소송 이긴 KT·이스트소프트, 개인정보 유출 과징금 줄었다

법원, 제재 내용 일부 불인정…개인정보위, 재처분 의결

컴퓨팅입력 :2021/11/24 17:35    수정: 2021/11/25 08:10

개인정보 유출 사고 이후 소송을 거쳐 일부 책임을 벗은 KT, 이스트소프트에 대해 개인정보보호위원회가 과징금을 다소 감액해 재처분했다.

KT는 원 과징금 7천만원에서 2천만원 감액된 5천만원을, 이스트소프트는 1억1천200만원에서 1천400만원 감액된 9천800만원을 재부과받았다.

개인정보위는 24일 전체회의를 열고 이같이 의결했다.

이번 과징금 재부과는 과거 부과된 과징금이 과도하다는 판결에 따라, 법원이 과징금 산정 권한을 지닌 개인정보보호위원회에 과징금을 재산정하라고 요구해 이뤄졌다.

개인정보위 19회 전체회의

KT를 공격한 해커는 지난 2013년 인증 정보를 조작하는 '파라미터 변조' 공격으로 KT 요금조회 홈페이지 '마이올레'에서 이용자 개인정보 980만명의 개인정보 1천170만건을 수집하고, KT 상담사 계정으로 접근할 수 있는 상담사용 URL을 이용해 정보 8만여건을 조회했다.

이에 대해 당시 정보통신망법 상 개인정보 규정에 대한 업무를 담당하던 방송통신위원회는 KT의 개인정보 보호 조치가 충분치 않다고 보고 제재를 결정했다. ▲마이올레로 요금명세서 조회 시 고객서비스계약번호를 입력하는 과정에서 본인 일치 여부를 추가 인증하는 단계가 없어 널리 알려진 해킹 유형인 파라미터 변조 공격을 막지 못한 점  ▲특정 IP에서 정보 최대 34만건을 조회했는데도 이상 행위로 탐지하지 못한 점 ▲퇴직자 계정은 말소했으나 URL은 제대로 말소하지 않고, 개인정보 조회 페이지를 외부망에서도 접속할 수 있게 했으며 별도 암호화 조치를 하지 않은 점 등이 문제로 지적됐다.

KT는 법적으로 요구되는 보안 조치를 다했음에도 발생한 사고라며 방통위 제재에 반발, 소송을 제기했다.

지난 9월 대법원은 이에 대해 퇴직자 접근권한 관리 측면만 법 위반으로 인정하면서 KT의 승소를 확정했다. 개인정보 유·노출 방지 조치, 침입차단·탐지 조치 위반에 대해서는 KT가 사회 통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 했다고 판단해 법 위반을 인정하지 않았다.

이에 따라 개인정보위는 KT의 위법 행위가 중과실에는 해당하지 않는 것으로 판단해 과징금을 2천만원 감액해 5천만원으로 부과했다.

KT 사옥

이스트소프트는 지난 2017년 웹브라우저 부가 서비스 '알툴바'에 저장된 이용자의 계정정보 16만6천여건과 외부 사이트 계정정보 2천546만1천여건이 해킹으로 유출되는 사고를 겪었다.

해커는 2월부터 공격이 발견된 9월까지 알툴바 내 계정정보 저장 서비스 '알패스'에 사전 입수한 계정정보를 모두 대입하는 공격을 썼다. 정보가 유출된 이용자의 포털 사이트 계정에도 접근해 주민등록증, 신용카드, 사진 등을 입수했으며 이용자가 보유한 암호화폐도 출금한 것으로 조사됐다.

방통위는 이스트소프트의 ▲해커 공격이 7개월 넘게 이어지는 동안 한 번도 로그 분석을 하지 않은 점 ▲IP의 접속 시도 수, 방문자 수를 모니터링하지 않아 이상 징후를 파악하지 못하는 등 침입 차단·탐지 시스템 운영의무를 소홀히 한 점 ▲알툴바 취약점이 있음을 알고도 공격에 대비해 시스템에 부정 접속된 이용자의 비밀번호 초기화, 접속 차단 등의 합당한 조치를 하지 않은 점 등을 문제 삼아 제재를 결정했다.

이스트소프트가 불복해 제기한 소송에 대해 법원은 최종적으로 침입 차단·탐지 시스템 설치 ·운영 의무 중 운영 의무를 소홀히 한 점은 법 위반으로 인정했다. 그러나 설치의무에 대해서는 이스트소프트가 사용한 오픈소스 침입탐지시스템에 대해 사회 통념상 합리적으로 기대 가능한 정도의 침입 차단·탐지시스템 설치 의무를 준수하지 않았다고 보기 어렵다고 봤다.

알툴바.

개인정보위는 법원 판결을 수용해 이스트소프트의 과징금을 1천400만원 감액해 9천800만원으로 재부과했다.

향후 개인정보위는 판결 취지와 현 시점의 기술 수준 등에 대해 산업계와 논의해  개인정보 안전조치 의무사항을 지속적으로 보완해나갈 계획이다. 

관련기사

박영수 개인정보위 조사1과장은 "KT의 경우 당시 기술 수준으로 조치할 만한, 최선의 노력을 했다는 게 판결 결과인데 그 시점이 2014년이다"라며 "지금과 그 때의 기술 수준이 달라져 있는 만큼 개인정보 보호 규정도 재점검해 현 기술 수준과 산업계에서 받아들이는 수준을 고민하겠다는 의미"라고 말했다.

박영수 개인정보위 조사1과장

윤정태 개인정보위 조사2과장은 "최근 오픈마켓 사업자들과 개인정보 보호 관련 안전조치 및 구체적인 현장 적용 방안을 정리한 공동규제를 논의 중인 것처럼, 공동규제를 희망하는 업계와 업종별 특성에 맞는 공동규제를 협의해 마련할 계획"이라고 설명했다.