[IT] 해킹 당해 개인정보 유출된 천재교과서에 과징금 9억 적법
[서울고법] "타 IP주소에서 접속 불구 차단 안 돼"
서울고법 행정3부(재판장 함상훈 부장판사)는 11월 2일 2021년 4월 발생한 23,624건의 개인정보 유출로 시정명령과 9억여원의 과징금, 1,740만원의 과태료 부과처분을 받은 천재교과서가 "과징금 부과처분을 취소하라"며 개인정보보호위원회를 상대로 낸 소송의 항소심(2023누34486)에서 "과징금 납부명령은 적법하다"며 1심과 마찬가지로 원고의 청구를 기각했다.
2021년 4월 7일 천재교과서가 운영하는 초등온라인학습 서비스 '밀크티' 이용자의 개인정보 23,624건이 해커에 의해 유출되는 사고가 발생했다. 천재교과서는 별개 법인인 천재교육이 운영하는 서비스의 웹 서버를 통해 밀크티 서비스에 접근하는 경우에도 개인정보처리시스템에 대한 접근 권한을 부여했는데, 해커가 천재교육 서비스의 웹 서버를 통해 밀크티 서비스의 DB에 접근해 개인정보 23,624건을 외부로 전송했다.
이에 개인정보보호위원회가 개인정보처리시스템에 대한 접근통제를 소홀히 했다는 이유 등으로 천재교과서에 시정명령과 함께 과징금 9억원, 과태료 1,740만원을 부과, 천재교과서가 소송을 냈다.
재판부는 먼저 "정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 의무를 위반하였는지 여부를 판단할 때는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종 · 영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다(대법원 2018. 1. 25. 선고 2015다24904, 24911, 24928, 24935 판결 참조)"고 밝혔다.
이어 "원고는 일반적으로 알려진 네트워크 보안방식인 Any→Any 차단 규칙이나 이른바 '화이트 리스트' 방식(기본 정책이 모두 차단인 상황에서 접근이 가능한 대상을 특정하여 허용하는 방식) 등의 조치를 취하지 아니한 채 천재교육과의 2차 방화벽에 대하여 만연히 Any→Any 허용 규칙(출발 IP 주소와 도착 IP 주소에 상관없이 모든 트래픽을 허용하는 규칙)을 운용함으로써 다른 IP주소에서 밀크티 서비스 DB 서버에 직접 접속을 하더라도 위 방화벽에서 차단되지 않았다"고 지적하고, "실제로 이 사건 유출사고를 일으킨 신원 미상의 자는 천재교육 서비스의 웹 서버를 통하여 밀크티 서비스의 DB에 접근할 수 있었고, 이는 원고가 Any→Any 허용 규칙 설정으로 인하여 개인정보처리시스템에 대한 접근 권한을 밀크티 서비스의 개인정보 보호책임자 또는 개인정보취급자뿐만 아니라 천재교육이 운영하는 서비스의 웹 서버를 통해 밀크티 서비스에 접근하는 이에게도 접근 권한을 부여하였기 때문"이라고 밝혔다.
재판부는 "모든 해커의 공격에 따른 개인정보 유출이 발생하지 않도록 조치를 취하는 것은 현실적으로 불가능하지만, 원고는 2018. 3.경 해커로부터 웹 셸 업로드 방식을 통한 밀크티 서비스의 개인정보 유출사고를 당하는 등 외부 공격자가 공개된 웹 서버를 경유하여 DB에 저장된 개인정보를 유출하는 수법을 이미 인지하고 있던 상태였다"며 "따라서 원고로서는 개인정보처리시스템에 대한 접속 권한을 밀크티 서비스 운영에 반드시 필요한 IP 주소 등으로 제한하고, 다른 사업자의 서비스와 IP 대역을 분리하는 등 DB 서버에 대하여 웹 셸을 통한 정보유출을 충분히 방지할 수 있었음에도 이러한 조치를 소홀히 함으로써 개인정보 보호법령과 보호조치 기준 제4조 제5항을 위반하였다"고 밝혔다. 원고가 개인정보처리시스템에 대한 접근통제를 소홀히 함으로써 불법적인 접근 차단을 다하지 않았다고 인정할 수 있고, 처분사유가 인정된다는 것이다.
재판부는 또 "원고는 이 사건 유출사고 이전인 2018. 3.경에도 해커로부터 웹 셸 업로드 방식을 통한 밀크티 서비스의 개인정보 유출사고를 당하여 2019. 11. 22. 방송통신위원회로부터 개인정보의 불법적인 접근차단을 위한 침입차단 · 탐지시스템 운영을 소홀히 한 행위 등에 대하여 시정명령과 과태료 1,300만원을 부과 받았음에도, 원고는 천재교육 서비스와 공동으로 DB 접근제어 솔루션을 사용하고, 밀크티 서비스 DB에 접속하는 방식을 Any→Any 허용 규칙으로 설정하였다"고 지적하고, "원고는 적어도 이 사건 유출 사고에 (과징금 가중 요소인) 중과실이 있다고 봄이 타당하다"고 밝혔다.
재판부는 원고의 위반행위 내용과 정도가 가볍지 아니하고, 위반기간도 장기간에 해당한다고 보았다. 또 "이 사건 유출사고로 인해 미성년자인 초등학생의 개인정보까지 유출되는 등 피해규모가 상당히 크다"며 "과징금 부과처분이 재량권을 일탈 · 남용하여 위법하다고 볼 수 없다"고 판단했다.
김앤장이 1심에 이어 천재교과서를 대리했다. 개인정보보호위원회는 법무법인 태평양이 대리했다.
리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)