서울서부지방법원 2014. 4. 17. 선고 2013가합30752 판결 [손해배상(기)]
판시사항
참조조문
참조판례
심판대상조문
판례내용
- 원고
- A외 1214명
- 원고들 소송대리인
- 법무법인 법여울, 담당변호사 김병진
- 피고
- 에스케이커뮤니케이션즈 주식회사, 서울 서대문구 통일로 87 (미근동, 임광빌딩 신관), 대표이사 이한상, 소송대리인 변호사 전원열
- 변론종결
- 2014. 3. 6.
- 판결선고
- 2014. 4. 17.
1. 원고들의 피고에 대한 청구를 모두 기각한다.
2. 소송비용은 원고들이 부담한다.
피고는 원고들에게 각 300,000원 및 각 이에 대하여 이 사건 소장 부본 송달일 다음날부터 다 갚는 날까지 연 20%의 비율로 계산한 돈을 지급하라.
1. 기초사실
가. 당사자의 지위
(1) 피고는 인터넷상에서 검색, 커뮤니티 등을 기반으로 각종 정보를 제공하는 포털서비스사업을 운영하는 회사로, 네이트(NATE), 네이트온(NateON), 싸이월드(CYWORLD)와 같은 온라인 서비스를 제공하고 있다.
(2) 원고들은 피고가 제공하는 네이트와 싸이월드의 한쪽 또는 양쪽 서비스에 가입한 사람들로, 그 가입 당시 피고에게 아이디(ID), 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소 등 개인정보를 제공하였다.
나. 해킹 사고의 발생
(1) 중국에 거주하는 것으로 추정될 뿐 인적사항을 알 수 없는 해커(이하 ‘이 사건 해커’라고 한다)는 2011. 7. 21. 00:40경 피고 DB기술팀 직원인 김*영의 컴퓨터에 윈도우 예약작업을 이용하여, 이 사건 해커가 미리 설정해놓은 임의의 도메인인 ‘nateon.duamlive.com’에 역접속을 시도하는 기능을 가진 악성프로그램을 유포하고, 2011. 7. 26.부터 2011. 7. 27.까지 중국 내 불상지에서 자신의 컴퓨터로 김*영의 컴퓨터(일반직원 PC)에 원격접속하여 성명 미상의 DB 관리자 PC에 침입한 후 위 DB 관리자 PC를 통하여 피고 정보통신망에 침입하였으며, 네이트 회원정보가 저장되어 있는 데이터베이스 서버, 싸이월드 회원정보가 저장되어 있는 데이터베이스 서버, 중복 저장 회원정보가 저장되어 있는 데이터베이스 서버에 침입하여 위 각 서버에서 처리, 보관하고 있는 개인정보를 아이피 주소 ‘211.115.112.36’이 할당된 컴퓨터인 에듀티에스 서버(www.eduts.co.kr)로 전송(이하 ‘이 사건 해킹 사고’라고 한다)하였다.
(2) 이 사건 해킹 사고를 통하여 네이트 또는 싸이월드의 회원 중 34,954,887명의 개인정보가 유출되었는데, 유출된 개인정보에는 아이디, 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소가 포함되어 있고, 가입 당시 혈액형, 닉네임 등을 입력한 일부 회원들의 경우 위 혈액형, 닉네임 등도 포함되어 있다.
(3) 피고는 2011. 7. 28. 이 사건 해킹 사고를 경찰과 방송통신위원회에 신고하였고, 네이트와 싸이월드 회원들에게 이 사건 해킹 사고로 인한 개인정보 유출 사실을 공지하였다.
다. 이 사건 해킹 사고의 경위
(1) 경찰은 2011. 7. 28. 이 사건 해킹 사고에 대한 수사에 착수하였는데, 경찰의 수사 결과에 의하면, 이 사건 해커는 다음과 같은 경로로 네이트와 싸이월드 회원들의 개인정보를 유출한 것으로 파악된다.
(가) 소프트웨어 개발 및 제조 공급업 등을 영위하는 회사인 주식회사 이스트소프트(이하 ‘이스트소프트’라고 한다)는 저장 용량을 줄이기 위해 파일을 압축하는 프로그램인 알집 중 국내 공개용의 경우 기업용 등 다른 알집과 달리 무료로 배포하는 대신 프로그램 실행 시 프로그램 창의 일부에 광고가 게시되도록 하여 수익을 얻고 있는데, 이스트소프트는 위 광고를 교체하기 위해 알집 업데이트 서버를 이용하여 알집 프로그램에 ALAD.dll이라는 파일을 전송한다.
(나) 이 사건 해커는 정상적인 ALAD.dll 파일이 아닌, 동일한 이름의 악성 프로그램인 ALAD.dll 파일을 만들었고, 이를 이스트소프트의 알집 업데이트를 통해 국내 공개용 알집의 사용자 컴퓨터에 설치하기 위해 다음과 같이 피고 이스트소프트의 알집 업데이트 서버를 이용하였다.
(다) 이 사건 해커는 중국 내에 소재한 컴퓨터에 경유지를 설정하기 위한 목적으로 자신의 ‘Y’ 드라이브를 공유한 채, 원격데스크톱 연결을 하였고, ‘Y’ 드라이브에 저장되어 있던 ‘\Y\myxxx\sb\dangqian\stmpxml.dll’ 파일을 알집 업데이트 서버 중 하나에 최초 복사하여 알집 업데이트 웹사이트의 ISAPI 필터1)에 stmpxml.dll 파일을 등록시켰으며, 이를 다시 알집 업데이트 서버 중 다른 4개의 서버에 복사하여 같은 방법으로 ISAPI 필터에 stmpxml.dll 파일을 등록하였다.
(라) stmpxml.dll 파일이 ISAPI 필터에 등록되면, 피고 등 선별된 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우, 이스트소프트가 설정한 본래의 다운로드 경로인 ‘http://aldn.altools.co.kr’이 아닌, 이 사건 해커가 설정한 악성 프로그램 유포지인 ‘http://inexon.softsforum.org’에서 악성 프로그램인 ALAD.dll 파일을 다운로드 받게 된다. 악성 프로그램인 ALAD.dll 파일이 다운로드되면, 위 파일은 악성 프로그램인 ALAD.exe 파일을 생성, 실행시키고, 위 프로그램은 키로깅(keylogging) 프로그램인 nateon.exe 프로그램을 실행시켜 키보드 입력값이 컴퓨터에 파일로 저장되게 한다.
(마) 2011. 7. 18. 08:58:27경 피고의 컴퓨터가 알집 업데이트 과정에서 ‘http://inexon.softforum.org’에서 악성 프로그램인 ALAD.dll 파일을 최초로 다운로드 받았고, 그 후 2011. 7. 20. 14:59경 피고 직원 김*영의 컴퓨터에 nateon.exe 파일이 생성되어 2011. 7. 21. 02:02경 nateon.exe에 감염되었으며, 2011. 7. 23. 13:09경 김*영의 컴퓨터가 update.exe 파일과 windowsrpc.dll 파일을 실행하였다.
