[김경환 변호사의 IT법]<15>개인정보처리시스템, 논란의 마침표 찍다

  • 작은 글자
  • 큰 글자
  • 프린터
[김경환 변호사의 IT법]&lt;15&gt;개인정보처리시스템, 논란의 마침표 찍다

개인정보 보호조치는 크게 기술적 조치와 관리적 조치로 나뉜다. 예컨대 서버관리, 인증관리, 접근권한 관리, 악성프로그램 탐지 등이 전자에 속한다. 동의 의사 수령, 고지, 파기, 정보주체 권리행사 보장, 수탁자 관리 등은 후자에 속한다.

최근 기술적 보호조치 또는 안전성 확보조치에 관한 가장 큰 이슈이자 가장 큰 논란이 된 사안에 대해 대법원 판례가 선고됐는데 그것이 바로 개인정보처리시스템에 웹서버 또는 웹페이지가 포함되는지 여부다.

개인정보처리시스템은 '개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스(DB) 시스템' 또는 'DB 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템'으로 규정돼 있다. 이 개인정보처리시스템은 개인정보처리자가 기술적인 보호조치, 즉 안전성 확보조치 의무를 이행해야 할 범위를 결정하는 중요한 개념이다.

즉 개인정보처리시스템의 범위가 넓어지면 개인정보처리자 의무 범위가 넓어지는 것이고, 반대로 범위가 좁아지면 개인정보처리자 의무 범위가 좁아지는 것이다. 특히 각종 기술적 보호조치 의무가 개인정보처리시스템을 전제로 이뤄지고 있다는 점에서 매우 중요한 의미가 있다.

개인정보처리시스템에 웹서버가 포함되는지에 대한 논란은 2014년부터 시작됐다. 이해 발생한 파라미터 변조를 통한 개인정보 유출 사건에서 방송통신위원회는 KT에 과징금을 부과했고, 이 과정에서 웹서버 또는 웹페이지를 개인정보처리시스템으로 봐서 기술적 보호조치 또는 안전성 확보조치 의무를 이행해야 하는지에 대해 법정 다툼이 시작됐다.

방통위는 웹서버 또는 웹페이지는 개인정보가 처리되는 곳이기 때문에 당연히 개인정보처리시스템에 포함된다는 입장이었다. 반면에 KT는 개인정보처리시스템은 기본적으로 내부 영역에 있는 DB 시스템을 의미하기 때문에 DB 서버에 한정되는 것이지 DB 서버에 연동된 웹서버 또는 웹페이지는 이에 해당하지 않는다는 입장이었다.

당시 이 사건은 맡은 행정법원과 고등법원은 KT 손을 들어줬기 때문에 개인정보처리시스템에는 웹서버 또는 웹페이지까지 미치지 않는다는 판결이 생기게 됐다.

그러나 KT 사건 이후 발생한 개인정보 유출 사건인 뽐뿌 사건이나 이스트소프트 사건에서 이 사건을 맡은 행정법원과 고등법원은 오히려 웹서버 또는 웹페이지가 개인정보처리시스템에 포함된다는 입장을 밝혔고, 뽐뿌 사건은 심리불속행이지만 대법원에서 확정되기까지 했다.

주된 논거는 개인정보처리시스템은 개인정보를 처리할 수 있도록 체계적으로 구성한 DB 시스템이기 때문에 문구상으로 DB관리시스템(DBMS)이나 DB 자체에 한정되지 않으며, 개인정보는 DB 서버뿐만 아니라 웹 애플리케이션(앱)이나 웹 서버 등에서도 처리되기 때문에 웹 서버라 해도 DB에 연결돼 개인정보를 처리하는 경우라든지 이용자가 접속하는 웹페이지를 통해서 DB 내 개인정보에 접근해 조회·수정·삭제 등을 처리할 수 있으면 개인정보처리시스템으로 봐야 한다는 것이다.

이 때문에 최근 대법원의 명시적인 판단이 나오기까지는 웹서버 또는 웹페이지가 개인정보처리시스템에 포함된다는 판결과 그렇지 않다는 판결이 공존하고 있었다.

이 같은 논란에 대한 마침표는 2014년 KT 개인정보 유출 사건 상고심에서 대법원에 의해 정리가 됐기 때문에 대법원은 “관련 규정 체계, 입법 목적에다 법령·고시에서 모두 개인정보처리시스템을 개인정보를 처리할 수 있도록 체계적으로 구성한 DB 시스템으로 정의하고 있는 점 등에 비춰 볼 때 개인정보처리시스템은 개인정보의 생성·기록·저장·검색·이용과정 등 DB 시스템 전체를 의미하는 것으로, DB와 연동돼 개인정보의 처리 과정에 관여하는 웹서버 등을 포함한다고 봄이 타당하다”고 판시했다.

이로써 2014년부터 시작해 8년 동안 끈 가장 큰 난제에 대한 결론이 난 셈이다. 결론적으로 대법원의 판결은 실무 또는 법리적으로 당연할 뿐만 아니라 매우 타당하다. 특히 최근 웹해킹 또는 웹서버를 통한 개인정보 유출이 끊이지 않고 있는 현실을 고려할 때 정보 주체 보호 또는 개인정보 보호 차원에서도 매우 바람직하다.

김경환 법무법인 민후 대표변호사 oalmephaga@minwho.kr

김경환 변호사의 IT법