[그때 그 IT] 개인정보 유출 판례 (3) 인터파크 고객정보 유출 사건

‘판례’란 법원이 특정 소송에서 법을 적용하고 해석해서 내린 판단입니다. 법원은 이 판례를 유사한 종류의 사건을 재판할 때 중요한 참고자료로 활용합니다. IT 분야는 기술의 발전 속도가 이를 뒷받침하는 제도의 속도보다 현저히 빠른 특성을 지녀 판례가 비교적 부족합니다. 법조인들이 IT 관련 송사를 까다로워하는 이유입니다. 하지만 디지털 전환을 거치며, IT 분야에도 참고할 만한 판례들이 속속 쌓이고 있습니다. IT동아는 법무법인 주원 홍석현 변호사와 함께 주목할 만한 IT 관련 사건과 분쟁 결과를 판례로 살펴보는 [그때 그 IT] 기고를 격주로 연재합니다.

‘인터파크 고객정보 유출사건 판례’로 본 계정정보 관리의 중요성 (서울중앙지방법원 2020. 10. 29. 선고 2016가합563586 판결 등)

“평소 아이디와 비밀번호를 몇 개나 사용하시나요?”

최근 해커들이 불법 유통되는 계정정보를 다른 웹사이트 등에 무작위로 대입해 이용자 계정을 탈취하려는 시도가 빈번하게 발생하고 있습니다. 이러한 공격 기법을 ‘크리덴셜 스터핑(Credential Stuffing)’이라고 하는데, 여러 인터넷 서비스에서 하나의 아이디와 비밀번호를 사용하는 이용자가 많기 때문에 개인정보 유출에 따른 2차 피해 우려도 커지고 있습니다.

지난 1월 10일경에도 인터넷 쇼핑몰 인터파크가 크리덴셜 스터핑으로 추정되는 공격을 받았다는 사실을 긴급 공지한 바 있습니다.

인터파크는 지난 2016년에도 당시 회원의 절반에 달하는 1,030만명의 개인정보를 대량으로 유출하는 사고를 일으킨 전적이 있습니다. 당시 고객의 이름, 생년월일, 휴대폰 번호, 이메일, 주소 이외에 아이디와 비밀번호까지 노출됐기 때문에 위 긴급 공지에도 인터파크를 바라보는 대중들의 시선이 곱지 않습니다.

2016년 당시 사건으로 인터파크는 방송통신위원회로부터 합계 45억원에 달하는 과징금과 과태료 처분을 받았습니다. 개인정보 유출 사고로 부과된 과징금 액수로는 역대 최고액입니다.

또 법원은 피해 회원들이 제기한 손해배상 소송에서 인터파크의 개인정보 보호조치가 미흡했다는 사실을 인정하고, 앞서 살펴본 신용카드 3사 개인정보 유출 사례와 같이 1인당 10만원의 위자료를 지급하라고 판시했습니다(서울중앙지법 2016가합563586).

이 사건의 발단은 인터파크 직원이 받은 한 통의 메일이었습니다. 동생의 이메일 주소로 발송된 메일에는 가족사진 파일을 위장한 악성코드가 심겨 있었습니다. 해커는 해당 직원의 업무용 PC를 기점으로 파일공유 서버를 거쳐 개인정보 취급자인 DB서버관리 직원의 PC까지 악성코드에 감염시켜 DB서버의 회원 정보를 빼돌린 것이었습니다. 무심코 메일을 확인한 결과치고는 대가가 너무 컸습니다.

한편, 인터파크 고객정보 유출은 2016년 5월 3~5일 사이에 발생했지만, 사건이 이슈화된 것은 그로부터 2개월 후인 같은 해 7월경이었습니다. 2016년 7월 11일 해커가 인터파크 대표에게 유출된 개인정보를 볼모로 30억원 상당의 비트코인을 송금하라며 협박 메일을 보냈고, 인터파크 측에서 이 사실을 경찰에 신고하면서 세간에 알려졌습니다.

그런데, 회원들에게 개인정보 유출 사실을 공지한 것은 위 협박 메일을 받은 날로부터 2주가 지나고 난 시점이어서 인터파크의 늑장 대응도 논란이 됐습니다.

이에 대해, 법원은 구 정보통신망법상 “정보통신 서비스 제공자는 개인정보가 유출된 사실을 안 때부터 24시간 이내에 유출된 개인정보 항목, 유출이 발생한 시점 등을 해당 이용자에게 알려야 함에도 이러한 의무를 이행하지 않았고, 개인정보 유출 통지가 늦어 피해 회원들이 개인정보 유출에 신속히 대응할 기회를 상실케 하였다’”며 사고 후 조치가 미흡했음을 꼬집었습니다(서울중앙지법 2016가합563586).

사고 경위 조사 결과, 인터파크의 개인정보 보호조치에 있어서 몇 가지 문제가 드러났습니다. 그중 공용 관리계정의 비밀번호를 엑셀 파일에 평문으로(암호화하지 않고) 저장, 관리한 것도 문제점으로 지적됐습니다.

법령상 개인정보가 안전하게 저장·전송되기 위해서 비밀번호를 관리자가 다시 복구할 수 없도록 암호화(일방향 암호화)해 저장해야 하는데, DB 서버 등에 접속할 때 필요한 비밀번호를 (암호를 설정했다고는 하나) 엑셀 파일에 원문 그대로 기록한 것은 법 위반으로 보았습니다.

사업자 입장에서 개인정보를 적절하게 관리하기는 무척이나 어려운 일입니다. 그러나 인터파크 사례 등 그간의 개인정보 대량 유출 사례에 비춰 볼 때, 편의를 위한 사소한 관리 소홀이 원인이 돼 대형 유출 사고로 이어지게 되므로, 개인정보 보호에 대해서는 아무리 강조해도 지나치지 않습니다.

또 이용자 입장에서도 해킹 기술과 기법이 날로 발전하는 만큼, 개인정보 유출에 따른 2차 피해를 입지 않도록 불편함을 감수하고서라도 계정관리에 각별히 주의를 기울여야 할 것입니다.

개인정보 유출과 관련한 판례는 이번 기고를 마지막으로 하고, 다음 기고부터 잡코리아와 사람인HR 간의 채용정보 무단복제 판례(서울고등법원 2017. 4. 6. 선고 2016나2019365 판결 등)를 시작으로 웹사이트 무단 크롤링과 관련한 판례를 살펴보도록 하겠습니다.

홍석현 변호사는 서울대학교 법과대학 및 고려대학교 법학전문대학원을 졸업하고 제4회 변호사 시험에 합격했습니다. 김앤장 법률사무소 소속 변호사로 일하다가, 현재는 법무법인 주원 파트너 변호사로 재직 중입니다.

정리 / IT동아 김동진 (kdj@itdonga.com)