보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[bnTV] 교훈으로 보는 역대급 개인정보 유출사건 ‘GS칼텍스’편

입력 : 2024-05-30 17:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
‘GS칼텍스’ 개인정보 유출은 외부 해커 아닌 내부자 소행... 민사 소송 결과는?
개인정보 보호법 개정 이후 등장한 골든타임... ‘72시간 내’ 유출된 개인정보 회수·폐기 시 신고의무 ‘면제’



■ 방송 : 보안뉴스TV(bnTV) <김진환 변호사의 개인정보 지키다> 9화
■ 진행 : 이소미 보안뉴스 기자
■ 출연 : 김진환 변호사

▲[김진환의 개인정보 지키다] 9화 시작 화면[이미지=보안뉴스]


□ 이소미 기자
bnTV 구독자 여러분, 안녕하세요. 보안뉴스와 김진환 변호사가 함께하는 ‘개인정보 지키다’ 진행에 이소미 기자입니다. 지난 방송부터 교훈점이 담긴 역대급 개인정보 유출 사건 TOP 5를 선정해 순차적으로 살펴보고 있는데요. 지난번엔 ‘넥슨’ 편을 통해 소송이 발생하지 않았던 배경에 대해 살펴봤는데요. 오늘은 그 두 번째로 ‘GS칼텍스 개인정보 유출 사건’에 대해 알아보겠습니다.

[GS칼텍스 개인정보 유출 사건 개요]
□ 이소미 기자

변호사님, 이번 시간에 알아볼 GS칼텍스 개인정보 유출 사건도 법률적인 측면에서 어떤 교훈점들을 시사할지 궁금해지는데요. 이 사건에 대해 설명해 주시죠.

■ 김진환 변호사
GS칼텍스 개인정보 유출 사건은 2008년 8월경 약 1100만 명의 보너스 카드 회원들의 △성명 △주민등록번호 △주소 △전화번호 등이 유출된 사건입니다. 이 케이스는 외부 해커에 의한 전산망 침입 등이 동반된 사건이 아닌 시스템 유지보수 업무를 담당하던 칼텍스 자회사 소속 직원이 데이터베이스에 대한 접근 권한 보유를 기화(奇貨)로, 상급자의 정식 결제를 받아 수백 회 동안 조금씩 조금씩 회원들의 개인정보를 복사해 자신의 PC에 모아두었습니다. 이렇게 모은 회원 개인정보들을 엑셀 파일로 정리해 DVD 또는 CD 형태로 반출한 사건입니다.

[언론사에 직접 제보한 범인들]
□ 이소미 기자

사실 개인정보 유출 사고의 경우, 보통 외부 해커가 해킹 등의 사이버 공격으로 개인정보 데이터를 탈취해가는 경우가 많은데요. GS칼텍스 사건은 특이하게 GS칼텍스 자회사 소속 직원이 범인이었잖아요? 다시 말해 내부자 소행으로 발생한 사건이라고 볼 수 있는데요. 심지어 범인이 한 명이 아니라 실형을 받은 인원만 네 명인 것으로 알고 있습니다. 그런데 아이러니하게도 이들이 개인정보 유출 건에 대해 의도적으로 언론사에 적극 제보하기도 했다는데 이게 사실인가요?

■ 김진환 변호사
그렇습니다. 이들은 고등학교 동창이나 사회 선후배 관계로 빼낸 개인정보를 되팔아 돈을 벌기 위해 여러 차례 모의했던 것으로 드러났습니다. 특히 이들은 개인정보를 빼낸 다음 여러 군데에 판매를 시도했지만 당장 여의치 않게 되자, “개인정보 유출 건이 사회적으로 이슈화되면 돈벌이가 더 잘 될 것”이라는 생각을 하게 됩니다. 이후 자신들이 빼낸 회원 개인정보가 담겨있는 CD를 강남 유흥가 뒷골목에서 주웠다고 하면서 모 언론사 기자와 방송국 PD 등에게 제공했는데 실제 이러한 사실이 기사화되면서 당시 사회적으로 매우 큰 사건으로 벌어지게 됐습니다.

[민사소송 결과와 법리적 의미]
□ 이소미 기자

범인들이 돈벌이를 위해 고의적으로 언론 노출까지 감행했는데, 그렇다면 사회적으로 상당한 관심이 쏠리게 되고 그만큼 민사 소송도 많이 제기됐을 것 같은데요?

■ 김진환 변호사
네, 그렇습니다. 당시 여러 집단 소송을 취급하는 블로그나 카페 등이 개설되면서 원고단을 적극적으로 모집하기도 해 상당한 규모의 민사 소송이 제기됐습니다.

□ 이소미 기자
그렇군요. 당시 소송 결과가 너무 궁금한데요. 실제 유출된 정보에 주민등록번호 같은 민감정보도 포함돼있는 데다 외부 해커에 의한 사고가 아닌 내부 직원 관리 소홀이라는 측면에서 책임 소재가 아예 없지는 않을 것 같거든요. 그렇다면 민사 소송 결과는 어떻게 나왔을까요?