(바) 그 후 2011. 7. 26. 02:07경 이 사건 해커가 사용한 컴퓨터가 김*영의 컴퓨터를 경유하여 게이트웨이 서버에 이*석의 DB 관리자 아이디로 접속하였다.
(사) 이 사건 해커는 피고의 서버에 침입하여 개인정보를 덤프 파일로 생성하여 압축한 다음, 이를 게이트웨이 서버에 내려받고, 파일을 송수신하는 통신규약인 FTP(File Transfer Protocol)를 이용하여 위 개인정보 파일을 게이트웨이에서 김*영 또는 이*석의 컴퓨터로 내려받은 후 대한민국 내 경유지인 에듀티에스 사이트를 경유하여 중국으로 전송하였다. 그 자세한 유출 경로는 다음과 같다. ① 네이트 회원의 개인정보 유출 경로 이 사건 해커는, 2011. 7. 26. 03:42경 custdb2 컴퓨터에서 리눅스 DB백업 명령어인 exp 명령으로 네이트 회원 개인정보 DB를 ‘/data/cust.dmp’라는 덤프 포맷 파일로 저장하였고, 04:18경 pinfodb 컴퓨터에서 서로 다른 컴퓨터 사이에 파일을 복사하는 명령어인 scp 명령으로 custdb2에 저장된 ‘/data/cust.dmp’ 파일을 /BACKUP 경로에 내려받았으며, 04:25경 pinfodb 컴퓨터에서 ‘/BACKUP/cus.dmp’ 파일을 ‘/BACKUP/cus.dmp.bz2’ 파일로 압축하였고, 05:36경 pinfodb에 저장된 ‘/BACKUP/cus.dmp.bz2’ 파일을 게이트웨이 서버의 C:\temp에 내려받았으며, 06:22경 김*영의 컴퓨터에서 게이트웨이 서버에 저장된 ‘C:\temp\cus.dmp.bz2’ 파일을 내려받았고, 06:33경 김*영의 컴퓨터에 저장된 ‘cus.dmp.bz2’ 파일을 에듀티에스 사이트로 전송하였으며, 10:03경 에듀티에스 사이트에서 중국으로 ‘cus.dmp.bz2’ 파일을 전송하였다. ② 싸이월드 회원의 개인정보 유출 경로 이 사건 해커는, 2011. 7. 26. 04:37경 custdb1 컴퓨터에서 exp 명령으로 싸이월드 회원 개인정보 DB를 ‘/data/cymem.dmp’라는 덤프 포맷 파일로 저장하였고, 05:08경 pinfodb 컴퓨터에서 scp 명령으로 custdb1에 저장된 ‘/data/cymem.dmp’ 파일을 /BACKUP 경로에 내려받았으며, 05:15경 pinfodb 컴퓨터에서 ‘/BACKUP/cymem.dmp’ 파일을 ‘/BACKUP/cymem.dmp.bz2’ 파일로 압축하였고, 05:36경 pinfodb에 저장된 ‘/BACKUP/cymem.dmp.bz2’ 파일을 게이트웨이 서버의 C:\temp에 내려받았으며, 06:21경 김*영의 컴퓨터에서 게이트웨이 서버에 저장된 ‘C:\temp\cymem.dmp.bz2’ 파일을 내려받았고, 06:32경 김*영의 컴퓨터에 저장된 ‘cymem.dmp.bz2’ 파일을 에듀티에스 사이트로 전송하였으며, 09:44경 에듀티에스 사이트에서 중국으로 ‘cymem.dmp.bz2’ 파일을 전송하였다. ③ 중복 저장 회원정보의 유출 경로 이 사건 해커는, 2011. 7. 26. 04:08경 custdb1 컴퓨터에서 exp 명령으로 싸이월드 회원 개인정보 DB를 ‘/tmp/pits.dmp’라는 덤프 포맷 파일로 저장하였고, 04:24경 pinfodb 컴퓨터에서 ‘/tmp/pits.dmp’ 파일을 ‘/tmp/pits.dmp.bz2’ 파일로 압축하였으며, 05:41경 pinfodb에 저장된 ‘/BACKUP/pits.dmp.bz2’ 파일을 게이트웨이 서버의 C:\temp에 내려받았으며, 2007. 7. 27. 01:13경 이*석의 컴퓨터에서 게이트웨이 서버에 저장된 ‘C:\temp\pits.dmp.bz2’ 파일을 내려받았고, 01:30경 이*석의 컴퓨터에 저장된 ‘pits.dmp.bz2’ 파일을 에듀티에스 사이트로 전송하였으며, 06:30경 에듀티에스 사이트에서 중국으로 ‘pits.dmp.bz2’ 파일을 전송하였다.
(아) 한편, 이 사건 해커는 이 사건 해킹 사고 이전에 2010. 7. 7.경부터 30회에 걸쳐 이 사건 해커가 설정한 도메인에 역접속을 시도하는 기능을 가진 악성 프로그램을 유포시켰고, 2010. 9. 14.경부터 24회에 걸쳐 정당한 접근권한 없이 피고, 이스트소프트의 각 정보통신망을 비롯한 수 개의 정보통신망에 침입하였다.
(2) 경찰은 2012. 6. 20. 이 사건 해커에 대해 기소중지 의견으로 서울중앙지방검찰청에 사건을 송치하였고, 피고의 기술적·관리적 조치에 대해서는 관련 법령에서 정한 요건을 위반하지 않은 것으로 판단하였다.
라. 관련 법령
정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전의 것, 이하 ‘정보통신망법’이라고 한다), 정보통신망법 시행령(2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것, 이하 ‘정보통신망법 시행령’이라고 한다), 정보통신망법 제28조 제1항 및 같은 법 시행령 제15조 제6항에 따라 제정된 개인정보의 기술적·관리적 보호조치 기준(2012. 8. 23. 방송통신위원회 고시 제2012-50호로 개정되기 전의 것, 이하 ‘이 사건 고시’라고 한다) 중 이 사건과 관련된 규정은 별지 2 ‘관련 법령’ 기재와 같다.
다툼 없는 사실, 갑 1, 7, 12, 89호증, 을 29호증(가지번호가 있는 것은 가지번호 포함, 이하 같다)의 각 기재, 변론 전체의 취지
2. 원고의 주장
피고는 정보통신서비스 제공자로서 정보통신망법 및 같은 법 시행령, 이 사건 고시 등에 따라 네이트 또는 싸이월드의 회원인 원고들이 회원 가입 시 제공한 개인정보를 보호할 의무가 있고, 네이트와 싸이월드의 서비스 이용약관에 따라 원고들의 개인정보를 보호하기 위한 보안시스템을 구축하고 개인정보를 취급함에 있어 안전성 확보에 필요한 기술 및 관리적 대책을 수립·운영할 계약상 의무가 있음에도, 아래와 같이 이러한 의무를 위반하여 이 사건 해킹 사고를 방지하지 못하고 그로 인하여 원고들의 개인정보가 유출되도록 하였으므로, 정보통신망법 제32조 또는 채무불이행 책임에 따라 원고들에게 개인정보 유출로 인한 손해를 배상할 의무가 있다.
