2016년 4월 8일 금요일

[개인정보보호] 해킹에 대한 기술적·관리적 보호조치 미흡 사건(민사)

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2333



통신사 해킹에 대한 기술적·관리적 보호조치 미흡 사건(민사)


통신사 고객정보 해킹 사건에 대해 개인정보처리자의 기술적·관리적 보호조치 여부 및 위자료 액수가 쟁점인 판례



[사건번호]
서울중앙지방법원 2014. 8. 22. 선고 2012가합83365 판결

1) 쟁점 : 통신회사 K의 기술적 보호조치 상에 과실이 있었는지 아닌지

2) 사실관계 : 피고 통신회사 K는 고객정보를 등록 관리하고 이용자의 이용명세를 정산하여 요금을 부과하는 등의 업무를 수행하기 위하여 N-STEP 시스템을 완성하였다.

사용자는 PC에서 'N-STEP portal 통합 로그인’을 실행하여 사용자별로 발급되어 있는 N-STEP ID와 비밀번호(이하 ID와 비밀번호를 포괄하여 지칭할 때 '사용자 계정'이라 한다)를 사용자 인증화면에 입력한다.

웹 브라우저는 입력받은 N-STEP ID와 비밀번호의 조합을 N-STEP 포털 서버로 전달하고, 이와 함께 PC별로 고유하게 부여된 정보인 MAC 주소(Media Access Control Address)도 N-STEP 포털 서버로 전송된다.

N-STEP 포털 서버는 전달받은 계정의 정보를 다시 AUT라는 이름의 인증 서버로 전달한다.

AUT 서버는 전달받은 사용자 계정이 정상적으로 접속이 허용된 사용자인지를 확인하여 접속이 허용된 사용자일 경우 '인증 토큰'을 N-STEP 포털 서버에 전달하는데, 이때 웹 브라우저는 별도의 실행 파일로 구성된 N-STEP UI라는 이름의 클라이언트용 프로그램을 실행하면서 전달받은 인증 토큰을 N-STEP UI에 부여한다.

사용자가 로그인 창에 ID와 비밀번호를 입력하여 인증을 거친 후 화면에 띄워지는 N-STEP UI에는 가입자 입력, 가입자 조회 등 각종 메뉴가 표시되어 있고, 사용자는 그 중 원하는 메뉴를 선택한다.

위와 같은 상황에서, 컴퓨터 프로그래머인 A는 여러 차례의 시도 끝에 N-STEP UI가 ESB 서버와 통신하는데 필요한 헤더 및 그 변숫값에 해당하는 임의의 값을 찾아내었다.

 A는 찾아낸 임의의 값으로 서비스 호출 규격에 맞는 데이터를 구성하여서 피고의 VPN에 접속되어 있기만 하면 N-STEP 포털의 인증과 N-STEP UI를 통한 AUT 서버의 인증을 거칠 필요 없이 곧바로 ESB 서버와 통신을 할 수 있는 이 사건 해킹프로그램을 제작하였다.

A는 2012. 2. 20.경 B를 통해 피고의 VPN을 이용할 수 있는 피고의 대리점 PC에 설치된 원격제어프로그램의 ID와 비밀번호를 받은 후 위 대리점 PC에 원격에서 Nsteal(RUN.BAT) 프로그램을 설치한 다음 이를 실행하여 고객정보 8,730,435건(중복 제거 시 8,129,090건)을 A의 서버에 전송하여 오라클 DB에 저장하였다.

3) 판결내용

① 접근통제의 불완전성에 대한 판단 : 고시 규정은 개인정보처리시스템에 접속권한을 제한하여 인가받지 않은 접근을 제한하라고 규정하고 있을 뿐, 개인정보처리시스템에 대한 접근통제장치가 반드시 협의의 개인정보처리시스템 내부에 존재하여야 한다고 정한 것은 아닌바,

N-STEP 시스템이 N-STEP 포털 및 AUT 서버에만 접속권한의 인증절차를 두고 있고, 달리 ESB 서버 이후에 접속권한의 인증을 거치지 아니하는 구조가 이 사건 고시 제4조제5항에서 정하는 기술적·관리적 보호조치의무에 반한다고 보기는 어렵다.

또한 N-STEP 시스템의 N-STEP 포털 및 AUT 서버에 단계에서 피고가 갖추어 놓은 접근통제시스템이 불완전한가에 대하여 사용자가 소지하고 있는 MAC 주소를 통한 추가적인 인증절차를 두고 있고, N-STEP UI는 접속된 인증 토큰의 유효성을 10분에 한 번씩 확인하여 유효한 토큰이 아닐 경우에 접속을 차단하는 기능이 있으므로 이러한 접근통제장치가 이 사건 고시 규정에서 요구하는 기술적·관리적 보호조치에 반한다고 보기 어렵다.

② 이 사건 고시 제4조제2항 위반 여부 : 위 고시 규정은 개인정보처리시스템에 대한 접근권한을 말소하라는 것으로서 퇴직한 자의 계정으로는 개인정보처리시스템의 전 과정에서 식별되어 접근하지 못하도록 하는 조치를 해야 했을 것이므로 피고가 퇴직한 사용자의 N-STEP 사용자계정을 N-STEP UI에서 인증하지 못하도록 한 것만으로는 위 고시 규정이 요구하는 기술적·관리적 보호조치를 다 하였다고 보기 어렵다.

③ 모니터링 시스템에 관한 부분 : 이 사건 고시 제5조는 궁극적으로 개인정보의 유출 방지 등 보호를 위하여 개인정보처리시스템에서 개인정보를 처리한 내용을 확인하고 감독하여야 한다는 주의의무가 포함되는 규정이라 할 것인바, A는 이 사건 해킹프로그램을 실행할 당시 1주일에 한 번 10만 건 정도의 개인정보를 조회하였다고 진술한 점 등에 비추어보면 피고가 개인정보처리시스템의 사용 패턴에서 평상시의 상태와 다른 특이점을 발견하여 정보 유출의 지속 및 확대를 방지할 수 있었음에도 피고는 이러한 주의의무를 다 하지 못하였다.

④ 암호화에 관한 부분 : 피고는 OM DB 서버에 고객들의 주민등록번호를 암호화하지 아니하여서 이 사건 고시 제6조제2항을 위반한 점, 주민등록번호를 제외한 정보에 대하여 피고는 3-DES 방식으로 암호화를 하였는데, 방송통신위원회 등에서 발행한 암호기술 구현 안내서에서는 위 암호화 방식을 권고하지 아니한 점, 피고가 암호화키의 관리를 소홀히 한 점 등에 비추어 보면, 피고는 암호화에 관한 기술적·관리적 보호조치를 다 하지 못하였다.

4) 결론 : 원고들이 입게 된 피해가 분명하게 입증되지는 않았지만, 원고들이 받은 수많은 텔레마케팅, 스팸메시지 등을 추적하여 이 사건 정보유출 사고로 인한 것인지 밝히는 것은 사실상 불가능한바 이러한 사정은 위자료의 액수 산정에 참작하기로 하여 피고가 원고들에게 지급하여야 할 위자료의 액수를 100,000원으로 정한다.

댓글 없음:

댓글 쓰기