[비즈한국] 개인정보보호법 개정 이후 억대 과징금을 부과받은 기업들이 줄줄이 불복 소송에 나선 가운데 강화된 기준이 적용된 첫 제재에 대한 법원의 판결이 나왔다. 온라인 강의 사이트 ‘대성마이맥’의 개인정보 유출 사태 관련, 법원은 개인정보보호위원회가 내린 6억 원대 과징금 처분이 적법하다고 봤다. 운영사 디지털대성이 안전조치 의무를 지키지 않아 9만 5000여 명의 개인정보가 무단 탈취될 수 있는 빌미가 제공됐다는 판단이다. 비슷한 소송을 제기한 다른 기업들에도 같은 결론이 내려질지 주목된다.
#9만 5000명 회원 정보 유출
대성학원 계열사 디지털대성이 지난해 초 발생한 대규모 개인정보 유출 사건과 관련해 개인정보위로부터 받은 제재 처분에 불복하는 행정소송을 제기했다가 최근 패소한 것으로 확인됐다. 지난 14일 서울행정법원 제14부(재판장 이상덕)는 디지털대성이 개인정보위를 상대로 낸 과징금부과처분 취소 소송에서 원고 패소 판결했다.
재판부는 “IP 주소 등을 분석해 개인정보 유출시도를 탐지·대응하거나 개인정보가 유출되지 않도록 개인정보처리시스템에 조치를 취하는 등의 사회통념상 합리적으로 기대 가능한 정도의 안전성 확보조치를 다했다고 보기 어렵다”며 “원고의 청구를 기각한다”고 밝혔다.
대성마이맥은 지난 1월 ‘크리덴셜 스터핑’ 공격과 홈페이지 내 게시판에 대한 ‘크로스사이트 스크립팅(XSS·게시글 열람 시 악성 명령어 실행으로 정보를 탈취하는 방식)’ 공격을 받아 회원 9만 5000여 명의 개인정보가 탈취되는 사태를 겪었다.
크리덴셜 스터핑은 이미 유출된 대량의 아이디와 비밀번호 목록을 입수, 자동화 프로그램을 활용해 표적이 된 사이트에 무작위 대입하는 공격 기법이다. 올해만 해도 GS리테일, 티머니 등이 이 같은 공격으로 뚫렸다. 해커는 크리덴셜 스터핑으로 회원 로그인에 성공한 뒤 대성마이맥 내 특정 사이트에 XSS 명령어가 포함된 게시글을 작성했다. 직원이 이 게시글을 열람하자 해커에게 직원 계정의 세션정보가 탈취됐고, 회원 9만 5171명의 ID와 일부가 가려진 이름·전화번호·이메일 주소 등 개인정보가 유출됐다.
디지털대성의 개인정보 유출 신고로 조사에 나선 개인정보위는 두 달 뒤인 3월 디지털대성이 개인정보보호법에 따른 안전조치와 개인정보 유출 통지 등의 의무를 위반했다며 과징금 6억 1300만 원 및 과태료 330만 원과 공표 명령을 내렸다. 입시를 준비하는 청소년이 주로 이용하는 사이트인 만큼 개인정보 유출에 각별한 주의를 기울여야 했으나 관리가 소홀했다는 점이 지적됐다. 당시 디지털대성이 수집·보유한 개인정보는 113만 8000건(지난해 1월 말 기준)에 달한다.
#“해킹 예방 조치 충분치 않았다”
외부 침입을 탐지하고 차단하는 시스템을 충분히 설치·운영해왔다는 디지털대성의 주장은 받아들여지지 않았다. XSS 공격은 대표적인 해킹 기법 중 하나로, 온라인상에서 빈번하게 시도된다. 입력 값에 악의적인 명령어가 포함돼 있는지를 검증하면 일정 수준 예방이 가능한데, 법원도 이 부분을 지적했다. 한국인터넷진흥원(KISA)로부터 정보보호 관리체계(ISMS) 인증을 취득한 대성마이맥은 안티 디도스, 네트워크 방화벽(UTM), 웹방화벽, DB접근 제어 솔루션 등을 설치·운영했고, SK브로드밴드로부터 보안관제서비스를 제공받았다. 안랩을 통해 XSS 공격을 탐지한 후에는 해커의 IP를 차단하는 등의 조치를 취했다.
개보위 해설서 등에도 게시물 작성 단계에서부터 입력 값을 검정해 악성 명령어가 등록되지 않도록 차단하는 조치 등이 언급돼 있다. 하지만 사건 당시 게시판에는 △XSS 공격을 자동차단할 수 있는 정책이 적용되지 않았고 △5분간 총 4026회에 달하는 비정상적인 로그인 시도를 탐지·차단하는 정책도 시행되지 않은 것으로 드러났다.
