[이데일리] 방통위, KT 980만명 개인정보 유출사건 항소…법개정 움직임도
작성자: 최종관리자 | 조회: 295회 | 작성: 2016년 8월 29일 4:37 오후방통위, KT 980만명 개인정보 유출사건 항소…법개정 움직임도
입력시간 | 2016.08.29 11:48 | 김현아 기자 chaos@
KT 퇴직자 ID 부실관리 인정..전체 처분은 재량권 일탈
보안 업계도 관심..법개정 움직임도
[이데일리 김현아 기자] 법원이 해킹으로 980만 명에 달하는 고객의 개인정보를 유출한 KT에 방송통신위원회가 과징금 7000만 원을 매긴 처분은 위법하다고 판단한 것을 두고 방통위가 항소를 준비 중이다.
1심 법원의 판단이 KT 잘못이 전혀 없다는 게 아니라 방통위가 법률을 적용하면서 재량권을 일탈했다고 봤기 때문이다. 방통위로서는 사후 규제기관으로서의 재량권이 어디까지 허용될 수 있는지 확인이 필요하기 때문이다.
KT로서는 1심 법원이 퇴직자 ID 관리부실 책임을 인정한 만큼 민사소송에 대비하기 위한 추가 재판이 불가피하지만, 공식적으로는 “항소가 불가능해 하지 않는다”고 밝혔다.
2014년 6월 방통위 심결 당시에도 해킹사건에 대한 기업의 ‘불가항력’ 주장에 대해 어떻게 바라봐야 하는가에 대한 논란이 있었던 만큼, 이 사건은 대법원까지 갈 것으로 예상했다. 방통위와 KT 법률대리인인 법무법인 김앤장은 9월 5일까지 항소이유서를 제출해야 한다.
◇KT 퇴직자 ID부실관리 인정…전체 처분은 재량권 일탈
서울행정법원 행정14부(홍진호 부장판사)는 KT가 방통위를 상대로 “과징금 부과 처분을 취소해달라”며 낸 소송에서 KT 승소로 판결했다고 25일 밝혔다.
그리고 그 이유로 △파라미터 변조 수법이 널리 알려졌기는 하나 방식에서는 무수한 패턴이 있어 이번 해킹 공격에 대비하기 어려웠고 △하루 최대 34만 건의 이상 접속 사실을 탐지하지 못한 부분 역시 하루 접속 건수가 3300만여건에 이르는 점에 비추면 해커 접속은 1% 미만이어서 이상 행위를 탐지하기 어려웠다고 KT 손을 들어줬다.
하지만 법원은 KT가 △퇴직자 ID의 개인정보 시스템 접근 권한을 말소하지 않은 것은 KT의 잘못이라고 봤다.
2014년 방통위는 KT에 과징금 7000만 원을 부과하면서 일단 로그인 하면 타인의 고객서비스계약번호(9자리)를 입력하더라도 인증단계 없이 타인의 정보(이름 등)까지 조회가능하다는 점, 비정상적으로 많은 해커의 접속 시도를 탐지 시스템이나 정책이 걸러내지 못했고, 내부망으로만 접속돼야 하는데 외부망으로도 접속할 수 있게 해 그런 부분에 대한 조치가 없었던 것, 또한 외부망 접속시스템에 대해서도 퇴직자 등 특정 아이디에 대해 인증단계를 제대로 하지 못한 것 등 4가지를 접근통제 위반(과징금 대상)으로 봤다.
방통위 관계자는 “KT에 부과한 과징금 7000만 원은 관련 고시 2호, 4호, 9호를 적용했는데 법원은 2호만 위반이 아니라고 판단했다”면서 “방통위가 전체 조문 위반을 전제로 처분했으니 재량권 일탈 남용으로 본 것이고 재량권에서 어느 정도가 적정한 지 법원이 판단하기 어려우니 전체 처분을 취소할 수 밖에 없다고 했다”고 밝혔다.
◇보안 업계도 관심…법개정 움직임도
보안업계 관계자는 “당시 KT 사건은 기술적·관리적 보호조치 위반과 유출사고간 인과관계가 없어도 관련 매출액의 3%까지 과징금을 부과할 수 있게 된 현행 정보통신망법 개정 이전이어서 어떤 판결이 나올지 더 관심이 많은 상황”이라고 말했다.
