2021년에 있었던 개인정보 유출 사고에 대한 과징금 불복소송 2심 판례가 우리법원 주요판결 형태로 서울고등법원 홈페이지에 공개되었다. 네트워크 구성도가 포함된 판결문은 처음 읽어본다.^^ 상세한 설명이 포함되어 있어 다른 판결문 보다 대상 회사의 상황을 잘 알수 있어 이해에 큰 도움이 되었다.
https://slgodung.scourt.go.kr/dcboard/new/DcNewsViewAction.work?seqnum=25540&gubun=44&cbub_code=000200&searchWord=%B0%B3%C0%CE%C1%A4%BA%B8&pageIndex=1
과거 법무조직에서 개인정보 보호 업무를 할 때는 판결문을 꼼꼼히 읽고 숙지했었지만 정보보호와 개인정보보호 업무를 병행하고 있는 요즘은 여러 번 읽을 마음의 여유가 없음이 아쉽다.
참고할만한 내용을 정리해보면 다음과 같다.
1. 위법 여부에 대한 판단 시 규제기관의 해설서를 참고하고 인용하고 있다.
> 간혹 해설서의 내용이 판결에 영향을 주지 않는다는 의견도 있으나 그렇지 않다.
2. MSSQL 인증정보를 복호화 하지 않고 DB접근제어 솔루션에 기록해 개인정보처리시스템 접속기록 중 식별자(계정)를 암호화된 상태로 저장한 사실을 법령 및 고시 위반으로 간주하고 있다.
- 비록 접속기록에는 암호화 되어 있더라도 별도의 복호화 과정을 거치면 원문을 알 수 있고 원문을 기준으로 접속기록 검토는 가능한 상황이었다. 하지만 접속기록 자체에 식별할 수 없는 형태로 저장한 사실을 법위반으로 판단하고 있다.
- 간혹 개인정보처리시스템 접속기록에 개인정보취급자 IP가 아닌 공인 대표IP를 기록하는 경우가 있고, 개선 필요성을 언급하면 (필요 시) NAT처리하는 장비의 로그를 확인하면 어떤 개인정보취급자가 접속한 것인지를 알 수 있다는 논리로 개선을 하지 않는 분들이 있는데, 이때 설득의 근거로 활용할 수 있겠단 생각이 들었다.
3. 유출 흔적이 감지되었다고 통지를 한 후에 추가 확인된 내용을 통지하지 않음을 법령 위반으로 판단하고 있다.
- 구체적인 내용이 확인되지 않았으면 우선 확인한 내용으로 1차 통지를 하고 추가 확인되는 내용을 2차로 알려야 할 의무를 법령에 규정하고 있다.
- 간혹, 유출(의심)과 같은 형태로 유출인지 아닌지 모호하게 통지를 하는 경우가 있는데 이 경우 실제 유출로 판별이 나면 2차 통지로 분명히 알릴 필요성이 있고 그렇지 않다면 법 위반에 해당할 가능성이 높다.(통지문 문구 선택의 중요성)
4. 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 의무를 위반하였는지 여부를 판단할 때는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종․영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다.
- 다른 판결(대법원 2018. 1. 25. 선고 2015다24904, 24911, 24928, 24935 판결)에서 언급된 내용을 인용한 것이지만 보호조치 의무를 위반한 것인지를 판단하는 기준이기 때문에 항상 인지하고 있어야 한다.
5. 개인정보 유출 사고가 발생한 법인과 경유지로 사용한 웹 서버를 소유한 법인이 다르지만 동일한 외부 방화벽과 백본스위치 하위에서 사설 통신을 할 것으로 추측되는 상황에서 법인 외의 정보시스템을 외부로 판단하고 있다.
- 개인적으로 그간 외부를 판별하는 기준에 대한 1차 기준은 인터넷 구간을 거치는지 였지만, 판결에서는 IDC에서 외부방화벽과 백본스위치를 공유하는 상황에서 법인 외의 네트워크를 실질적인 외부로 보고 있다.
- 어찌보면 당연한 얘기지만, 네트워크 인프라를 공유하는 그룹사 들에서 접근통제 정책을 미흡하게 운영하는 경우가 있을 수 있겠단 생각이 들었다. 동일 IDC, 외부 방화벽 및 백본 스위치를 사용하는 환경에서 다른 계열사의 네트워크를 외부로 보고 보호조치를 적용해야 할 필요가 있다.(예: 2차 인증 적용)
| 개인정보의 안전성 확보조치 기준 제6조(접근통제) ② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다. |
'(개인)정보보호 동향' 카테고리의 다른 글
| [자료] 민간분야 고정형 영상정보처리기기 설치·운영 가이드라인(5차개정) (0) | 2024.01.22 |
|---|---|
| [링크] 한국기술교육대학교 온라인평생교육원 (0) | 2024.01.21 |
| [자료] 개인정보 법령해석 사례 30선 (0) | 2024.01.10 |
| [자료] 창업초기기업을 위한 정보보호 가이드라인 (0) | 2023.11.22 |
| (기사) 중국 개인정보보호법 개인정보 해외이전 절차 (0) | 2023.11.04 |