[그때 그 IT] 個人情報流出判例 (3) 인터파크 顧客情報流出事件

東亞닷컴
入力 2023年 3月 7日 15時 28分

코멘트: 個

좋아요: 個

코멘트: 個

‘判例’란 法院이 特定訴訟에서 法을 適用하고 解釋해서 내린 判斷입니다. 法院은 이 判例를 類似한 種類의 事件을 裁判할 때 重要한 參考資料로 活用합니다. IT 分野는 技術의 發展速度가 이를 뒷받침하는 制度의 速度보다 顯著히 빠른 特性을 지녀 判例가 比較的不足합니다. 法曹人들이 IT 關聯訟事를 까다로워하는 理由입니다. 하지만 디지털 轉換을 거치며, IT 分野에도 參考할 만한 判例들이 續續 쌓이고 있습니다. IT동아는 法務法人 주원 홍석현 辯護士와 함께 注目할 만한 IT 關聯事件과 紛爭結果를 判例로 살펴보는 [그때 그 IT] 寄稿를 隔週로 連載합니다.

‘인터파크 顧客情報流出事件判例’로 본 計定情報管理의 重要性 (서울中央地方法院 2020. 10. 29. 宣告 2016加合563586 判決等)

“平素 아이디와 祕密番號를 몇 個나 使用하시나요?”

最近 해커들이 不法流通되는 計定情報를 다른 웹사이트 等에 無作爲로 代入해 利用者計定을 奪取하려는 試圖가 頻繁하게 發生하고 있습니다. 이러한 攻擊技法을 ‘크리덴셜 스터핑(Credential Stuffing)’이라고 하는데, 여러 인터넷 서비스에서 하나의 아이디와 祕密番號를 使用하는 利用者가 많기 때문에 個人情報流出에 따른 2次被害憂慮도 커지고 있습니다.

지난 1月 10日頃에도 인터넷 쇼핑몰 인터파크가 크리덴셜 스터핑으로 推定되는 攻擊을 받았다는 事實을 緊急公知한 바 있습니다.

당시 인터파크 공지 갈무리. 출처=인터파크 — 當時 인터파크 公知 갈무리. 出處=인터파크

인터파크는 지난 2016年에도 當時會員의 折半에 達하는 1,030萬名의 個人情報를 大量으로 流出하는 事故를 일으킨 戰績이 있습니다. 當時顧客의 이름, 生年月日, 携帶폰 番號, 이메일, 住所以外에 아이디와 祕密番號까지 露出됐기 때문에 위 緊急公知에도 인터파크를 바라보는 大衆들의 視線이 곱지 않습니다.

2016年當時事件으로 인터파크는 放送通信委員會로부터 合計 45億원에 達하는 課徵金과 過怠料處分을 받았습니다. 個人情報流出事故로 賦課된 課徵金額數로는 歷代最高額입니다.

또 法院은 被害會員들이 提起한 損害賠償訴訟에서 인터파크의 個人情報保護措置가 未洽했다는 事實을 認定하고, 앞서 살펴본 信用카드 3社個人情報流出事例와 같이 1人當 10萬원의 慰藉料를 支給하라고 判示했습니다(서울중앙지법 2016加合563586).

이 事件의 發端은 인터파크 職員이 받은 한 通의 메일이었습니다. 동생의 이메일 住所로 發送된 메일에는 家族寫眞 파일을 僞裝한 惡性코드가 심겨 있었습니다. 해커는 該當職員의 業務用 PC를 起點으로 파일共有 서버를 거쳐 個人情報取扱者印 DB서버管理職員의 PC까지 惡性코드에 感染시켜 DB서버의 會員情報를 빼돌린 것이었습니다. 無心코 메일을 確認한 結果치고는 代價가 너무 컸습니다.

한便, 인터파크 顧客情報流出은 2016年 5月 3~5日 사이에 發生했지만, 事件이 이슈化된 것은 그로부터 2個月後인 같은 해 7月頃이었습니다. 2016年 7月 11日 해커가 인터파크 代表에게 流出된 個人情報를 볼모로 30億원 相當의 비트코인을 送金하라며 脅迫 메일을 보냈고, 인터파크 側에서 이 事實을 警察에 申告하면서 世間에 알려졌습니다.

그런데, 會員들에게 個人情報流出事實을 公知한 것은 위 脅迫 메일을 받은 날로부터 2週가 지나고 난 時點이어서 인터파크의 늑장 對應도 論難이 됐습니다.

이에 對해, 法院은 區情報通信網法上 “情報通信 서비스 提供者는 個人情報가 流出된 事實을 안 때부터 24時間以內에 流出된 個人情報項目, 流出이 發生한 時點等을 該當利用者에게 알려야 함에도 이러한 義務를 履行하지 않았고, 個人情報流出通知가 늦어 被害會員들이 個人情報流出에 迅速히 對應할 機會를 喪失케 하였다’”며 事故後措置가 未洽했음을 꼬집었습니다(서울중앙지법 2016加合563586).

事故經緯調査結果, 인터파크의 個人情報保護措置에 있어서 몇 가지 問題가 드러났습니다. 그中共用管理計定의 祕密番號를 엑셀 파일에 평문으로(암호화하지 않고) 貯藏, 管理한 것도 問題點으로 指摘됐습니다.

法令上個人情報가 安全하게 貯藏·電送되기 위해서 祕密番號를 管理者가 다시 復舊할 수 없도록 暗號化(일方向暗號化)해 貯藏해야 하는데, DB 서버 等에 接續할 때 必要한 祕密番號를 (暗號를 設定했다고는 하나) 엑셀 파일에 原文 그대로 記錄한 것은 法違反으로 보았습니다.

事業者立場에서 個人情報를 適切하게 管理하기는 무척이나 어려운 일입니다. 그러나 인터파크 事例等 그間의 個人情報大量流出事例에 비춰 볼 때, 便宜를 위한 些少한 管理疏忽이 原因이 돼 大型流出事故로 이어지게 되므로, 個人情報保護에 對해서는 아무리 强調해도 지나치지 않습니다.

또 利用者立場에서도 해킹 技術과 技法이 날로 發展하는 만큼, 個人情報流出에 따른 2次被害를 입지 않도록 不便함을 甘受하고서라도 計定管理에 各別히 注意를 기울여야 할 것입니다.

個人情報流出과 關聯한 判例는 이番寄稿를 마지막으로 하고, 다음 寄稿부터 잡코리아와 사람인HR 間의 採用情報無斷複製判例(서울高等法院 2017. 4. 6. 宣告 2016나2019365 判決等)를 始作으로 웹사이트 無斷 크롤링과 關聯한 判例를 살펴보도록 하겠습니다.

글 / 홍석현 法務法人 주원 辯護士

홍석현 辯護士는 서울대학교 法科大學 및 高麗大學校法學專門大學院을 卒業하고 第4回辯護士試驗에 合格했습니다. 김앤장 法律事務所所屬辯護士로 일하다가, 現在는 法務法人 주원 파트너 辯護士로 在職中입니다.

整理 / 東亞닷컴 IT專門 김동진 記者 (kdj@itdonga.com)