서울고등법원 2019. 11. 1. 선고 2018누56291 판결(원고 인터파크, 피고 방통위)
대법원, 인터파크 개인정보 유출 사건 과징금 45억원으로 확정
[보안뉴스= 전승재 법무법인 바른 변호사] 2016년 2,500만 건의 고객정보를 유출 당한 인터파크는 방통위로부터 44억 8,000만 원의 과징금을 부과 받았다. 인터파크가 행정소송을 제기해 대법원까지 올라갔으나 이번 달 12일 결국 패소판결이 확정됐다.
[이미지=iclickart]
여기에서는 이번 판결의 결론보다는, 판결이유 중 우리 제도를 퇴보시킬 만한 부분을 지적하고자 한다. 바로 “유출사고가 난 이상 이것과 법위반행위(이하 ‘취약점’) 사이에 인과관계가 입증되지 않더라도 과징금을 부과할 수 있다”고 해석한 부분이다.
사고원인 조사 결과 크게 두 가지 취약점이 지적됐다. 첫째, 해커는 인터파크 직원 A의 가족사진을 가지고 화면보호기(SCR 파일)를 만들고 여기에 악성코드를 심어 A에게 이메일로 전송하면서 마치 A의 친동생이 보내는 것처럼 발신 이메일 주소를 위장하고 동생의 어투까지 흉내 냈다. A는 감쪽같이 속을 수밖에 없었고, 악성코드에 감염된 A의 PC는 해커의 수중에 떨어졌다. 이러한 침입 기법을 APT(Advanced Persistent Threat) 공격이라고 한다. 해커는 A의 PC를 거점으로 삼아, DB 관리자 직원 B의 PC를 거쳐 고객정보가 보관된 DB 서버에 침입했다. 인터파크가 DB 서버에 최대 접속시간 제한(idle timeout)을 설정해 두지 않은 부주의로 인해 해커가 비교적 쉽게 침입할 수 있었던 것인데, 이를 ‘취약점 1’이라 한다.
둘째, 해커가 A의 PC에서 인터파크 사내 네트워크를 스캔했더니 업무용 파일서버가 발견되었다. 거기에는 패스워드 장부 엑셀파일이 있었다. 직원들이 수많은 인터파크 서버들의 접속계정을 외우기 어려워 이를 메모해둔 것이었다. 이러한 패스워드 장부 관리 소홀 행위를 ‘취약점 2’라 한다. 다만, 고객정보가 유출된 DB 서버의 접속 패스워드는 여기에 없었다고 한다. 즉, 이것은 해킹의 원인을 제공한 취약점은 아니다.
물론 ‘취약점 1’로 인해 해킹을 당한 이상 ‘취약점 2’와 해킹 사이에 인과관계가 있든 없든 인터파크의 법적 책임이 인정된다는 결론은 맞을 수 있다. 그런데 1, 2심 법원은 ‘취약점 2’가 해킹과 인과관계가 없더라도 이 또한 과징금 처분의 근거가 될 수 있다는 판결이유를 덧붙였다. 이 부분이 문제다.
해킹과 인과관계가 없는 취약점을 이유로 과징금이 부과될 수 있다는 법해석이 향후 일반화되면 어떻게 될까. 정부는 고객정보를 해킹 당한 기업에게 조사를 나가서 아무 취약점이나 적발하면 과징금을 부과할 수 있게 된다. 이번 판결에 의하면 취약점과 해킹 간 인과관계를 굳이 입증할 필요가 없기 때문이다. 이와 달리, 정작 본인 개인정보를 탈취 당한 피해자가 기업에게 민사소송을 제기하면 ‘그 취약점과 해킹 간 인과관계가 없다’는 이유로 손해배상을 받지 못할 수 있다. 민법상 손해배상 요건에는 ‘인과관계’가 명시되어 있기 때문이다. 요컨대, 인과관계가 입증되지 않으면 정부의 과징금 부과가 가능하더라도 정작 피해자가 손해배상을 받지 못하는 기현상이 발생한다.
