대법원 3부(주심 이흥구 대법관)는 21일 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소된 하나투어 김모 전 본부장(50)에게 벌금 1000만원을 선고한 원심을 확정했다. 법인을 함께 처벌하는 양벌 규정에 따라 하나투어도 원심과 같은 벌금 1000만원을 확정받았다.
하나투어는 2017년 9월 원격제어 악성프로그램을 유포하는 해커의 공격을 받아 연락처와 주소, 여권번호 등이 담긴 고객 정보 3만4000여 건이 유출됐다. 해커는 외주 관리업체 직원이 데이터베이스(DB) 접속에 사용하는 개인 노트북과 보안망 PC 등에 침입했다.
또 외부에서 개인정보처리시스템에 접속할 때 아이디나 비밀번호 이외에 일회용 비밀번호 생성기(OTP)·인증서·보안토큰 등 추가 인증 수단을 거치도록 조치해야 하지만 하나투어는 이를 지키지 않은 것으로 알려졌다.
A씨는 개인정보 유출을 막기 위한 조치를 하지 않은 혐의로 재판에 넘겨졌다.
하나투어 측은 검찰의 공소사실을 모두 부인하며 "기술적·관리적 조치를 모두 이행했으나 개인적인 조치는 도저히 예견할 수 없었던 비상식적 일탈 행위였다"고 주장했다.
◆ 법원 "관리 소홀로 개인정보 유출···사회적 폐해 상당"
1·2심은 모두 정보통신망법 위반 혐의를 유죄로 판단해 김 전 본부장과 하나투어에 벌금 1000만원씩을 선고했다.재판부는 △관리책임자가 비밀번호를 암호화하지 않은 상태로 방치한 점 △외부에서 접속할 때 필요한 인증서나 보안토큰 등도 적용하지 않은 점 등을 근거로 유죄 판단을 내렸다.
재판부는 "이 사건 범죄는 정보통신서비스 제공자의 관리 소홀 등으로 개인정보가 유출된 것"이라며 "유출된 개인정보 내용이 다른 범죄에 사용될 가능성이 높고 규모도 커 사회적 폐해가 상당하다"고 판단했다.
하나투어 측은 항소심 판결에 불복해 상고했으나 대법원은 하급심 판단이 옳다고 봤다.
◆ 개인정보 관리 소홀에 '미필적 고의'가 인정된 사례
개인정보 보호 전문가인 김경환 변호사(법무법인 민후)는 "이 사건은 비밀번호를 암호화해 저장하지 않거나 안전한 장치를 취하지 않는 등 관리를 방치했다고 본 것"이라며 "개인정보 유출에 있어서 형사처벌이 되는 사례가 많지 않은데, 개인정보 유출로 형사처벌이 될 수 있고 어떤 기준과 요건을 갖춰야 하는지 제시한 데 대해 의의가 있는 판결"이라고 강조했다.
또 관리 소홀이 고의인지 과실인지는 얼마나 정교하게 기술적 처리가 이뤄졌는지가 관건이라고 전문가들은 조언한다. 관리 소홀에 고의성이 인정되지 않으려면 최소한 개인정보보호위원회가 제시하는 '개인정보 안전성 확보 조치 기준'을 지켜야 한다고 설명했다.
이은성 변호사(법률사무소 미래로)는 "이 사건은 특이하게도 법적 쟁점보다는 기술적 쟁점이 핵심인 사건 유형"이라고 말했다. 이어 "고의로 유출한 것이야 말할 것도 없이 유죄를 받게 되겠지만 과실일 때는 아주 세부적으로 구체적·개별적 판단을 할 수밖에 없다"며 "개인정보를 관리나 보관하는 과정에서 얼마나 기술적으로 잘 처리했는지가 핵심 쟁점이 될 수밖에 없기 때문"이라고 분석했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지