가. 침입탐지시스템 등 미비로 대용량 개인정보의 유출을 탐지하지 못함
이 사건 해커가 약 3,500만 명 회원의 개인정보를 유출시키는 동안 대규모 데이터 전송이 발생하였을 것이고, 피고가 침입탐지시스템 및 침입방지시스템을 제대로 설치·운영하고 이상 징후를 실시간 모니터링하여 피고의 개인정보처리시스템에 접속한 IP, 트래픽 등을 분석하였다면 개인정보 전부에 대한 복사명령, 전송명령이 이루어짐을 알 수 있어 개인정보 유출을 충분히 막을 수 있었을 것임에도, 피고는 침입탐지시스템 등을 적절히 운영하지 못하고 개인정보의 출력·복사 시 필요한 보호조치를 갖추지 못한 잘못으로 이를 탐지하거나 방지하지 못하였다.
나. 피고의 직원 컴퓨터에서 공개용 알집을 사용
피고는 그 직원들이 유료로 제공되는 국내 기업용 알집 프로그램을 사용하도록 관리할 의무가 있음에도 그 직원들이 개인 사용자에게 무료로 제공되는 보안장치가 갖추어지지 않은 국내 공개용 알집 프로그램을 사용하는 것을 방치하였는데, 이는 저작권법 위반행위에 해당하고, 국내 공개용 알집 프로그램은 자동 광고 업데이트 기능이 있어 두터운 방화벽이 존재하더라도 방화벽 외부에 있는 파일이 더 쉽고 빠르게 방화벽 내부로 진입할 수 있는바 피고의 직원들이 자동 광고 업데이트 기능이 포함되지 않은 국내 기업용 알집 프로그램을 사용하였더라면 이 사건 해킹 사고가 발생하지 아니하였을 것이므로, 피고는 그 직원들이 국내 공개용 알집 프로그램을 불법적으로 사용하는 것을 방치함으로써 이 사건 해킹 사고를 초래하였다.
다. FTP 서비스의 제공
FTP는 파일 전송을 위한 프로토콜로서 대량의 파일을 쉽게 송수신하는 역할을 수행하기 때문에 일반적으로 보안이 취약하다. 이러한 FTP 방식 프로토콜의 취약점 때문에 피고는 내부적으로 정한 ‘개인정보보호 업무지침서’ 제26조에서 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하지 못하도록 규정하고 있고, 정보통신망법 제45조에 따라 방송통신위원회가 2010. 2. 3. 고시한 정보보호조치 및 안전진단 방법·절차·수수료에 관한 지침 [별표1]의 2.2.8.에 따르면 피고는 정보통신망의 안정성 등을 확보하기 위하여 게이트웨이 서버에서 불필요한 FTP를 제거할 의무가 있음에도, 피고는 게이트웨이 서버와 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하였다. 이에 따라 이 사건 해커는 게이트웨이 서버와 DB 서버 관리자인 김*영, 이*석의 각 PC에 설정되어 있던 FTP 방식의 프로토콜을 이용하여 DB 서버로부터 개인정보를 유출해 갈 수 있었다.
라. 로그아웃을 하지 않고, 자동 로그아웃 시간을 설정하지 않음
이 사건 해킹 사고가 발생하기 전날인 2011. 7. 25. 16:48경부터 17:29경까지 DB 서버 관리자가 김*영의 PC로 DB 서버에 로그인하고 업무를 수행하였는데, 작업이 종료된 이후에도 로그아웃을 하지 아니하였다. 또한 피고는 일정 시간 이상 작업을 수행하지 않으면 자동으로 로그아웃이 되는 아이들 타임(idle time)이나 접속 가능한 최대시간인 커넥트 타임(connect time)을 설정하지 않았다. 이로 인하여 이 사건 해커는 DB 서버에 접속하기 위한 두 번째 단계의 인증, 즉 DB 서버 관리자의 이메일로 전송된 일회용 비밀번호(OTP, One Time Password)를 입력하지 않고 DB 서버에 접속하여 개인정보를 유출해 갈 수 있었다.
마. 개인정보 암호화 방식 관련
피고는 개인정보를 안전한 방법으로 암호화하여 저장하여야 하고, 특히 비밀번호의 경우 원래의 자료에 함수를 적용하여 얻은 결과(이러한 결과를 ‘해쉬값’이라고 한다)를 구하는 것은 간단하지만 해쉬값에서 원래의 자료를 구하는 것은 어려운 특성을 가지는 일방향 해쉬함수를 통해 암호화하여 안정하게 저장할 의무가 있음에도, 피고는 보안 강도가 다른 해쉬함수에 비해 낮아 일반적으로 권고되지 아니하는 MD5 방식을 사용하여 비밀번호를 암호화함으로써 위 의무를 위반하였다.
3. 판단
가. 침입탐지시스템 등 미비로 대용량 개인정보의 유출을 탐지하지 못하였는지 여부 개인정보에 대한 불법적인 접근을 차단하기 위한 침입탐지시스템과 침입방지시스템 및 개인정보의 출력·복사 시 필요한 보호조치 등 기술적·관리적 보호조치에 관하여는 정보통신망법 제28조 제1항 제2, 3호, 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4, 5, 8조에서 규정하고 있다. 그런데, 이러한 규정에서 정한 기술적·관리적 보호조치에는 개인정보처리시스템에서 대량으로 유출되는 정보를 실시간으로 모니터링하는 보호조치가 포함되어 있는 것으로 보기 어렵다. 나아가 을 5 내지 9호증, 14 내지 18호증의 각 기재에 변론 전체의 취지를 종합하면, ① 피고가 작성한 개인정보보호 업무지침서에서는 개인정보관리책임자의 허가를 얻어 개인정보 접근권한이 부여될 수 있도록 하고(제22조), 개인정보 접근권한 대장과 관련 기록을 작성하여 보관하도록 규정하면서(제23조), 업무 특성에 따른 접근권한 부여 기준(제24조), 접근권한의 변경과 말소에 대한 기준(제25조), 접근권한 프로그램의 보안을 위한 비밀번호의 작성 규칙(제26조), 개인정보 접근 로그 저장, 로그의 보관·관리, 로그에 대한 확인·감독을 통한 불법적인 접근·사용 모니터링(제29조) 등에 대하여 정하고 있는 사실, ② 피고는 개인정보취급자가 외부에서 개인정보관리시스템에 접근하는 경우 가설사설망(VPN)을 통해 접근하도록 하고 있는 사실, ③ 피고는 주식회사 안철수연구소, 인포섹 주식회사 등과 개인정보시스템에 대한 침입차단시스템 또는 침입탐지시스템 설치, 유지보수, 증설계약 등을 체결하여 침입차단시스템과 침입탐지시스템을 설치·운영하고 있는 사실을 인정할 수 있다. 이에 비추어 보면, 피고는 정보통신망법 제28조 제1항 제2, 3호, 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4, 5, 8조에서 정한 기술적·관리적 보호조치를 이행하고 있는 것으로 보이고, 여기에 앞서 본 바와 같이 이 사건 해커는 이 사건 해킹 사고 발생 1년 전부터 이미 해킹을 위한 도메인을 만들어 놓고 수 개의 정보통신망에 대해 오랜 기간 지속적으로 해킹을 시도해왔으며, 피고 등 선별된 특정 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우에만 다운로드 경로를 변경하도록 조작하여 그 탐지가 쉽지 않은 방법을 사용하는 등 이 사건 해커가 사용한 해킹의 수법, 해킹 방지 기술의 한계, 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등을 종합하면, 피고가 이 사건 해킹 사고 당시 대량의 정보가 유출되는 이상 징후를 감지하지 못하였더라도 이러한 사정만으로는 피고가 개인정보에 대한 불법적인 접근 및 유출을 차단하기 위한 침입탐지시스템, 침입방지시스템을 적절히 운영하지 못하고 개인정보의 출력·복사 시 필요한 보호조치를 갖추지 못하였다는 원고들의 주장사실을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다. 따라서 원고들의 위 주장은 더 나아가 살필 필요 없이 이유 없다.
