정보보호의 날, KT 개인정보유출 행정소송 들여다 보니..

[이데일리 김현아 기자] 오늘(7월 8일)은 정부가 개인정보보호 생활화를 위해 제정한 ‘정보보호의 날’입니다. 개인정보는 생활상의 비밀과 관련돼 있어 마땅히 보호돼야 하지만 직원의 고의나 과실, 예기치 못한 해킹사고 등으로 유출되는 일이 많습니다.

해킹사고로 기업이 보관하던 개인정보가 유출됐다면 해당 기업의 책임은 어디까지일까요?

7일 오후 서울행정법원 제14부에서는 해킹으로 980만 명 개인정보가 유출된 KT(030200)에 정부(방송통신위원회)가 과징금을 처분한 것은 적법한 가를 두고 4차 변론이 있었습니다.

KT는 2014년 초 확인된 980만명, 1170만 건의 개인정보 해킹이후 회사 곳곳에 위와 같은 포스터를 붙이며 직원들의 경각심을 높이고 있다.

방통위 처분은 과징금 7천만 원에 불과하나 행정소송의 결과가 진행 중인 여러 개의 민사소송에 영향을 미칠 수 있어 관심입니다.

방통위는 KT의 과실로 해킹사건이 발생했다는 입장인 반면, KT는 방통위가 정한 기술적·관리적 보호조치를 다했으니(불가항력이니) 과징금 처분은 근거 없다는 입장입니다.

그래서 KT는 국내 최고 법무법인인 ‘김앤장’을 내세워 지난해 8월 행정소송을 제기했고, 방통위는 ‘법무법인 민후’를 통해 방어에 나섰습니다.

이 사건으로 개인정보가 털린 고객으로선 화 나는 일이지만, 정부의 행정행위 역시 법에 근거해 이뤄져야 하는 만큼 쟁점들을 들여다 보겠습니다.

재판부는 이날 공판 말미에 다음과 같은 4가지 쟁점을 언급했습니다.

해커가 쓴 파라미터 변조방식, 대중적 방식일까

재판부는 먼저 해커가 사용한 파라미터 변조가 이미 알려진 위협인지, 그래서 충분히 막을 수 있었는지, 당시 정보보호 기술 수준은 어땠는지 관심을 보였습니다.

파라미터(매개변수 값) 변조란 프록시 툴(proxy tool)을 이용해 클라이언트와 웹 서버를 오가는 각종 정보들을 중간에서 가로채 다른 정보로 바꾸는 기법입니다. 올해 초 공공 아이핀(i-PIN) 시스템에서 75만건의 아이핀이 부정 발급된 해킹사고 역시 같은 수법이었죠.

KT측 변호인은 “방통위가 만든 보호조치 기준해설서에 이런 내용이 없고, 행안부의 개인정보의 안정성 확보조치 기준 해설서 역시 2015년 2월 개정판에서야 언급하고 있는 만큼, 과징금 부과의 대상은 아니다”라고 주장했습니다.

개정 정보통신망법에선 기업이 법상 보호조치 의무를 다했더라도 해킹사고로 개인정보가 유출되면 기업이 과징금 등을 받지만, 이 사건은 그 이전에 발생한 만큼 관련 조문을 엄격하게 해석해야 한다는 취지입니다.

그러나 방통위 측 변호인은 “이 사건은 포인트조회 홈페이지(올레클럽 및 올레)에서 퇴직자 아이디로 인증받은 사람이 파라미터를 바꾸는 것으로 고객정보를 빼낸 것인데 이는 3~40년 동안 잘 알려진 웹 취약점이며 한국인터넷진흥원(KISA)에서도 막을 수 있는 방안을 게시해 알려주고 있다”고 반박했습니다.

한마디로 파라미터 변조를 못막은 것은 정보통신망법 상 ‘접근통제’ 조치를 위반한 것이라는 주장입니다.

이상행위에 대한 대응

KT가 이상행위에 적절히 대응했는가도 쟁점이었습니다.

KT 측은 유무선 공유를 통해 들어오면 기술적으로 알 길이 없으며 압수수색을 해야 가능하다고 주장했습니다. 또, 해커가 이용한 IP를 제외해도 1일 10만 건 이상 접속했던 다른 IP도 있었다며 (방통위 주장은) 무리한 것이라고 강조했습니다.

하지만 방통위 측은 해커가 요금조회 홈페이지(마이올레)에서 4개의 특정 인터넷주소(IP)로 3달 동안 1266만 6441건을 접속해 1일 최대 34만1219건의 비정상적 접근이 있었는데, 이를 KT가 인식하지 못한 것은 역시 망법 상 ‘접근통제’ 조치를 위반한 것이라고 반박했습니다.

▲2014년 6월 26일 방통위가 밝힌 KT의 기술적·관리적 보호조치 위반사항. 출처: 방통위 위 사항 중 접근통제 위반은 ‘과징금’ 대싱이고, ‘암호화 조치 미비’는 과태료 대상이다. 최소 정보전송 및 마스킹 처리 불비는 권고 사항이다.

개인정보처리시스템 운영의 의미

요금조회 홈페이지(마이올레)를 운영하는 웹서버를 개인정보시스템으로 볼 것인지도 쟁점이었습니다.

KT 측은 2010년 12월 방통위는 웹서버는 개인정보시스템이 아니라는 유권해석을 내린 적이 있으며, 각종 교육자료에도 그렇게 표현했다고 밝혔습니다. 개인정보처리시스템이 되려면 사용자의 요구에 따라 검색, 갱신, 삽입, 삭제가 가능해야 한다고 주장했습니다.

하지만 방통위 측은 개인정보 처리시스템이란 단순한 데이터베이스(DB)가 아니라 개인정보가 처리되는 시스템의 총체라면서, 사건이 발생하기 전인 2013년 2월 방통위 기술관련 해설서에도 ‘중계서버, 애플리케이션 서버 등이 포함된다’고 적시돼 있고, 원고(KT)역시 개인정보와 관련된 내부 관리계획을 세우면서 웹서버도 포함시켰다고 반박했습니다.

기술적 보호조치의 범위

재판부는 KT가 법에서 정한 기술적·관리적 보호조치를 다 했는가에 대해서도 관심을 보였습니다.

KT는 침입방지시스템(IPS)에 대해 공격대상의 특징이나 로그분석 등을 실시간으로 진행하는 등 법에서 정한 의무를 다했다는 입장입니다. KT측 변호인은 “N-STEP 인증은 법원 정문으로 들어가는 것이라면 이 케이스는 정문 초소를 거치지 않고 우회해 들어온 것이어서 인증이 개입할 여지는 없었다”며, 불가항력을 주장했습니다.

그러나 방통위는 KT가 IPS를 구축한 것만으로는 부족하다며 로그분석을 통해 이상행위를 제대로 판단하고 대응했어야 법에서 정한 보호조치를 완수한 것이란 입장입니다. 방통위측 변호인은 “포인트 조회 홈페이지(올레클럽)만 봐도 원래 정책은 별도 인터넷주소와 별도 인증(N-STEP)을 써서 외부에서는 접속 못하게 돼 있는데 그렇지 않았다”고 말했습니다.

이 사건은 파장을 고려했을 때 대법원까지 갈 가능성이 높습니다. 검찰이 KT에 고의성이 없다는 이유로 형사재판에서 불기소 처분을 한 만큼, 행정소송과 행정소송 결과에 영향을 받는 민사소송만 진행되는 것이죠.

양측이 어떤 추가 답변을 내놓을지 주목됩니다. 다음 번 공판은 8월 13일 오전 11시 열립니다.