Home > 전체기사
똑같은 APT 공격, 두 가지 다른 판단... 싸이월드와 인터파크
  |  입력 : 2018-09-06 18:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인터파크 해킹 사건과 방통위 과징금 부과 관련 판결 분석
Idle timeout 설정과 서버 관리자 패스워드 비 암호화의 두 가지 쟁점


[보안뉴스= 전승재 법무법인 바른 변호사] 2016년 전자상거래 전문기업 인터파크가 외부 해킹공격을 당해 약 1,000만여 건의 고객 개인정보가 유출되는 사건이 발생했다. 해당 사건에 대해 조사에 들어간 방송통신위원회(이하 방통위)는 인터파크에게 ①idle timeout 조치를 취하지 않았다는 이유와 ②서버 관리자 패스워드를 일방향 암호화해 저장하지 않았다는 두 가지 이유로 44억 8,000만 원의 과징금을 부과했다.

[이미지=iclickart]


Idle timeout 설정 안 해 APT 해킹을 당한 사업자의 법적 책임
APT(Advanced Persistent Threat) 공격을 하는 해커는 특정 목표 대상을 정한 후 그 허점을 집요하게 노려 침투한다. ‘어딘가 허술한 곳이 걸려라’라는 식으로 불특정 다수를 노리는 통상적인 해킹에 비해 한층 위협적이다. 열 장정이 도둑 하나 못 잡는다는 속담처럼, 작정하고 들어오는 침입자를 막는 것은 쉬운 일이 아니다.

APT 공격의 대표적인 국내 사례는 2011년 싸이월드 사건과 2016년 인터파크 사건이다. 같은 유형의 해킹을 당했음에도 싸이월드와 인터파크에 대해 내려진 법원의 판결은 사뭇 다르다.

대법원은 idle timeout 미설정 행위와 해킹을 당한 것 사이에 ‘상당한 인과관계’가 없다는 이유로 싸이월드의 법적 책임이 없다고 판결했다. 싸이월드가 idle timeout 설정을 했더라도, 해커로서는 관리자 ID·PW를 도청하는데 성공한 이상 다른 수단을 통해 어떻게든 서버에 침입할 수 있었으리라는 것이다. 2018년 1월 대법원 판결이 선고되자, 실무에서는 서버 관리자의 부주의와 해킹 사이의 인과관계 판단 기준이 주요 쟁점으로 떠올랐다.

다음으로 인터파크 해킹의 경위를 살펴보자. 해커는 인터파크 직원 A의 가족사진을 가지고 화면보호기(SCR 파일)를 만들고 여기에 악성코드를 심어 A에게 이메일로 보내면서, 마치 A의 친동생이 보내는 것처럼 발신 이메일 주소를 위장하고 동생의 어투까지 흉내 냈다. 해커에게 속은 A는 그 화면보호기를 열어보았고, 여기에 심어진 악성코드는 백신에 탐지되지 않았다.

해커는 악성코드에 감염된 A의 PC를 거점으로 삼아 DB 관리자 직원 B의 PC에 원격 접속했다. 공교롭게도 해킹 당일 B의 PC에서는 DB 서버와의 접속이 유지되어 있었다. 인터파크 DB 서버에 idle timeout 설정이 제대로 안 되어 있었기 때문이다. 해커는 DB서버에 저장된 인터파크 회원들의 개인정보 유출을 시도했다.

인터파크는 해킹을 당했다는 이유로 방통위로부터 44억 8,000만 원의 과징금을 부과 받았다. 정보통신망법과 그 하위 방통위 고시에 따르면, 개인정보를 유출 당한 사업자가 idle timeout 설정을 안한 행위는 과징금 부과 대상이다. Idle timeout 의무조항은 싸이월드 해킹 사건의 재발방지대책으로 신설된 것이었다. 인터파크는 방통위 처분에 불복해 행정소송을 제기했다.

인터파크는 행정소송을 제기하면서 아마도 이런 기대를 했을 것이다. “싸이월드가 해킹을 당했어도 idle timeout 미설정 행위와 ‘상당한 인과관계’가 없어 법적 책임을 피했다면, 인터파크에게도 항변의 기회가 있지 않을까.” 예컨대 해커가 인터파크 내부 PC의 접속 권한을 취득하는데 성공한 이상 idle timeout 미설정은 해킹을 가능케 한 부수적인 원인에 지나지 않는다고 항변할 여지가 있다.