재판부는 “공격 탐지 후 IP를 차단하는 등의 조치를 해왔다고 해도 이는 이미 발생한 해킹에 관한 사후적 수습에 불과할 뿐 XSS 공격 자체를 예방하거나 차단하기 위한 충분한 안전성 확보조치로 볼 수는 없다”고 판시했다.
사이트 특성상 입력 값 검증 절차가 오류를 야기할 수 있어서 현실적으로 적용이 어렵다는 취지의 회사 측 주장에 대해서는 “담당자가 신속하게 차단의 예외를 설정하는 등의 방식으로 XSS 자동차단 정책을 적절하게 운용하는 절충적 방안도 상정할 수 있다”고 짚었다.
#억대 과징금 맞은 기업들 줄소송
대성마이맥 사태는 과징금 부담을 확대한 개인정보보호법 개정안 시행 이후 새 기준이 처음으로 적용된 사례다. 개인정보보호법 위반에 따른 과징금은 과거엔 ‘위법행위 관련 매출의 최대 3%’를 기준으로 산정됐지만, 2023년 9월부터는 ‘전체 매출액의 3%’로 확대됐다. 법 위반 행위와 관련 없는 매출액은 제외하도록 했는데, 입증 책임은 기업에 있다.
같은 해 11월 골프존(75억 원)과 SK스토아(14억 원) 등에서 대규모 개인정보 유출이 발생했지만 개인정보위의 행정처분은 각각 지난해 5월과 올 1월 의결됐다. 골프존은 디지털대성과 유사하게 크리덴셜 스터핑 공격을, SK스토아는 랜섬웨어 공격을 받았다.
대성마이맥의 경우 개인정보위는 최근 3년간 연평균 매출액에서 위반행위와 관련이 없는 매출액을 배제하고 부과기준율 0.68%를 곱한 7억 3000만 원을 기준금액으로 산정했다. 안전 조치 위반 기간이 2년을 초과해 절반 값 가산, 조사 협력으로 감경 등의 조정을 거쳐 6억 원대 과징금이 결정됐다.
법원은 개인정보위의 과징금 산정 근거와 적용이 대부분 적절하다고 판단했다. 디지털대성 측이 사이트 안전성과 무관한 매출이라고 주장한 ‘강사 집필 교재 매출’, ‘EBS 교재 등 기타 외부 판매 매출’, ‘결합 상품 매출’ 등 역시 온라인 강의 서비스 범위에 포함된다고 판결했다.
대성학원은 교재 등을 제공하는 계열사 대성학력개발연구소에서 지난달 또다시 개인정보 유출 사고가 발생했다. 디지털대성 측은 1심 판결에 대한 입장과 재발 방지 조치 등에 대한 질의에 “개인정보 유출과 관련해 재발 방지를 위해 최선을 다하고 있다”고 전했다.
분야를 막론하고 개인정보 유출 사고가 잇따르는 최근 상황에서 이번 판결은 보안 시스템 설치 등 형식상 조치만으로는 안전 조치가 충족되지 않는다는 점을 명확히 했다. 무엇보다 기업이 주장한 매출 제외 항목을 보수적으로 판단하고, 위법행위와 무관한 매출로 인정될 여지를 제한적으로만 인정했다는 점에서 의미 있다. 보안사고 전후의 운영과 관리, 대처 및 방식 등은 위법성을 따지는 근거이자 과징금 판단 요소에도 반영됐다.
황석진 동국대 정보보호대학원 교수는 “개인정보위 회의장에서 결정되는 과징금 처분에 대해서 명확한 근거를 법원의 판단에 맡겨보자는 기업들이 늘고 있다. 향후에도 이 같은 유형의 행정소송이 이어지고, 대법원 등 상급심까지 가는 경우가 상당히 많을 것으로 보인다”고 말했다.
강은경 기자
gong@bizhankook.com[핫클릭]
·
임마누엘 인수 1년 '매드포갈릭' 리브랜딩 중 줄줄이 폐점, 왜?
·
"더 이상 예외 없다" 제약업계도 주주환원 기류 탑승
·
불법 전단지 무력화 '자동경고발신시스템' 어디서 어떻게 사용하나
·
'은행보다 쏠쏠' JB우리캐피탈, 상반기 포트폴리오 뜯어보니…
·
[단독] '한빛 5호기 부실공사' 두산에너빌리티, 항소심서 83억 원 배상 판결
![[단독] '한빛 5호기 부실공사' 두산에너빌리티, 항소심서 83억 원 배상 판결](/images/common/list01_guide02.png)
![[단독] 대성마이맥 개인정보 113만 건 유출, 행정법원](/images/common/side01.png)
![[주간 코인플릭스] 25년 34주차 암호화폐 상승률 1위는 OKX 토큰](/images/common/list01_guide.png)