본문으로 바로가기
64383179 0512020112564383179 08 0801001 6.2.2-RELEASE 51 뉴스1 0 false true false false 1606252500000

[단독]'16만명 개인정보 유출' 이스트소프트 행정소송 2심서 뒤집혔다

글자크기

이스트소프트 과징금 불복소송 2심서 일부 승소

향후 이용자 손배청구 소송서 불리한 근거될듯…개보위 '상고'

뉴스1

이스트소프트 로고 (이스트소프트 제공) © 뉴스1

(서울=뉴스1) 손인해 기자,이장호 기자 = 소프트웨어 기업 이스트소프트가 회원 16만명 개인정보 유출 사고에 대한 과징금 처분에 불복해 낸 행정소송 항소심에서 일부 승소했다. 이스트소프트의 개인정보보호 조치가 명확히 미흡했다는 법원 판단이 일부 뒤집힌 것이어서 향후 이용자들의 손해배상 청구 등 민사소송에서 불리한 근거로 활용될 수 있을 것으로 보인다.

25일 법원에 따르면 서울고법 행정6부(부장판사 이창형 최한순 홍기만)는 이스트소프트가 개인정보보호위원회(개보위)를 상대로 낸 시정조치 등 취소청구 소송에서 원고 일부 승소로 지난 4일 판결했다. 개보위는 법원 판결에 불복해 상고했다.

당초 이스트소프트가 방송통신위원회(방통위)에 제기한 이 행정소송은 방통위측이 개인정보 보호 사무가 개보위에 승계됐다며 법원에 피고를 변경해달라고 요청한 것이 받아들여지면서 개보위가 맡게됐다.

쟁점은 이스트소프트의 '접근 통제장치 설치의무' 위반 여부다. 구 정보통신망법은 정보통신서비스 제공자가 개인정보에 대한 불법적 접근을 차단하기 위해 침입차단시스템을 갖추도록 했다.

1심 재판부는 "이스트소프트는 기본 방화벽 등을 사용하고 있었으나 별도로 전문기업이 제공하는 침입차단시스템 및 침입탐지시스템을 설치하거나 두 시스템이 동시에 구현된 침입방지시스템 등 보안장비를 도입하지 않았다"며 관련 조치를 이행하지 않았다고 판시했다.

2심 재판부의 판단은 달랐다. 2심 재판부는 Δ이스트소프트가 사용하는 오픈소스 기반 공개용 침입탐지시스템 '스노트' 및 리눅스 센트 운영체제(OS)에서 제공하는 웹 방화벽의 우수성 Δ회사가 보안업체와 원격보안관제서비스 계약을 맺은 사실 Δ2014년 한국인터넷진흥원(KISA)가 주관하는 정보보호관리체계인증(ISMS) 인증을 받은 점 등을 들어 "사회통념상 합리적으로 기대 가능한 정도의 침입차단·침입탐지시스템 설치의무를 준수하지 않았다고 보기 어렵다"고 지적했다.

이어 "개보위는 기존 시스템과 별도로 새로운 시스템을 도입해야한다고 주장하지만 새로운 시스템의 구체적 사양과 기능이 무엇인지 명확하지 않다"며 "새로운 시스템을 도입하면 기존 시스템과 차별화되는 어떤 탐지·차단 효과가 있어 어떻게 사전대입공격을 막을 수 있다는 점에 대해 구체적 주장이 결여돼있다"고 했다.

재판부는 그러면서 "이 사건 관련 접근통제장치의 설치의무위반행위는 인정되지 않으므로 이를 위반행위에서 제외하고 나머지 위반행위에 대해 과징금을 산정할 필요가 있다"며 원고의 취소청구 일부를 받아들였다.

과징금 액수를 산정할 때 이스트소프트가 해커로부터 협박을 받아 2차 사전대입공격을 인지한 직후 스스로 관계당국에 2차 사전대입공격 사실을 신고한 점 등도 고려할 필요가 있다고 덧붙였다.

다만 재판부는 이외에 이스트소프트가 침입차단시스템 등 체계적 운영관리 의무나 개인정보 노출방지 조치 시행 여부에 대해선 소홀히 했다고 판단했다.

앞서 방통위는 2018년 3월 중국 국적의 해커가 2017년 6월부터 같은해 9월까지 이스트소프트의 '알패스' 계정에 등록된 16만6179명의 회원정보를 유출한 것을 확인, 이스트소프트가 적절한 조치를 하지 않았다고 판단해 과징금 1억1200만원과 과태료 1000만원 제재를 결정했다.

알패스는 잊어버리기 쉬운 여러 웹사이트의 아이디와 비밀번호를 저장·관리해주는 프로그램으로 해커는 자체 제작한 해킹 프로그램 '알패스3.0.exe'를 이용해 알 수 없는 방법으로 획득한 아이디와 비밀번호를 하나씩 대입시키는 '사전대입공격' 방법으로 이용자 정보를 빼냈다.

해커는 빼낸 이용자의 주민등록번호와 신용카드, 사진으로 이동전화를 개통하고 서버 5대를 임대하는 등 범죄에 사용했으며 암호화폐 거래소에 부정 접속해 이용자가 보유 중인 암호화폐까지 출금한 것으로 방통위 조사 결과 드러났다.
son@news1.kr

스1코리아(news1.kr), 무단 전재 및 재배포 금지]
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.