한편, 인터파크 사건을 담당한 서울행정법원(1심)은 인과관계 여부에 대해서는 심도 있게 판단하지 않고, 다른 이유를 들어 인터파크를 패소시켰다. 현행 정보통신망법(2014년 개정된 것)의 해석상, 사업자의 의무위반이 인정되면 이것과 해킹(개인정보 유출) 사이의 인과관계가 없더라도 과징금을 부과할 수 있다는 것이다.

서울행정법원은 2014년 개정 전후 법조문의 미묘한 차이에 주목했다. 개정 전 법조문은 ‘법상 ‘조치’를 하지 아니하여 이용자의 개인정보를 ‘유출’한 경우에는 과징금을 부과한다’는 구조였다. 이에 따르면 ‘미조치’가 ‘유출’의 원인이 되어야 한다는 점은 명확하다. 이와 달리 2014년 개정된 법조문은 ‘이용자의 개인정보를 ‘유출’한 경우로서 법상 ‘조치’를 하지 아니한 경우에는 과징금을 부과한다‘는 형식으로 바뀌었다. 이를 근거로 서울행정법원은 ‘유출’이라는 결과와 ‘미조치’ 행위가 인정되기만 하면 둘 사이의 인과관계는 필요 없다고 해석했다.

그러나 과연 해킹이라는 결과와 ‘인과관계’가 없는 사업자의 의무위반 행위까지 법적 책임의 근거로 삼는 것이 타당할까. 민사와 형사의 영역에서는 자신의 행위와 인과관계 없는 결과에 대해서 법적 책임을 지는 경우는 있을 수 없다. 이것은 법의 대원칙이다. 행정상의 제재 또한 특별한 사정이 없다면 마찬가지여야 할 것이다.

행정상 금전제재는 과징금과 과태료로 나뉜다. 단지 절차를 위반한 행위에 대해서는 행정질서벌의 일종인 과태료(가벼운 제재)가 부과되는데 그친다. 반면에, 행정목적을 침해하는 결과까지 야기한 행위에 대해서는 행정벌의 일종인 과징금(무거운 제재)이 부과된다. 정보통신망법에 따르면, 개인정보처리자가 단지 idle timeout과 같은 법상 조치를 불이행한데 그쳤다면 과태료를 부과 받지만, 더 나아가 개인정보 유출(해킹)이라는 결과까지 야기했다면 과징금을 부과 받는다. 해킹을 당했다는 결과에 대해 사업자에게 과징금이라는 법적 책임을 지우려면, 마땅히 사업자의 행위와 결과 사이에 ‘인과관계’가 존재해야 한다. 이것이 법의 대원칙에 부합하는 해석이라고 생각된다.

개정 전 법률은 법문에 ‘인과관계’ 요건을 명시하고 있었다. 2014년 개정된 법률의 경우 문언의 형식이 바뀌기는 했지만, 국회 의안원문에 기재된 개정이유 가운데 ‘인과관계’ 요건을 뺀다는 취지의 언급은 없다. 따라서 개정법에서도 여전히 ‘인과관계’ 요건이 요구된다고 보아야 할 것이다.

‘인과관계’ 유무는 곧 “Idle timeout 조치를 취했을 때 인터파크가 당한 유형의 APT 해킹을 통상 막을 수 있는가”의 문제로 점철된다. 이는 정보보호 전문가의 의견을 듣고 판단하는 것이 바람직하다.

물론 양자의 인과관계가 인정되어 인터파크 사건의 1심 판결이 결론에 있어서 타당하게 될 수도 있을 것이다. 그렇다 하더라도 ‘인과관계’가 아예 과징금 부과요건이 아니라고 본 이번 판결의 법해석에 대해서는 재고가 필요하다고 생각된다.

서버 관리자 패스워드를 엑셀 파일에 기록해둔 사업자의 법적 책임
앞서 설명한대로 A의 PC를 손에 넣은 해커가 내부 네트워크를 스캔했더니 인터파크 직원들이 업무상 파일 공유를 위해 마련해둔 파일서버가 발견됐다. 거기에 공교롭게도 시스템 운영팀에서 관리하는 패스워드 장부 엑셀파일이 있었다. 그 엑셀파일에는 팀 내 서버들의 접속 패스워드가 평문으로 기재되어 있었다. 다만, 해킹의 대상이 된 DB 서버의 접속 패스워드는 여기에 없었다고 한다.

대신에 해커는 다른 취약점(DB 관리자 직원의 PC에 원격접속 후 그 PC에서 DB 서버로의 접속이 idle timeout 되지 않고 유지되어 있었던 취약점)을 이용해 DB 서버에 침입한 후 인터파크 회원들의 개인정보 유출을 시도했다.