나. 공개용 알집 사용으로 인한 손해배상책임 발생 여부
(1) 피고가 저작권법 위반행위로 인해 손해배상책임을 부담하는지에 관하여 보건대, 피고의 직원들이 원고들 주장과 같이 저작권법을 위반하여 국내의 개인 사용자에게 무료로 제공되는 알집 프로그램을 사용하였다고 하더라도, 피고가 원고들에게 손해배상책임을 지려면 위 저작권법 위반행위와 원고들의 손해 발생 사이에 상당인과관계가 있어야 한다. 또한 상당인과관계 유무를 판단함에 있어서는 결과 발생의 개연성은 물론 저작권법의 입법목적과 보호법익, 저작권법 위반행위의 태양 및 피침해이익의 성질 등을 종합적으로 고려하여 판단하여야 할 것이다. 이 사건에서 피고는 영리기업임에도, 유료로 제공되는 국내 기업용 알집 프로그램을 구매하여 사용하지 아니하고 피고의 직원들이 이스트소프트가 국내의 개인 사용자에게 무료로 제공하는 국내 공개용 알집 프로그램을 설치하여 사용한 사실은 당사자 사이에 다툼이 없다. 그런데 가사 피고가 국내 공개용 알집 프로그램을 사용한 것이 저작권법 위반행위에 해당하더라도 저작권법의 입법취지는 저작자의 권리를 보호하고 저작물의 공정한 이용을 도모하고자 함에 있는 것이지, 저작자의 권리를 침해하는 방법으로 컴퓨터프로그램저작물을 이용하는 과정에서 제3자의 해킹으로 인하여 개인정보가 유출됨으로써 손해가 발생한 경우 그 손해를 입은 자들을 보호하고자 함에 있는 것은 아니라고 할 것이다. 그렇다면 ① 이러한 저작권법의 목적과 보호법익, 그리고 피고가 사용한 국내 공개용 알집 프로그램이 불법 복제된 소프트웨어로는 보이지 않는 점, ② 이 사건 해커가 이스트소프트의 업데이트 서버를 이용하여 피고 직원의 컴퓨터에 악성 프로그램을 설치하도록 함으로써 원고들의 개인정보가 유출되었고, 피고가 사용한 국내 공개용 알집 프로그램 자체에 악성 프로그램이 포함되어 있던 것으로 보이지 않는 점, ③ 정보통신망법, 정보통신망법 시행령, 이 사건 고시 등 관련 법령에서 정보통신서비스 제공자 등에게 요구하는 기술적·관리적 조치에 국내 공개용 알집 프로그램과 같이 저작자가 개인 사용자에게만 사용할 권한을 부여한 컴퓨터프로그램저작물의 사용을 금지하거나 규제하는 내용은 포함되어 있지 않은 점 등을 종합하여 보면, 앞에서 인정한 사실만으로는 피고의 저작권법 위반행위와 원고들의 주장과 같은 손해 발생 사이에 상당인과관계가 있다고 보기에 부족하고, 달리 이를 인정할 증거가 없다. 따라서 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다.
(2) 다음으로 피고가 국내 기업용 알집 프로그램을 사용하였더라면 이 사건 해킹 사고를 막을 수 있었는지에 관하여 살펴본다. 이 사건 해커는 국내 공개용 알집 프로그램이 광고 업데이트를 할 때 다운로드되는 정상적인 ALAD.dll 파일과 동일한 이름의 악성 프로그램을 만들어 해킹에 이용한 사실, 광고 업데이트는 무료로 제공되는 국내 공개용 알집 프로그램에 포함된 기능으로서, 국내 공개용 알집 프로그램은 국내 기업용 알집 프로그램과 달리 광고 업데이트를 통하여 전송받은 파일이 수시로 로드되거나 실행되는 사실은 앞에서 인정한 바와 같으나, 한편 이 사건 해커는 악성 프로그램이 목표로 한 컴퓨터에 설치되도록 하기 위해 먼저 이스트소프트가 운영하는 알집 업데이트 웹사이트의 ISAPI 필터에 stmpxml.dll 파일을 등록한 사실, ISAPI 필터에 stmpxml.dll 파일이 등록되면, 피고 등 선별된 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우 이스트소프트가 설정한 본래의 다운로드 경로가 아닌, 이 사건 해커가 설정한 악성 프로그램 유포지에서 악성 프로그램을 다운로드 받게 되는 사실도 앞에서 인정한 바와 같다. 여기에 위 각 증거와 갑 81, 93호증, 을 30호증의 각 기재 및 변론 전체의 취지를 종합하여 알 수 있는 다음과 같은 사정들, 즉 ① 국내 기업용 알집 프로그램에도 기능 향상이나 오류 수정 등을 위한 업데이트 기능이 포함되어 있는 점, ② 국내 공개용 알집 프로그램과 국내 기업용 알집 프로그램은 동일한 업데이트 서버로부터 동일한 방식과 동일한 주기로 업데이트를 하며, 업데이트 과정에서 국내 기업용 알집 프로그램도 업데이트 서버로부터 국내 공개용 알집 프로그램과 동일한 ALAD.dll 파일을 다운받는 점, ③ 이 사건 해커가 만든 악성 프로그램의 파일 이름이 ALAD.dll로 국내 공개용 알집 프로그램의 업데이트 과정에서 다운로드되는 파일과 동일하기는 하나, 이는 정상적인 파일과 혼동되도록 그 파일 이름을 위와 같이 사용한 것으로 보이고, 위 악성 프로그램 자체는 키로깅 프로그램을 실행시키도록 하는 파일인 점, ④ 피고 이스트소프트는 2011. 8. 4. 및 2011. 8. 11. ‘이 사건 해커의 공격에 공개용 알집에서 사용하는 광고 업데이트 모듈과 관련한 보안 취약점이 악용된 것이다. 