보안뉴스 창간 18주년을 축하합니다!!

Home > 전체기사

[bnTV] 교훈으로 보는 역대급 개인정보 유출사건 ‘SK컴즈 네이트·싸이월드’편

입력 : 2024-06-17 17:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
전 국민의 70% 이상의 개인정보 유출로 전국적 손해배상 청구 소송 봇물
대법원이 소송결과에서 SK컴즈가 사회 통념적 보호조치를 취했다고 인정한 이유는?
SK컴즈 사건 그 이후, 개정된 사항은 무엇일까



■ 방송 : 보안뉴스TV(bnTV) <김진환 변호사의 개인정보 지키다> 10화
■ 진행 : 이소미 보안뉴스 기자
■ 출연 : 김진환 변호사

▲[김진환의 개인정보 지키다] 10화 시작 화면[이미지=보안뉴스]


□ 이소미 기자
bnTV 구독자 여러분, 안녕하세요. 보안뉴스와 김진환 변호사가 함께하는 ‘개인정보 지키다’ 진행에 이소미 기자입니다. 교훈점이 담긴 역대급 개인정보 유출사건 TOP 5 가운데 오늘은 세 번째 시간으로 전 국민의 70% 이상의 개인정보가 유출됐던 ‘SK커뮤니케이션즈(이하 SK컴즈)의 네이트·싸이월드 개인정보 유출사건’에 대해 알아보겠습니다.

[SK컴즈 네이트·싸이월드 개인정보 유출사건 개요]
■ 김진환 변호사

이 사건은 2011년에 SK컴즈라는 회사가 운영하던 포털 서비스인 ‘네이트’와 초기 SNS의 역할을 하던 ‘싸이월드’ 서비스의 회원 약 3500만 명 이상의 개인정보가 해커에 의해 도난당했던 대규모 개인정보 유출사건입니다.

앞서 말씀하신 것처럼 당시 전 국민의 70% 이상의 개인정보가 유출되었던 셈이고요. 대부분의 국민들의 개인정보가 유출된 사건이다보니 “해당 사건의 민사 소송을 담당할 이해관계가 없는 판사분들을 찾기 쉽지 않았다”는 얘기가 있을 정도였습니다. 이는 판사분들까지 대부분 해당 유출사건의 피해자였기 때문인데요.

게다가 이 사건은 SK컴즈 측 시스템이 바로 뚫려 유출된 사건이 아닌 특이한 사정을 갖고 있었는데요. 현재까지도 동일한 서비스를 제공하는 있는 유명 파일 압축 툴 제공 회사 서버가 1차적으로 해커에 의해 침입 당한 이후, 해당 파일 압축 툴을 사용하던 SK컴즈 측 컴퓨터가 연이어 해킹당하게 됩니다. 그 침입 경로나 방법 등을 비춰 봤을 때 상당히 높은 수준의 해커가 침입한 것으로 평가되기도 했습니다.

[수많은 민사소송과 그 결과]
□ 이소미 기자

실제 유출 범위가 전 국민의 70%나 되다보니 당시 대통령부터 시작해 국회의원이나 연예인 같은 유명 인사들의 개인정보까지 모두 유출된 것으로 알고 있는데요. 그만큼 소송 규모도 상당했을 것 같고요. 이후의 상황은 어떻게 전개됐을까요?

■ 김진환 변호사
해당 사건으로 인해 우리 사회는 수많은 민사소송 사태와 함께 엄청난 혼란에 빠지게 됐습니다. 무엇보다 당시 SK컴즈가 운영하던 '싸이월드'라는 서비스는 대중들에게 상당히 보편화되고 애용되는 서비스였기 때문에, 국민들이 유출로 인해 체감하는 충격은 매우 심각했습니다. 따라서 전국에서 손해배상을 청구하는 각종 소송들이 봇물 터지듯 제기됐고요.

그와중에 대구지방법원 김천지원 구미시 법원 재판부가 변호사 한 분이 제기한 소송에서 SK컴즈는 '100만 원을 지급하라'는 소송이 최초로 선고돼 일간지 1면에 게재되기도 했습니다. 원고당 100만 원이면 총 ‘30조 원’이라는 배상 규모에 이른다는 센세이셔널한 보도들이 계속해서 잇따랐고요. 그만큼 더욱 많은 소송들이 제기되기도 했습니다.

그 후 이 사건에 대해서 1심에서는 원고 승소 판결이 일부 내려지기도 하고, 피고 승소 판결이 내려지기도 하는 등 하급심의 판결이 엎치락 뒤치락 엇갈렸고요. 2심에서는 모든 판결들이 원고 패소로 최종 정리됐고, 이후 대법원에서도 2심 결론이 그대로 유지돼 최종적으로는 원고 청구 기각으로 사건은 종결됐습니다.

[사건의 법리적 교훈]
□ 이소미 기자

역시 판결 과정에서도 너무 많은 굴곡이 있었는데요. 그래도 최종적으로 원고 패소로 결론지어졌다 하더라도 대구지방법원·서울서부지방법원에서 위자료 지급 판결이 나올 정도라면 어느 정도 책임은 물을 수 있던 사건으로 사료되는데요. 그렇다면 변호사님, 이 사건을 통해 저희가 얻을 수 있는 법률적인 교훈에는 뭐가 있을까요?