첫 번째로 살펴보고자 하는 쟁점은 인터파크의 행위와 해킹 사이의 ‘인과관계’이다. DB 서버의 관리자 비밀번호는 문제된 패스워드 장부 엑셀파일에 쓰여 있지 않았다. 해커는 다른 취약점을 이용해 DB 서버에 침입했으므로, 위 패스워드 장부 엑셀파일이 노출된 것은 해킹(DB 서버에서의 개인정보 유출)의 원인이 아니라고 보인다. 그럼에도 불구하고 서울행정법원(1심)은 양자의 인과관계가 없더라도 과징금을 부과할 수 있다고 법을 해석했다.

정보통신망법은 법상 개인정보 보호조치를 사업자가 취하지 않은 경우 과태료(가벼운 제재)를, 여기에서 더 나아가 개인정보가 유출까지 된 경우에는 과징금(무거운 제재)을 부과하는 구조로 되어 있다. 인터파크가 DB 서버가 아닌 별개 서버들의 관리자 패스워드를 평문으로 엑셀 파일에 기재한 행위의 경우, DB 서버에 대한 해킹과 직접적 인과관계가 없어 원래대로라면 과징금이 아니라 과태료 부과 대상이다.

그런데 인터파크의 입장에서는 다른 취약점으로 인해 해킹을 당했다는 우연한 사정으로 인해 해킹 원인과 관련이 적은 이번 행위에 대해서까지 과태료 대신 과징금을 부과 받게 된 셈이다. 앞에서 본 바와 같이, 필자는 사업자 행위와 해킹 사이에 ‘인과관계’가 있어야만 과징금 부과 요건이 갖추어진다고 생각한다.

두 번째 쟁점은 개인정보 보호 관련 법령 규정으로부터 (개인정보가 아닌) ‘서버 관리자 패스워드’를 일방향 암호화해 저장할 의무가 과연 도출되는지 여부이다.

표에서 보는 바와 같이, 정보통신망법 및 시행령 규정상 암호화 저장 대상은 어디까지나 ‘개인정보’에 한정되어 있다. 그런데 법령의 위임을 받아 제정된 방통위 고시는 암호화 저장 대상에 ‘이용자의 비밀번호(개인정보)’뿐만 아니라 ‘개인정보취급자의 비밀번호(非개인정보)’까지 포함시켜 그 범위를 넓히고 있다.

법률은 세부사항을 하위규정에서 정하도록 위임할 수 있다. 이 때 모법으로부터 위임 받지 않은 사항을 하위규정에서 정하는 것은 금지된다. 이것이 헌법상 ‘법률유보원칙’이다. 국민의 기본권을 제한하는 사유는 민주적 정당성을 갖춘 국회에서 법률의 형태로 입법되는 것이 원칙이다. 행정청이 법률의 위임범위를 초과하는 기본권 제한 사유를 하위규정에 무분별하게 넣을 경우 자칫 행정청에 의한 자의적 법집행 위험이 생긴다. 특히, 개인정보 보호조치와 같이 위반 시 제재가 내려지는 기준을 하위규정에서 정하는 경우 법률유보원칙이 엄격하게 적용된다.

이 관점에서 보면, 법에서 ‘개인정보를 암호화해 저장하라. 그렇지 않으면 처벌한다’라고 규정하면서, 하위 고시에서 ‘非개인정보(서버 관리자 패스워드)까지 암호화해 저장하라. 그렇지 않으면 처벌한다’라고 하는 것은 법률유보원칙에 위반될 소지가 있다.

물론 서버 관리자 패스워드를 평문으로 파일에 기록할 경우, 이 파일이 권한 없는 제3자에게 열람되었을 때 패스워드 도용 위험이 발생하므로 이는 보안상 좋지 않다. 다만, 이를 제도화하려면 개인정보뿐만 아니라 서버 관리자 패스워드와 같은 非개인정보 또한 필요한 경우 암호화 저장되어야 한다는 사항을 상위 법령에서 일정 부분 정해두는 것이 바람직하며, 방통위 고시만으로 이를 규율할 일은 아니라고 생각된다.

정부는 정보보호 수준을 높이는 제도를 만들고 운영하는 것은 좋지만, 행정입법 통제를 위해 마련된 법률유보원칙과 같은 헌법상 원칙을 준수해야 할 것이다.
[글_ 전승재 법무법인 바른 변호사]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트