경찰은 해당 회사가 사용중인 IP대역의 업데이트 정보 요청에 대해 공개용 알집 업데이트 서버가 변조된 업데이트 정보를 내려준 것으로 보고 있다. 해당 취약점을 인지한 다음 날인 8. 4. 혹시 모를 추가 해킹을 예방하기 위해 보안 취약점 패치를 완료하였다. 아울러 이러한 유형의 사고를 원천차단하기 위해 제품 업데이트시 업데이트할 파일이 정상 파일인지 확인하는 무결성 검증을 강화하고, 전송 과정에서의 데이터 변조를 방지하는 등 기존 알약 제품에 적용되어 있는 자가보호기능을 공개용 알툴즈 제품에도 적용할 예정이다’는 취지로 인터넷 공지를 하였으나, 이것만으로는 공개용 알집 프로그램에만 무결성 검증기능이 없는 등 해킹에 대한 안전성 측면에서 국내 기업용 알집 프로그램과 국내 공개용 알집 프로그램 사이에 차이가 있었다고 보기 어렵고, 위와 같은 자가보호기능의 흠결을 피고의 책임을 인정하는 근거로 삼기는 어려운 점, ⑤ 국내 공개용 알집 프로그램에 자동 광고 업데이트 기능이 있다는 것만으로 방화벽 외부에 있는 파일이 더 쉽고 빠르게 방화벽 내부로 진입할 수 있다고 인정할 증거도 없는 점 등을 종합하여 보면, 이 사건 해커가 사용한 것으로 보이는 해킹 기법에 의하면 피고가 국내 기업용 알집 프로그램을 사용한 경우에도 그 업데이트 과정에서 위와 같은 방식으로 본래의 다운로드 경로가 아닌 악성 프로그램 유포지에서 악성 프로그램을 다운로드 받도록 이스트소프트의 업데이트 웹사이트 ISAPI 필터를 조작하는 것이 가능하였을 것으로 보인다. 그렇다면 피고가 국내 기업용 알집 프로그램을 사용하였더라도 이 사건 해킹 사고를 막을 수 없었을 가능성을 배제할 수 없으므로, 비록 국내 공개용 알집 프로그램이 수시로 광고 업데이트를 하고 국내 기업용 알집 프로그램보다 그 이용자가 많아 이 사건 해커가 해킹에 이용하는 것이 보다 용이하였을 것으로 추측된다고 하더라도, 위에서 인정한 사실만으로는 피고의 국내 공개용 알집 프로그램 사용행위와 원고들 주장과 같은 손해 발생 사이에 상당인과관계가 있다고 보기에 부족하고 달리 이를 인정할 증거가 없다. 따라서 원고들의 이 부분 주장도 더 나아가 살필 필요 없이 이유 없다.
다. FTP 서비스의 제공으로 인한 보호조치 위반 여부
을 5 호증의 기재에 의하면, 피고가 내부적으로 정한 ‘개인정보보호 업무지침서’ 제26조 제4항이 “개인정보 접근 PC에 대한 NULL session 접근이 불가능하도록 보안설정을 하고, telnet 및 ftp 서비스 등 보안상 취약한 서비스는 제공하지 않도록 한다.”라고 규정하고 있는 사실은 인정된다. 그러나 위 각 증거와 변론 전체의 취지를 종합하여 인정되는 다음과 같은 사정들, 즉 ① 피고의 게이트웨이 서버는 정보통신망법 제45조에 따라 방송통신위원회가 2010. 2. 3. 고시한 정보보호조치 및 안전진단 방법·절차·수수료에 관한 지침 [별표1] 2.2.5.의 라우터가 아니라 윈도우 OS로 작동하는 서버이고, 위 지침 [별표1]의 2.2.8.이 규정한 ‘라우터에서 불필요한 프로토콜을 제거하는 것’은 위 지침 [별표3]의 라.군에 해당하는 피고에게 적용되는 의무가 아닌 점, ② DB 서버 관리자의 PC에서 FTP 프로토콜을 삭제하는 것은 법령상 의무가 아니고, 피고가 내부적으로 정한 ‘개인정보보호 업무지침서’ 제26조 제4항은 개인정보 접근 PC를 FTP 서버로 이용할 때(즉, FTP 서비스를 제공하는 경우)에는 클라이언트로 이용할 때와는 전혀 다른 보안 문제가 발생하기 때문에 개인정보 접근 PC를 FTP 서버로 설정하는 행위(즉 개인정보 접근 PC에서 파일 공유를 열어주는 방식을 통해 타 컴퓨터로의 접속 및 파일 전송이 가능하게 만드는 기능)를 금지하는 취지인데, 이 사건 해킹 사고는 개인정보 접근 PC를 FTP 서버로 설정함으로써 발생한 것이 아니라 해커가 개인정보 접근 PC를 FTP 클라이언트로 사용하여 개인정보를 전송한 것이므로, 이 사건 해킹 사고와 관련하여 위 업무지침서 위반사항은 존재하지 않는 점, ③ 피고의 게이트웨이 서버의 FTP 프로토콜과 DB 서버 관리자 PC의 FTP 클라이언트 기능은 평소 업무에 필요한 것이었던 점, ④ 피고 게이트웨이 서버와 DB 서버 관리자 PC에 FTP 방식의 프로토콜이 설치되어 있지 않았다고 하더라도, 이 사건 해커가 개인정보를 외부로 유출할 수 있는 수단은 메신저 프로그램, 대용량 메일 서비스 등 여러 가지가 있는 점 등을 고려할 때, 피고가 DB 서버의 게이트웨이 서버와 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하였다는 사정만으로는 피고가 개인정보에 대한 불법적인 접근을 차단하기 위한 보호조치를 위반하였다거나 피고가 DB 서버의 게이트웨이 서버와 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하였던 행위와 이 사건 해킹 사고 사이에 상당인과관계가 있다고 볼 수 없고, 달리 이를 인정할 만한 증거가 없다. 따라서 원고들의 위 주장도 이유 없다.