■ 김진환 변호사
이 사건에서 볼 수 있는 가장 중요한 교훈은 당시 대법원이 내린 판결 중 개인정보 처리자로서 개인정보보호와 관련된 고시 규정을 다 지켰다고 해도 일반적으로 마땅히 수행해야한다고 쉽게 예상할 수 있고, 사회 통념상 합리적으로 기대 가능한 보호 조치를 다하지 않은 경우에는 여전히 '손해배상 책임을 져야한다'고 판단한 대목입니다.

참고로 이러한 판결이 있기 전까지는 이전에 발생했던 '옥션 개인정보 유출'건에서 대법원 판결의 입장에 따라 개인정보보호와 관련된 고시 규정을 사업자가 모두 준수한 이상 '민사상 손해배상 책임도 지지 않는다'는 게 일반적인 해석 입장이었거든요.

그런데 이 SK컴즈 유출 사건으로 인해 민사적 손해배상에 있어서만큼은 사업자가 고시 준수 이외에도 사회적인 관점에서 기대 가능한 수준의 보호 조치까지도 취해야 한다는 것이 사업자의 입장으로 선회된 것입니다.

따라서 개인정보를 처리하는 개인정보 처리자로서는 법령이나 고시의 내용을 충실히 지키는 것은 당연하고요. 비록 고시에 규정돼 있지 않은 조치라도 그것이 통상적으로 요구되는 수준의 보호 조치라면, 적극적으로 알아서 보호 조치를 취해야만 개인정보 유출로 인한 손해배상을 지지 않을 수 있게 됐습니다.

[SK컴즈 개인정보 유출 사건의 특이점]
□ 이소미 기자

변호사님. 그 당시 해당 직원들이 사용하던 프로그램의 업데이트 서버가 해킹 당하면서 관리자 계정까지 탈취된 것으로 알고 있는데요. 그런데 그 때 직원들이 사용하던 프로그램 버전이 기업용이 아니라 가정용이었더라고요. 이외에도 여러 정황상 SK컴즈의 책임 소재가 전혀 없다고만 볼 수 없을 것 같은데, 특별히 대법원이 SK컴즈가 사회통념적 보호조치를 취했다고 인정한 것은 어떤 이유에서였을까요?

■ 김진환 변호사
당시 SK컴즈 소속 직원인 개인정보 취급자가 업무를 보고 퇴근하면서 미처 PC를 종료하지 않고 퇴근했는데, 해커가 데이터베이스 서버에 로그인돼 연결된 PC를 통해 개인정보를 탈취했거든요? 대법원은 직원 퇴근 이후 PC가 일정 시간 이상 아무런 업무를 수행하지 않게 되면 자동적으로 서버로부터 로그아웃되도록 하는 보호조치와 같이 통상적으로 요구되는 수준의 보호조치에 해당된다고 판단한 것입니다. 이 사건 이후 고시가 개정돼 자동 로그아웃 기능이 고시 내용에 추가되기는 했지만, SK컴즈 사건 발생 당시에는 자동 로그아웃 기능에 대한 아무런 규정이 존재하지 않았던 것이죠.

따라서 SK컴즈 측에 자동 로그아웃이라는 보호조치를 제대로 취하지 않은 과실이 있긴 하지만, 해커가 이미 해당 PC에서 데이터베이스 서버로 로그인 할 수 있는 아이디·비밀번호를 탈취한 상황으로 자동 로그아웃 보호조치를 취했다 하더라도 해커가 또다시 데이터베이스 서버에 접촉할 수 있었다는 점을 지적했습니다. 그렇기 때문에 자동 로그아웃이라는 보호조치 미흡과 개인정보 유출 사이에 법률적 의미 안에서의 인과관계가 없다고 보아 최종적으로는 정보 주체인 원고 측 청구를 모두 기각했다는 점을 참고하시면 될 것 같습니다.

□ 이소미 기자
결국 SK컴즈 유출 사건이 발생하게 된 해킹이 사업자의 의무 불이행으로 인한 게 아니었다는 점, 그리고 이 사건 이후 최소한의 보호조치 기준도 강화됐다는 점을 짚어주셨습니다.

[마무리]
□ 이소미 기자

오늘은 개인정보 유출사고 TOP 5 중 ‘SK컴즈의 네이트·싸이월드’ 사건에 대해 알아봤는데요. 다음 시간에도 계속해서 교훈점이 담긴 역대급 개인정보 유출 사건에 대해 알아보도록 하겠습니다.

‘개인정보 지키다’ 코너에서는 개인정보보호와 관련된 시청자분들의 궁금증들을 해결해 드리려고 합니다. 방송 보시면서 궁금한 사항이나 꼭 다뤄주었으면 하는 내용이 있으시다면 언제든 ‘bntv 소통창구’로 의견 남겨주세요.

이메일 또는 유튜브 댓글로 자유롭게 의견 남겨주시면 방송을 통해 여러분의 궁금증 시원하게 해결해 드리겠습니다. 김진환 변호사와 함께하는 개인정보보호의 모든 것 ‘개인정보 지키다!’ 저희가 오늘 준비한 내용은 여기까지고요.

저희는 다음 시간에 더욱 알찬 내용으로 준비해서 찾아뵙도록 하겠습니다. 시청해 주신 여러분 고맙습니다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)