[김경환 변호사의 IT법]<37>기술적 보호조치 의무를 위반한 CSO, CEO는 형사처벌이 되는가

  • 작은 글자
  • 큰 글자
  • 프린터
[김경환 변호사의 IT법]&lt;37&gt;기술적 보호조치 의무를 위반한 CSO, CEO는 형사처벌이 되는가

CSO, CPO 등 정보보호 업무의 책임자가 기술적 보호 조치 흠결로 말미암은 개인정보 유출 관련 형사적 책임을 부담하는가에 대하여 네이트·싸이월드 개인정보 유출 사건, 넥슨의 개인정보 유출 사건 등에서 오랜 논란이 있어 왔다.

CSO, CPO 등 정보보호 책임자들은 고의로 개인정보를 유출시킨 것도 아닌데 업무를 열심히 하더라도 정보 유출이라는 우연한 사고에 대해 형사 책임까지 부담하는 것은 법적으로 보아도 부당하고 만일 이들 책임자들의 형사적 책임을 인정하게 되면 책임이 없는 컨설팅 업무를 하지 누가 회사에서 형사 처벌의 위험성까지 감수하면서 그 업무를 맡으려고 하겠는가 등의 현실적 문제도 제기됐을 뿐만 아니라 형사 책임이 인정되면 양벌규정에 의해 CEO(정확하게는 회사)의 형사 책임까지 연결돼 경영에 치명적인 영향을 미칠 수 있다는 문제가 제기됐다.

한편 실제 이 문제가 형사소송에서 다루어졌다. 국내 여행사 개인정보 유출 사건에 대해 CSO와 CEO가 함께 기소된 사건을 살펴보자.

사실관계를 살펴보면 성명 불상의 해커는 2017년 9월 12일께 국내 여행사의 중앙관리프로그램에 침투해서 DB 관리자의 업무용 PC에 원격제어 악성 프로그램을 유포한 뒤 DB 관리자의 개인 노트북에 접속하고 나서 개인 노트북 바탕화면에 기재된 평문 형태의 ID, 비밀번호를 확보했다. 확보한 ID, 비밀번호를 이용해 보안망 내 업무용 PC에 접속한 다음 이 보안망 내 업무용 PC 바탕화면에 기재된 평문 형태의 ID, 비밀번호를 확보했다. 이를 통해 이용자의 개인정보가 보관된 DB에 침입했고, 같은 달 28일 이메일·성별·전화번호·주소·여권번호 등이 기재된 고객 테이블 정보 총 3만4357건의 개인정보를 유출했다.

해당 여행사의 CSO와 CEO의 경우 기술적 보호 조치 가운데 비밀번호 암호화 조치 의무 및 외부 접속 시 안전한 인증수단 조치 의무 위반이 문제됐고, 이 의무 위반과 개인정보 유출 사이에 인과관계가 인정돼 정보통신망법 제73조 제1호(기술적·관리적 조치를 하지 않아 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 자) 위반으로 기소됐다.

한편 해당 여행사의 CSO와 CEO는 비밀번호 암호화 조치 의무 위반에 해당하지 않고, 외부 접속 시 안전한 인증수단 조치 의무 위반에 해당하지 않으며, 설령 의무 위반이 인정되더라도 개인정보 유출과는 인과관계가 없다고 형사 법정에서 주장했다.

대법원까지 진행돼 확정된 이 형사사건에서 법원은 이용자의 비밀번호뿐만 아니라 내부 직원 또는 개인정보취급자의 비밀번호 역시 암호화 조치 대상이라고 판단하고 비밀번호 암호화 조치 의무 위반에 해당하지 않는다는 주장을 배척했다.

법원은 또한 CSO와 CEO가 비록 네 차례에 걸쳐 서로 다른 ID와 비밀번호를 입력하는 방법으로 접근을 통제했다 하더라도 이는 단계별로 정당한 개인정보취급자 여부를 식별·인증하는 절차에 불과, 법령이 말하는 안전한 인증수단을 적용했다고 보기는 어렵다고 판단하면서 외부 접속 시 안전한 인증수단 조치 의무 위반에 해당하지 않는다는 주장도 배척했다.

그리고 안전한 인증수단을 도입했다면 비밀번호가 무작위로 생성되기 때문에 비밀번호를 미리 메모할 수 없었을 것이라는 등의 이유를 들어 국내 여행사의 CSO와 CEO의 인과관계 흠결 주장도 배척했다.

한편 해당 여행사의 CSO와 CEO는 처벌 규정인 정보통신망법 제73조 제1호는 고의범을 처벌하는 규정이기 때문에 자신들이 '개인정보 분실·도난·유출·위조·변조 또는 훼손'이라는 결과 발생까지 인식하고 의욕한 것이 아니어서 과실에 의한 민사 책임은 별론으로 하더라도 형사 처벌은 부당하다고 다투었다.

그러나 법원은 문리해석상으로도 과실범적 요소를 띠는 '분실'과 '유출', 제3자의 행위가 개입되는 것을 전제하는 '도난'은 의지적 요소까지 포함하는 '고의'의 대상이라고 보기는 어렵다는 이유로 기술적·관리적 보호 조치 의무 위반은 고의(미필적 고의 포함)가 있어야 하지만 '개인정보 분실·도난·유출·위조·변조 또는 훼손'이라는 결과 발생 부분까지 고의의 대상이 되는 것은 아니라고 판단했다.

즉 기술적·관리적 보호조치 의무를 이행하지 않은 CSO와 CEO는 개인정보 유출의 결과가 발생한 경우 정보통신망법 제73조 제1호에 의해 2년 이하의 징역 또는 2000만원 이하의 벌금으로 형사처벌될 수 있다는 것이다.

다만 법원은 책임주의 원칙상 개인정보 유출 결과에 대한 예견 가능성, 즉 과실과 기술적 보호조치 위반과 개인정보 유출의 결과 사이에 인과관계가 필요하다고 판단했다.

이 판결은 특히 기술적 보호조치 의무를 게을리한 CSO, CEO는 형사처벌될 수 있다는 점을 밝혔다는 점에서 매우 중요한 의미가 있다. 이 판결을 계기로 CEO 등 경영자가 정보보안이나 개인정보 보호에 좀 더 관심을 기울이는 계기가 되었으면 한다.

김경환 법무법인 민후 대표변호사 oalmephaga@minwho.kr

김경환 변호사의 IT법