라. 로그아웃을 하지 않고, 자동 로그아웃 시간을 설정하지 않은 행위 관련 보호조치 위반 여부 갑 90호증의 기재와 변론 전체의 취지에 의하면, 피고의 DB 서버 관리자는 이 사건 해킹 사고 발생 전날인 2011. 7. 25. 16:48경부터 17:29경까지 김*영의 PC로 서버에 접속하여 업무를 수행하였는데, 작업이 종료된 이후에도 로그아웃을 하지 아니하였던 사실, 이 사건 해킹 사고 발생 당시 피고가 운용하고 있던 데이터 손실 방지기능에 ‘관리자 로그인 제한시간 설정’ 기능이 포함되어 있었던 사실을 인정할 수 있다. 그러나 원고들의 위 주장은 이 사건 해커가 사용한 방법처럼 DB 관리자가 내부에서 DB 서버에 접속하는 경우 두 번째 단계의 인증으로 DB 관리자의 이메일로 전송된 일회용 비밀번호(OTP)를 입력하는 구간이 존재한다는 것을 전제로 하는 것인데, 이를 인정할 만한 증거가 없다. 오히려 을 31, 32호증의 각 기재에 변론 전체의 취지를 종합하여 인정되는 다음과 같은 사정들, 즉 ① 이 사건 해킹 사고 발생 당시 DB 서버 관리자가 작업종료 후 로그아웃하거나, 자동로그아웃 시간을 설정하는 것은 법령상 의무가 아니었던 점, ② DB 서버에 접속하는 경우 이메일로 전송된 일회용 비밀번호(OTP) 입력을 통한 인증은 피고의 ‘외부 고객센터 소속 종사자’가 외부에서 DB 서버에 접속하는 경우에 관한 것이고, 이 사건 해커와 같이 ‘DB 서버 관리자 PC’를 통하여 내부에서 DB 서버에 접속하는 경우 일회용 비밀번호(OTP)를 입력하는 구간은 존재하지 않았던 점, ③ 이 사건 해커는 2011. 7. 26. 오전 시간 동안 수차례 관리자의 아이디와 비밀번호를 새로 입력하고 로그인하였던 점 등을 종합하여 보면, 이 사건 해커가 관리자의 아이디와 비밀번호를 이미 파악하였던 이상 DB 서버 관리자의 로그아웃 여부와 무관하게 DB 서버에 접속할 수 있었을 것으로 보인다. 따라서 위에서 인정한 사실만으로는 이 사건 해킹 사고 발생 전날 DB 서버 관리자가 작업종료 후 로그아웃하지 않았고 이 사건 해킹 사고 발생 당시 피고가 아이들 타임이나 커넥트 타임을 설정하지 않았던 행위와 원고들의 주장과 같은 손해 발생 사이에 상당인과관계가 있다고 보기에 부족하고 달리 이를 인정할 증거가 없다. 따라서 원고들의 위 주장도 더 나아가 살필 필요 없이 이유 없다.
마. 개인정보 암호화 방식 관련 보호조치 위반 여부
암호화 기술 등을 이용한 개인정보의 보안조치에 관해서는 정보통신망법 제28조 제1항 제4호, 정보통신망법 시행령 제15조 제4항 및 이 사건 고시 제6조에서 규정하고 있다. 그런데 을 21, 22, 29호증의 각 기재에 변론 전체의 취지를 종합하면, 피고는 이용자의 비밀번호를 일방향 암호화하고, 주민등록번호도 별도로 암호화하여 저장·관리하고 있는 사실, 피고는 개인정보처리시스템 외의 시스템으로 개인정보를 전송하거나 저장할 때 암호화하도록 하고 있고, 개인정보를 전송할 때에는 개인정보의 추출요청자, 추출항목, 사용목적, 추출대상자, 자료활용기간, 자료보관방법, 파기책임자 및 파기예정일 등을 특정하여 관리하고 있는 사실을 인정할 수 있는바, 이에 비추어 보면, 피고는 정보통신망법 제28조 제1항 제4호, 정보통신망법 시행령 제15조 제4항 및 이 사건 고시 제6조에서 정한 암호화기술 등을 이용한 보안조치를 이행하고 있는 것으로 보인다. 또한 가사 피고의 암호화 방식이 MD5 방식이라고 하더라도 그 해독이 법령 등에 의하여 요구되는 기준보다도 쉽게 될 것이라고 볼 만한 증거가 없고, 원고들의 주장과 같이 피고가 사용한 암호화 방식이 구식이어서 상대적으로 해독 가능성이 크다고 하더라도 앞에서 본 바와 같이 피고가 정보통신망법 등 관련 법령에서 정한 기술적·관리적 보호조치를 이행하였고 피고의 행위와 원고들 주장의 손해 발생 사이에 상당인과관계가 인정되지 않는 이상 이러한 사정과 원고가 제출한 증거들만으로는 피고가 암호화 기술의 사용과 관련한 기술적·관리적 보호조치를 위반한 것으로 인정하기에 부족하며, 달리 이를 인정할 증거가 없다. 따라서 원고들의 위 주장도 더 나아가 살필 필요 없이 이유 없다.
4. 결론
그렇다면 원고들의 이 사건 청구는 모두 이유 없으므로 이를 기각한다.
