法 “‘고객 정보 유출’ KT에 7,000만원 과징금 부과는 위법”

지난 2013∼2014년 홈페이지 해킹을 당해 1,180만건의 고객 개인정보를 유출한 KT에 과징금 7,000만원을 매긴 처분은 위법하다는 법원 판결이 나왔다. 해커의 예측하기 힘든 공격에 뚫렸다고 해서 기업에 지나치게 많은 보안 책임을 지우는 것은 부당하다는 취지다.

서울행정법원 행정14부(홍진호 부장판사)는 KT가 방송통신위원회를 상대로 “과징금 부과 처분을 취소해달라”며 낸 소송에서 KT 승소로 판결했다고 25일 밝혔다.

KT는 2013년 8월∼2014년 2월 마이올레 홈페이지를 해킹당해 이름·주민등록번호 등 모두 1,170만여건의 고객 개인정보가 유출됐다. 다른 해커의 침입으로 8만3,000여건의 개인정보를 추가로 유출당하기도 했다.

방통위는 “KT가 개인정보 보호 조치를 충분히 하지 않았다”며 2014년 6월 과징금 7,000만원을 물렸다. 해커가 공격 때 사용한 ‘파라미터 변조’ 수법은 이미 널리 알려졌음에도 이를 막지 못했고 특정 IP에서 1일 최대 34만 건의 개인정보를 조회했음에도 이를 탐지·차단하지 못한 이유 등에서였다. 이는 개인정보 유출을 이유로 대형 사업장에 과징금을 부과한 첫 사례라 주목을 받았다.


KT는 “방통위의 ‘개인정보 보호조치 기준’에 따라 개인정보 유출을 막을 수 있는 조치들을 다 했다”며 맞섰다.

법원은 KT의 주장에 손을 들어줬다.

재판부는 “KT는 해커 공격에 대비해 침입탐지방지 시스템을 운영하고 상시로 모의 해킹을 수행하는 등 보호 조치 기준을 적절히 이행했다”며 “파라미터 변조 수법이 널리 알려졌기는 하나 방식에서는 무수한 패턴이 있어 이번 해킹 공격에 대비하기 어려웠다”고 밝혔다.

하루 최대 34만건의 이상 접속 사실을 탐지하지 못한 부분에 대해서는 “마이올레 홈페이지 하루 접속 건수가 3,300만여건에 이르는 점에 비추면 해커 접속은 1% 미만이어서 이상 행위를 탐지하기 어려웠다”고 판단했다. 해킹이 발생했던 당시에는 방통위의 개인정보 보호 조치 기준이 구체화하지 않았다는 점도 지적했다. 다만 퇴직자 ID의 개인정보 시스템 접근 권한을 말소하지 않은 것은 KT의 잘못이라고 봤다. 결국 방통위의 징계 처분 사유 4건 중 1건만 KT의 책임을 인정한 것이다.

한편 법원은 개인정보 유출 피해자들이 KT를 상대로 낸 민사 손해배상 소송에선 “KT는 피해자들에게 1인당 10만원씩 배상하라”는 판결을 내리고 있다.

KT는 “법원 판단을 존중하고 앞으로 개인정보 유출 사고가 일어나지 않도록 정보 보안을 강화해나가겠다”고 밝혔다. /서민준기자 morandol@sedaily.com


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>