'마이올레' 고객정보 1170만건 유출한 KT..대법 "과징금 처분 취소해야"

방통위, 의무 소홀로 7000만원 과태료
1·2심 모두 KT 손 들어줘
대법도 원심 확정 "빌미 제공했지만 보호조치 다해"

서울 광화문 KT 본사.

통신요금 명세서 조회 서비스를 제공하는 홈페이지에서 고객들의 개인정보가 유출됐다 하더라도, ‘해킹 방지 의무’를 다했다면 통신서비스사업자에게 과태료를 물을 수 없다는 대법원 판단이 나왔다.

13일 법원에 따르면 대법원 제3부(주심 노정희 대법관)는 KT가 방송통신위원회를 상대로 제기한 ‘과징금부과처분취소 소송’에서 상고를 기각, KT 손을 들어준 원심을 확정했다.

KT가 개설한 마이올레 홈페이지는 일반 가입자(고객)가 요금명세서와 포인트 등을 조회할 수 있는 홈페이지다. 하지만 해킹사고로 2013년 8월 8일부터 2014년 2월 25일까지 총 1170만8875건(이용자수 기준 981만8074명)의 개인정보가 유출됐고, DB서버에서는 합계 8만3246건의 개인정보가 유출됐다.

마이올레에서 개인정보를 조회할 때 사용자 고유번호인 ‘서비스계약번호’를 서버로 전송하면 서버는 그에 맞는 정보를 보내주는데, 해커는 이 서비스계약번호를 무작위 숫자로 무단 변경해 각 번호에 해당되는 사용자들의 개인정보를 내려받은 것으로 추정됐다.

이에 방송통신위원회는 KT에 7000만원의 과징금을 부과했다. 올레클럽 웹 서버는 URL을 해석해 가입자 정보를 조회할 수 있는 화면을 보내주는데, 해커가 로그인 당시 사용한 정보는 ‘퇴직자 계정(ID)’이었다.

방통위는 △특정 IP에서 하루 최대 수십만 건의 개인정보를 조회했음에도 비정상적인 접근을 탐지·차단하지 못했고 △사용 중지된 퇴직자 ID로 8만건의 개인정보를 조회했음에도 비정상적 접근을 탐지·차단하지 못했다는 등의 이유로(구 정보통신망법 제28조 제1항 제2호 및 시행령 제15조) 7000만원의 과징금을 부과했다.

그러자 KT는 접근권한 말소 여부와 이 사건 해킹사고 발생 사이에 인과관계가 없다는 취지로 반박했다. KT는 “DB상 퇴직자의 사용자 ID를 말소함으로써 개인정보처리시스템에 대한 접근권한을 말소했다”면서 “해커가 불법적으로 취득한 URL 주소 중 퇴직자 ID 변환 값은 인사 메시지(greeting message)로 사용됐을 뿐 본인과 일치하는지 여부를 확인하기 위한 인증수단으로 사용된 것이 아니다”라고 주장했다.

그러면서 서울행정법원에 소송을 냈다.

1심 재판부는 “KT는 10대 보안 취약점을 검출할 수 있는 자동화된 점검 도구를 도입해 마이올레에 연동시켰다”면서 “개발자들이 소프트웨어 소스코드를 작성 및 수정(유지·보수)하는 단계에서부터 이 자동화된 점검 도구를 활용했다. 또 모의해킹을 수행하고 침입방지 시스템도 설치 및 운영했다”고 판단했다. KT가 보호조치의무를 다했다는 취지로, 과징금 처분을 취소해야 한다고 봤다.

2심 재판부 역시 1심과 같은 판단을 내렸다.

대법원도 1·2심 판단이 맞다며 상고를 기각했다.

대법은 “보호조치의무 위반 여부는 보편적인 정보보안 기술 수준, 정보통신서비스 제공자의 업종과 영업규모, 개발에 적용한 보안대책과 보안기술, 실제 홈페이지를 관리하면서 실시한 보안기술의 적정성 검증 및 개선 조치 내용, 실제 사용된 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생 회피 가능성, 정보통신서비스 제공자 등이 수집한 개인정보의 내용과 개인정보의 유출로 인해 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 판단해야 한다”고 명시했다.

이어 “KT가 퇴직자 ID를 말소하지 않아 올레클럽 해킹의 빌미를 제공한 것은 인정되지만, KT는 방화벽 등 침입탐지시스템을 설치하고 모의 해킹을 수행하는 등 필요한 시스템을 운영했다고 판단한다”며 과징금 처분을 취소해야 한다고 판시했다.

- Copyright ⓒ 조선비즈 & Chosun.com -