여기서 생각해 볼 문제는, 과연 국가에 의한 처벌이 피해자 구제보다 우선시 되어도 좋으냐는 것이다. 피해자에게 손해배상을 안 해도 된다는 것은 곧 적법행위 내지 불가항력이라는 뜻이다. 예컨대 법률상 요구되는 주의의무를 다하더라도 도저히 막지 못하는 신출귀몰한 해킹이 있을 수 있다. 그러한 불가항력적 해킹을 당한 기업에게 해킹의 원인과 무관한 작은 취약점이 있었다 해도 이로 인해 손해배상 책임이 발생하지는 않는다. 그러한 ‘인과관계 없는 취약점’을 이유로 ‘불가항력’을 제재할 수 있다는 뜻으로 이번 판결이 남용될 소지가 충분하다. 국가가 제재를 하려면 마땅히 문제된 행위가 불가항력이 아니라는 것, 즉 ‘적발된 취약점과 해킹사고 간의 인과관계’를 입증해야 하지 않을까. 그렇게 하라고 국가에게 조사권이 주어진 것 아닐까.
대법원은 법해석에 관한 최고기관이다. 전국의 모든 소송이 대법원으로 모이기 때문에 대법원은 모든 사건에서 법해석을 내려줄 수는 없다. 이러한 현실을 고려해 ‘심리불속행’이라는 제도가 존재한다. 시사점이 적은 사건은 대법원이 심리하지 않고 곧바로 상고기각을 할 수 있는 제도이다. 하필이면 대법원은 이번 인터파크의 상고를 심리불속행으로 기각했다. “해킹과 인과관계가 없는 취약점을 갖고 과징금을 부과할 수 있다는 하급심의 법해석이 과연 맞느냐”는 질문에 대해 대법원은 이유를 말하지 않고 하급심의 결론만을 재확인한 것이다.
참고로 인터파크는 대법원에 상고를 하면서 “해킹과 인과관계가 없는 취약점도 과징금 부과 대상이라고 법률을 해석한다면 이것은 위헌이 아니냐”는 질문을 동시에 던졌다. 이것을 ‘위헌법률심판제청’이라 한다. 그런데 대법원은 그 질문을 받고 불과 두 달 만에 “위헌이 아니다”는 답을 하면서 상고를 기각했다. 무엇이 그렇게 급했을까.
[글_전승재 법무법인 바른 변호사, 해커 출신 변호사가 해부하는 해킹판결 저자]
대법원, 인터파크 개인정보 유출 사건 과징금 45억원으로 확정
[보안뉴스= 전승재 법무법인 바른 변호사] 2016년 2,500만 건의 고객정보를 유출 당한 인터파크는 방통위로부터 44억 8,000만 원의 과징금을 부과 받았다. 인터파크가 행정소송을 제기해 대법원까지 올라갔으나 이번 달 12일 결국 패소판결이 확정됐다.
[이미지=iclickart]
여기에서는 이번 판결의 결론보다는, 판결이유 중 우리 제도를 퇴보시킬 만한 부분을 지적하고자 한다. 바로 “유출사고가 난 이상 이것과 법위반행위(이하 ‘취약점’) 사이에 인과관계가 입증되지 않더라도 과징금을 부과할 수 있다”고 해석한 부분이다.
사고원인 조사 결과 크게 두 가지 취약점이 지적됐다. 첫째, 해커는 인터파크 직원 A의 가족사진을 가지고 화면보호기(SCR 파일)를 만들고 여기에 악성코드를 심어 A에게 이메일로 전송하면서 마치 A의 친동생이 보내는 것처럼 발신 이메일 주소를 위장하고 동생의 어투까지 흉내 냈다. A는 감쪽같이 속을 수밖에 없었고, 악성코드에 감염된 A의 PC는 해커의 수중에 떨어졌다. 이러한 침입 기법을 APT(Advanced Persistent Threat) 공격이라고 한다. 해커는 A의 PC를 거점으로 삼아, DB 관리자 직원 B의 PC를 거쳐 고객정보가 보관된 DB 서버에 침입했다. 인터파크가 DB 서버에 최대 접속시간 제한(idle timeout)을 설정해 두지 않은 부주의로 인해 해커가 비교적 쉽게 침입할 수 있었던 것인데, 이를 ‘취약점 1’이라 한다.