관련 법령
[정보통신망법] 제23조(개인정보의수집제한등) ①정보통신서비스제공자는사상,신념,과거의병력등개인의권리·이익이나사생활을뚜렷하게침해할우려가있는개인정보를수집하여서는아니된다.다만,제22조제1항에따른이용자의동의를받거나다른법률에따라특별히수집대상개인정보로허용된경우에는그개인정보를수집할수있다. ②정보통신서비스제공자는이용자의개인정보를수집하는경우에는정보통신서비스의제공을위하여필요한최소한의정보를수집하여야하며,필요한최소한의정보외의개인정보를제공하지아니한다는이유로그서비스의제공을거부하여서는아니된다. 제23조의2(주민등록번호외의회원가입방법) ①정보통신서비스제공자로서제공하는정보통신서비스의유형별일일평균이용자수가대통령령으로정하는기준에해당하는자는이용자가정보통신망을통하여회원으로가입할경우에주민등록번호를사용하지아니하고도회원으로가입할수있는방법(이하"대체수단"이라한다)을제공하여야한다. ②제1항에해당하는정보통신서비스제공자는주민등록번호를사용하는회원가입방법을따로제공하여이용자가회원가입방법을선택하게할수있다. 제27조(개인정보관리책임자의지정) ①정보통신서비스제공자등은이용자의개인정보를보호하고개인정보와관련한이용자의고충을처리하기위하여개인정보관리책임자를지정하여야한다.다만,종업원수,이용자수등이대통령령으로정하는기준에해당하는정보통신서비스제공자등의경우에는지정하지아니할수있다. ②제1항단서에따른정보통신서비스제공자등이개인정보관리책임자를지정하지아니하는경우에는그사업주또는대표자가개인정보관리책임자가된다. ③개인정보관리책임자의자격요건과그밖의지정에필요한사항은대통령령으로정한다. 제28조(개인정보의보호조치) ①정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실·도난·누출·변조또는훼손을방지하기위하여대통령령으로정하는기준에따라다음각호의기술적·관리적조치를하여야한다. 1.개인정보를안전하게취급하기위한내부관리계획의수립·시행 2.개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치의설치·운영 3.접속기록의위조·변조방지를위한조치 4.개인정보를안전하게저장·전송할수있는암호화기술등을이용한보안조치 5.백신소프트웨어의설치·운영등컴퓨터바이러스에의한침해방지조치 6.그밖에개인정보의안전성확보를위하여필요한보호조치 ②정보통신서비스제공자등은이용자의개인정보를취급하는자를최소한으로제한하여야한다. 제32조(손해배상) 이용자는정보통신서비스제공자등이이장의규정을위반한행위로손해를입으면그정보통신서비스제공자등에게손해배상을청구할수있다.이경우해당정보통신서비스제공자등은고의또는과실이없음을입증하지아니하면책임을면할수없다. 제46조의3(정보보호안전진단) ①다음각호의어느하나에해당하는자는방송통신위원회가안전진단을수행할수있다고인정한자(이하"안전진단수행기관"이라한다)로부터자신의정보통신망또는집적정보통신시설에대하여매년정보보호지침에따른정보보호안전진단을받아야한다.이경우안전진단수행기관은15명이상의정보보호기술인력을보유하고최근3년이내에정보보호컨설팅을수행한실적이있는법인이어야한다. 1.전기통신사업법제2조제8호에따른전기통신사업자로서전국적으로정보통신망서비스를제공하는자(이하"주요정보통신서비스제공자"라한다) 2.집적정보통신시설사업자 3.정보통신서비스제공자로서매출액,이용자수등이대통령령으로정하는기준에해당하는자 ②제1항에따라정보보호안전진단을받는사업자는관련정보의제공및시설·장소에의출입허용등안전진단수행기관의정보보호안전진단업무에협력하고,대통령령으로정하는바에따라정보보호안전진단의결과를방송통신위원회에제출하여야한다. ③제1항에따라정보보호안전진단을받아야하는사업자가정보통신기반보호법제9조에따라취약점의분석·평가를받거나제47조에따른정보보호관리체계의인증을받으면그분석·평가를받거나인증을받은해당연도에는제1항에따른정보보호안전진단을받은것으로본다. ④안전진단수행기관은제1항에따른정보보호안전진단을받은사업자에게안전진단의결과에따라정보보호조치의개선을권고할수있다. ⑤안전진단수행기관은제4항에따라정보보호조치의개선을권고하였으면그권고내용및처리결과를방송통신위원회에통보하여야한다. ⑥방송통신위원회는제2항에따라제출된정보보호안전진단의결과와제5항에따른통보내용에따라필요하면정보보호안전진단을받은사업자에게정보보호조치에관한개선명령을할수있다. ⑦제1항에따른정보보호안전진단의방법·절차·수수료,안전진단수행기관의인정절차,정보보호기술인력의자격기준,정보보호컨설팅수행실적,그밖에필요한사항은대통령령으로정한다. ⑧방송통신위원회는제1항제3호의요건에해당하는지를확인하기위하여필요하면관계행정기관,관련자료보유기관또는정보통신서비스제공자에대하여필요한자료의제공또는사실의확인을요청할수있다. 제47조(정보보호관리체계의인증) ①정보통신망의안정성및신뢰성을확보하기위하여기술적·물리적보호조치를포함한종합적관리체계(이하"정보보호관리체계"라한다)를수립·운영하고있는자는정보보호관리체계가제2항에따라방송통신위원회가고시한기준에적합한지에관하여방송통신위원회나한국인터넷진흥원이지정하는기관(이하"정보보호관리체계인증기관"이라한다)으로부터인증을받을수있다. ②방송통신위원회는제1항에따른인증에관한정보보호관리기준등필요한기준을정하여고시할수있다. ③제1항에따라정보보호관리체계의인증을받은자는대통령령으로정하는바에따라인증의내용을표시하거나홍보할수있다. ④제1항에따른인증의방법·절차와그밖에필요한사항은대통령령으로정한다. ⑤정보보호관리체계인증기관지정의기준·절차·유효기간등에필요한사항은대통령령으로정한다.
[정보통신망법시행령] 제15조(개인정보의보호조치) ①법제28조제1항제1호에따라정보통신서비스제공자등은개인정보의안전한취급을위하여다음각호의내용을포함하는내부관리계획을수립·시행하여야한다. 1.개인정보관리책임자의지정등개인정보보호조직의구성·운영에관한사항 2.개인정보취급자의교육에관한사항 3.제2항부터제5항까지의규정에따른보호조치를이행하기위하여필요한세부사항 ②법제28조제1항제2호에따라정보통신서비스제공자등은개인정보에대한불법적인접근을차단하기위하여다음각호의조치를하여야한다. 1.개인정보를처리할수있도록체계적으로구성한데이터베이스시스템(이하"개인정보처리시스템"이라한다)에대한접근권한의부여·변경·말소등에관한기준의수립·시행 2.개인정보처리시스템에대한불법적인접근을차단하기위한침입차단시스템및침입탐지시스템의설치·운영 3.비밀번호의생성방법및변경주기등의기준설정과운영 4.그밖에개인정보에대한접근통제를위하여필요한조치 ③법제28조제1항제3호에따라정보통신서비스제공자등은접속기록의위조·변조방지를위하여다음각호의조치를하여야한다. 1.개인정보취급자가개인정보처리시스템에접속하여개인정보를처리한경우접속일시,처리내역등의저장및이의확인·감독 2.개인정보처리시스템에대한접속기록을별도저장장치에백업보관 ④법제28조제1항제4호에따라정보통신서비스제공자등은개인정보가안전하게저장·전송될수있도록다음각호의보안조치를하여야한다. 1.비밀번호및바이오정보(지문,홍채,음성,필적등개인을식별할수있는신체적또는행동적특징에관한정보를말한다)의일방향암호화저장 2.주민등록번호및계좌정보등금융정보의암호화저장 3.정보통신망을통하여이용자의개인정보및인증정보를송신·수신하는경우보안서버구축등의조치 4.그밖에암호화기술을이용한보안조치 ⑤법제28조제1항제5호에따라정보통신서비스제공자등은개인정보처리시스템및개인정보취급자가개인정보처리에이용하는정보기기에컴퓨터바이러스,스파이웨어등악성프로그램의침투여부를항시점검·치료할수있도록백신소프트웨어를설치하여야하며,이를주기적으로갱신·점검하여야한다. ⑥방송통신위원회는제1항부터제5항까지의규정에따른사항과법제28조제1항제6호에따른그밖에개인정보의안전성확보를위하여필요한보호조치의구체적인기준을정하여고시하여야한다. 제42조(정보보호안전진단확인증의발급) 정보통신망법제46조의3제1항에따른안전진단수행기관(이하"안전진단수행기관"이라한다)은정보보호안전진단을실시한결과법제45조제2항에따른정보보호조치및안전진단방법·절차·수수료에관한지침(이하"정보보호지침"이라한다)을준수하는자에대하여는방송통신위원회가정하여고시하는정보보호안전진단확인증을발급하여야한다. 제43조(정보보호안전진단결과의제출) ①안전진단대상자가정보통신망법제46조의3제2항에따라정보보호안전진단결과를방송통신위원회에제출하는경우에는안전진단수행기관으로부터정보보호안전진단결과를통보받은날부터15일이내에정보보호안전진단결과통지서를제출하여야한다. ②안전진단수행기관이법제46조의3제5항에따라정보보호조치의개선권고내용및처리결과를방송통신위원회에통보하는경우에는그권고를하거나처리가완료된후15일이내에정보보호조치의개선권고내용및처리결과통보서를제출하여야한다.