■ 김진환 변호사
네, 바로 오늘의 교훈과도 관련이 있는데요. 법원은 최종적으로 원고들의 손해배상 청구를 모두 기각했습니다. 그 이유는 비록 당시 회원들의 개인정보가 GS칼텍스의 지배 범위를 벗어나 유출된 것은 맞지만 사실상 유출된 개인정보가 공범자들이나 언론인들이라는 매우 한정된 범위 내 사람들에게만 열람됐다는 점이 있었고요. 또 그 과정에서 복제·저장된 DVD나 CD, USB 메모리 등이 모두 수거·폐기돼 더이상 제 3자에게 해당 개인정보를 이용할 수 있는 상태로는 볼 수 없기 때문에 정보 주체인 원고들이 위자료 등을 배상받을만한 막심한 손해가 발생했다고는 보기 어렵다는 것이었습니다.

여기서 아주 유명한 법리가 확정됐는데요. 바로 △개인정보 유출이 발생하더라도 유출 이후 그 해당 개인정보가 불특정 다수에게 유포되지 않고 △아주 제한적인 사람들에게만 공유됐다가 △비교적 단기간 내 회수 또는 전부 폐기됐다는 점이 입증되면 ‘민사적인 손해가 발생한 것으로 볼 수 없다’는 이치가 생기게 됐습니다.

□ 이소미 기자
네, GS칼텍스 사건의 결론은 △개인정보 열람·유출 사실은 있지만 한 개인을 특정하거나 개인정보를 악용한 다른 범죄로 이어지지 않았다는 점 △유출 범위가 불특정 다수가 아닌 특정 언론인과 공범자들에 한정됐다는 점 △유출 직후 개인정보가 바로 회수·폐기 처리됐다는 점에서 ‘후속 피해가 발생하지 않았다’ 그래서 ‘민사 소송은 기각됐다’ 이렇게 정리해 주셨습니다.

[GS칼텍스 개인정보 유출 사건의 특징]
□ 이소미 기자

변호사님, GS칼텍스 사례만 보더라도 개인정보 유출이 발생했을 때 최대한 빠른 시간 내에 유출된 개인정보 회수나 폐기를 위해 많은 노력을 기울여야겠다는 교훈점을 얻을 수 있을 것 같습니다.

■ 김진환 변호사
네, 그렇습니다. 하지만 우리가 미리 참고해 두어야 할 것은 GS칼텍스 사건의 경우, 해커 같은 외부인에 의해 발생된 사건이 아닌 일종의 내부자에 의해 물리적 외형이 존재하는 DVD·CD 등의 저장매체에 의해 전전유통(轉轉流通)됐기 때문에 비교적 회수나 폐기가 용이한 면이 있었다는 점입니다.

당시 제가 개인적으로 실제 수사에 관여했던 분께 전해 듣기로는 유출된 개인정보를 최대한 완전히 회수하기 위해 범인이 살던 집의 화단까지도 샅샅이 뒤졌다는 이야기가 있을 정도였습니다.

비슷한 맥락에서 이번에 개정된 개인정보 보호법은 유출 이후 ‘72시간’ 내에 유출됐던 개인정보가 모두 회수된 경우에는 굳이 개인정보 유출 신고를 하지 않아도 된다고 신고의무를 면제하고 있으니까 이점도 참고하시면 좋겠습니다.

□ 이소미 기자
네, GS칼텍스 사건의 경우 유출된 형태가 컴퓨터 파일이 아닌 물리적인 저장매체 형태였기 때문에 정보 파일에 대한 회수 폐기가 순조로운 편이었습니다. 이 점은 참고해 두시면 좋을 것 같고요. 이번 개인정보 보호법 개정으로 유출 사고 이후 신고 의무 면제를 위해서는 ‘72시간’이라는 골든 타임을 놓치면 안된다는 점도 반드시 기억해 두셔야겠습니다.

□ 이소미 기자
오늘은 개인정보 유출사고 TOP 5 중 ‘GS칼텍스’ 사건에 대해 알아봤는데요. 다음 시간에는 어떤 사건에 대해 자세히 알아볼지 구독자분들의 많은 관심 부탁드립니다.

‘개인정보 지키다’ 코너에서는 개인정보보호와 관련된 시청자분들의 궁금증들을 해결해 드리려고 합니다. 방송 보시면서 궁금한 사항이나 꼭 다뤄주었으면 하는 내용이 있으시다면 언제든 ‘bntv 소통창구’로 의견 남겨주세요.

이메일 또는 유튜브 댓글로 자유롭게 의견 남겨주시면 방송을 통해 여러분의 궁금증 시원하게 해결해 드리겠습니다. 김진환 변호사와 함께하는 개인정보보호의 모든 것 ‘개인정보 지키다!’ 저희가 오늘 준비한 내용은 여기까지고요.

저희는 다음 시간에 더욱 알찬 내용으로 준비해서 찾아뵙도록 하겠습니다. 시청해 주신 여러분 고맙습니다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)