국민의당 고연호 대변인은 “KT 과징금 7000만 원이 위법하다는 법원 판결은 해커의 예측하기 힘든 공격에 뚫렸다고 해서 기업에 지나치게 많은 보안 책임을 지우는 것은 부당하다는 것이 이유지만 개인정보를 수집해놓고 지키지 못했으면 벌을 받는 것이 당연하다”고 밝혔다.
이어 “국민의 당은 개인정보보호법 개정 등 제도개선으로 국민의 개인정보 보호를 선진국 수준으로 높일 수 있도록 최선을 다할 것”이라고 부연했다. XML:Y
1심 법원의 판단이 KT 잘못이 전혀 없다는 게 아니라 방통위가 법률을 적용하면서 재량권을 일탈했다고 봤기 때문이다. 방통위로서는 사후 규제기관으로서의 재량권이 어디까지 허용될 수 있는지 확인이 필요하기 때문이다.
KT로서는 1심 법원이 퇴직자 ID 관리부실 책임을 인정한 만큼 민사소송에 대비하기 위한 추가 재판이 불가피하지만, 공식적으로는 “항소가 불가능해 하지 않는다”고 밝혔다.
2014년 6월 방통위 심결 당시에도 해킹사건에 대한 기업의 ‘불가항력’ 주장에 대해 어떻게 바라봐야 하는가에 대한 논란이 있었던 만큼, 이 사건은 대법원까지 갈 것으로 예상했다. 방통위와 KT 법률대리인인 법무법인 김앤장은 9월 5일까지 항소이유서를 제출해야 한다.
◇KT 퇴직자 ID부실관리 인정…전체 처분은 재량권 일탈
|
그리고 그 이유로 △파라미터 변조 수법이 널리 알려졌기는 하나 방식에서는 무수한 패턴이 있어 이번 해킹 공격에 대비하기 어려웠고 △하루 최대 34만 건의 이상 접속 사실을 탐지하지 못한 부분 역시 하루 접속 건수가 3300만여건에 이르는 점에 비추면 해커 접속은 1% 미만이어서 이상 행위를 탐지하기 어려웠다고 KT 손을 들어줬다.
하지만 법원은 KT가 △퇴직자 ID의 개인정보 시스템 접근 권한을 말소하지 않은 것은 KT의 잘못이라고 봤다.
2014년 방통위는 KT에 과징금 7000만 원을 부과하면서 일단 로그인 하면 타인의 고객서비스계약번호(9자리)를 입력하더라도 인증단계 없이 타인의 정보(이름 등)까지 조회가능하다는 점, 비정상적으로 많은 해커의 접속 시도를 탐지 시스템이나 정책이 걸러내지 못했고, 내부망으로만 접속돼야 하는데 외부망으로도 접속할 수 있게 해 그런 부분에 대한 조치가 없었던 것, 또한 외부망 접속시스템에 대해서도 퇴직자 등 특정 아이디에 대해 인증단계를 제대로 하지 못한 것 등 4가지를 접근통제 위반(과징금 대상)으로 봤다.
방통위 관계자는 “KT에 부과한 과징금 7000만 원은 관련 고시 2호, 4호, 9호를 적용했는데 법원은 2호만 위반이 아니라고 판단했다”면서 “방통위가 전체 조문 위반을 전제로 처분했으니 재량권 일탈 남용으로 본 것이고 재량권에서 어느 정도가 적정한 지 법원이 판단하기 어려우니 전체 처분을 취소할 수 밖에 없다고 했다”고 밝혔다.
◇보안 업계도 관심…법개정 움직임도
보안업계 관계자는 “당시 KT 사건은 기술적·관리적 보호조치 위반과 유출사고간 인과관계가 없어도 관련 매출액의 3%까지 과징금을 부과할 수 있게 된 현행 정보통신망법 개정 이전이어서 어떤 판결이 나올지 더 관심이 많은 상황”이라고 말했다.
국민의당 고연호 대변인은 “KT 과징금 7000만 원이 위법하다는 법원 판결은 해커의 예측하기 힘든 공격에 뚫렸다고 해서 기업에 지나치게 많은 보안 책임을 지우는 것은 부당하다는 것이 이유지만 개인정보를 수집해놓고 지키지 못했으면 벌을 받는 것이 당연하다”고 밝혔다.
이어 “국민의 당은 개인정보보호법 개정 등 제도개선으로 국민의 개인정보 보호를 선진국 수준으로 높일 수 있도록 최선을 다할 것”이라고 부연했다. XML:Y