 ‘자기 책임의 원칙’에 의거한다면, 인터파크 측에서는 원치 않게 발생한 해킹 사건으로 어떤 결정도 내릴 수 없는 상황이었다는 점에서 안타깝기도 한데요. 개정 전 개인정보 보호법에서 문제가 된 규정들이 수정되면서 새롭게 규정됐다는 점은 정말 반가운 소식입니다.
저희 ‘개인정보 지키다’ 코너에서는 개인정보보호와 관련된 시청자분들의 궁금증들을 해결해 드리려고 합니다. 방송 보시면서 궁금한 사항이나 꼭 다뤄주었으면 하는 내용이 있으시다면 언제든 ‘bntv 소통창구’로 의견 남겨주세요.
이메일 또는 유튜브 댓글로 자유롭게 의견 남겨주시면 방송을 통해 여러분의 궁금증 시원하게 해결해 드리겠습니다. 김진환 변호사와 함께하는 개인정보보호의 모든 것 ‘개인정보 지키다!’ 저희가 오늘 준비한 내용은 여기까지고요.
저희는 다음 시간에 더욱 흥미로운 내용으로 준비해서 찾아뵙도록 하겠습니다. 시청해 주신 여러분 고맙습니다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