둘째, 해커가 A의 PC에서 인터파크 사내 네트워크를 스캔했더니 업무용 파일서버가 발견되었다. 거기에는 패스워드 장부 엑셀파일이 있었다. 직원들이 수많은 인터파크 서버들의 접속계정을 외우기 어려워 이를 메모해둔 것이었다. 이러한 패스워드 장부 관리 소홀 행위를 ‘취약점 2’라 한다. 다만, 고객정보가 유출된 DB 서버의 접속 패스워드는 여기에 없었다고 한다. 즉, 이것은 해킹의 원인을 제공한 취약점은 아니다.
물론 ‘취약점 1’로 인해 해킹을 당한 이상 ‘취약점 2’와 해킹 사이에 인과관계가 있든 없든 인터파크의 법적 책임이 인정된다는 결론은 맞을 수 있다. 그런데 1, 2심 법원은 ‘취약점 2’가 해킹과 인과관계가 없더라도 이 또한 과징금 처분의 근거가 될 수 있다는 판결이유를 덧붙였다. 이 부분이 문제다.
해킹과 인과관계가 없는 취약점을 이유로 과징금이 부과될 수 있다는 법해석이 향후 일반화되면 어떻게 될까. 정부는 고객정보를 해킹 당한 기업에게 조사를 나가서 아무 취약점이나 적발하면 과징금을 부과할 수 있게 된다. 이번 판결에 의하면 취약점과 해킹 간 인과관계를 굳이 입증할 필요가 없기 때문이다. 이와 달리, 정작 본인 개인정보를 탈취 당한 피해자가 기업에게 민사소송을 제기하면 ‘그 취약점과 해킹 간 인과관계가 없다’는 이유로 손해배상을 받지 못할 수 있다. 민법상 손해배상 요건에는 ‘인과관계’가 명시되어 있기 때문이다. 요컨대, 인과관계가 입증되지 않으면 정부의 과징금 부과가 가능하더라도 정작 피해자가 손해배상을 받지 못하는 기현상이 발생한다.
여기서 생각해 볼 문제는, 과연 국가에 의한 처벌이 피해자 구제보다 우선시 되어도 좋으냐는 것이다. 피해자에게 손해배상을 안 해도 된다는 것은 곧 적법행위 내지 불가항력이라는 뜻이다. 예컨대 법률상 요구되는 주의의무를 다하더라도 도저히 막지 못하는 신출귀몰한 해킹이 있을 수 있다. 그러한 불가항력적 해킹을 당한 기업에게 해킹의 원인과 무관한 작은 취약점이 있었다 해도 이로 인해 손해배상 책임이 발생하지는 않는다. 그러한 ‘인과관계 없는 취약점’을 이유로 ‘불가항력’을 제재할 수 있다는 뜻으로 이번 판결이 남용될 소지가 충분하다. 국가가 제재를 하려면 마땅히 문제된 행위가 불가항력이 아니라는 것, 즉 ‘적발된 취약점과 해킹사고 간의 인과관계’를 입증해야 하지 않을까. 그렇게 하라고 국가에게 조사권이 주어진 것 아닐까.
대법원은 법해석에 관한 최고기관이다. 전국의 모든 소송이 대법원으로 모이기 때문에 대법원은 모든 사건에서 법해석을 내려줄 수는 없다. 이러한 현실을 고려해 ‘심리불속행’이라는 제도가 존재한다. 시사점이 적은 사건은 대법원이 심리하지 않고 곧바로 상고기각을 할 수 있는 제도이다. 하필이면 대법원은 이번 인터파크의 상고를 심리불속행으로 기각했다. “해킹과 인과관계가 없는 취약점을 갖고 과징금을 부과할 수 있다는 하급심의 법해석이 과연 맞느냐”는 질문에 대해 대법원은 이유를 말하지 않고 하급심의 결론만을 재확인한 것이다.
참고로 인터파크는 대법원에 상고를 하면서 “해킹과 인과관계가 없는 취약점도 과징금 부과 대상이라고 법률을 해석한다면 이것은 위헌이 아니냐”는 질문을 동시에 던졌다. 이것을 ‘위헌법률심판제청’이라 한다. 그런데 대법원은 그 질문을 받고 불과 두 달 만에 “위헌이 아니다”는 답을 하면서 상고를 기각했다. 무엇이 그렇게 급했을까.
[글_전승재 법무법인 바른 변호사, 해커 출신 변호사가 해부하는 해킹판결 저자]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