[이사건고시] 제1조(목적)이기준은정보통신망법제28조제1항및정보통신망법시행령제15조제6항에따라정보통신서비스제공자등이이용자의개인정보를취급함에있어서개인정보가분실·도난·누출·변조·훼손등이되지아니하도록안전성을확보하기위하여취하여야하는기술적·관리적보호조치의구체적인기준을정하는것을목적으로한다. 제2조(정의)이기준에서사용하는용어의뜻은다음과같다. 1.“개인정보관리책임자”라함은정보통신서비스제공자의사업장내에서이용자의개인정보보호업무를총괄하거나업무처리를최종결정하는임직원을말한다. 2.“개인정보취급자”라함은정보통신서비스제공자의사업장내에서이용자의개인정보를수집,보관,처리,이용,제공,관리또는파기등의업무를하는자를말한다. 2의2.“내부관리계획”이라함은정보통신서비스제공자등이개인정보의안전한취급을위하여개인정보보호조직의구성,개인정보취급자의교육,개인정보보호조치등을규정한계획을말한다. 3.“개인정보처리시스템”이라함은개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말한다. 4.“비밀번호”라함은이용자및개인정보취급자등이시스템또는정보통신망에접속할때식별자와함께입력하여정당한접속권한을가진자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. 5.“접속기록”이라함은이용자또는개인정보취급자등이개인정보처리시스템에접속하여수행한업무내역에대하여식별자,접속일시,접속지를알수있는정보,수행업무등접속한사실을전자적으로기록한것을말한다. 6.“바이오정보”라함은지문,얼굴,홍채,정맥,음성,필적등개인을식별할수있는신체적또는행동적특징에관한정보로서그로부터가공되거나생성된정보를포함한다. 7.“P2P(PeertoPeer)”라함은정보통신망을통해서버의도움없이개인과개인이직접연결되어파일을공유하는것을말한다. 8.“공유설정”이라함은컴퓨터소유자의파일을타인이조회·변경·복사등을할수있도록설정하는것을말한다. 9.“보안서버”라함은정보통신망에서송·수신하는정보를암호화하여전송하는웹서버를말한다. 10.“인증정보”라함은개인정보처리시스템또는정보통신망을관리하는시스템등이요구한식별자의신원을검증하는데사용되는정보를말한다. 제3조(내부관리계획의수립·시행) ①정보통신서비스제공자등은다음각호의사항을정하여개인정보보호조직을구성·운영하여야한다. 1.개인정보관리책임자의자격요건및지정에관한사항 2.개인정보관리책임자와개인정보취급자의역할및책임에관한사항 3.개인정보내부관리계획의수립및승인에관한사항 4.개인정보의기술적·관리적보호조치이행여부의내부점검에관한사항 5.그밖에개인정보보호를위해필요한사항 ②정보통신서비스제공자등은다음각호의사항을정하여개인정보관리책임자및개인정보취급자를대상으로매년2회이상교육을실시하여야한다. 1.교육목적및대상 2.교육내용 3.교육일정및방법 ③정보통신서비스제공자등은제1항및제2항에대한세부계획,제4조부터제8조까지의보호조치이행을위한세부적인추진방안을포함한내부관리계획을수립·시행하여야한다. 제4조(접근통제) ①정보통신서비스제공자등은개인정보처리시스템에대한접근권한을서비스제공을위하여필요한개인정보관리책임자또는개인정보취급자에게만부여한다. ②정보통신서비스제공자등은전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소한다. ③정보통신서비스제공자등은제1항및제2항에의한권한부여,변경또는말소에대한내역을기록하고,그기록을최소5년간보관한다. ④정보통신서비스제공자등은개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속이필요한경우에는공인인증서등안전한인증수단을적용하여야한다. ⑤정보통신서비스제공자등은정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한시스템을설치·운영하여야한다. 1.개인정보처리시스템에대한접속권한을IP주소등으로제한하여인가받지않은접근을제한 2.개인정보처리시스템에접속한IP주소등을재분석하여불법적인개인정보유출시도를탐지 ⑥정보통신서비스제공자등은이용자가안전한비밀번호를이용할수있도록비밀번호작성규칙을수립하고,이행한다. ⑦정보통신서비스제공자등은개인정보취급자를대상으로다음각호의사항을포함하는비밀번호작성규칙을수립하고,이를적용·운용하여야한다. 1.다음각목의문자종류중2종류이상을조합하여최소10자리이상또는3종류이상을조합하여최소8자리이상의길이로구성 가.영문대문자(26개) 나.영문소문자(26개) 다.숫자(10개) 라.특수문자(32개) 2.연속적인숫자나생일,전화번호등추측하기쉬운개인정보및아이디와비슷한비밀번호는사용하지않는것을권고 3.비밀번호에유효기간을설정하여반기별1회이상변경 ⑧정보통신서비스제공자등은취급중인개인정보가인터넷홈페이지,P2P,공유설정등을통하여열람권한이없는자에게공개되거나외부에유출되지않도록개인정보처리시스템및개인정보취급자의컴퓨터에조치를취하여야한다. 제5조(접속기록의위·변조방지) ①정보통신서비스제공자등은개인정보취급자가개인정보처리시스템에접속한기록을월1회이상정기적으로확인·감독하여야하며,시스템이상유무의확인등을위해 최소6개월이상접속기록을보존·관리하여야한다. ②단,제1항의규정에도불구하고전기통신사업법제5조의규정에따른기간통신사업자의경우에는보존·관리해야할최소기간을2년으로한다. ③정보통신서비스제공자등은개인정보취급자의접속기록이위·변조되지않도록별도의물리적인저장장치에보관하여야하며정기적인백업을수행하여야한다. 제6조(개인정보의암호화) ①정보통신서비스제공자등은비밀번호및 바이오정보는복호화되지아니하도록일방향암호화하여저장한다. ②정보통신서비스제공자등은주민등록번호,신용카드번호및계좌번호에대해서는안전한암호알고리듬으로암호화하여저장한다. ③정보통신서비스제공자등은정보통신망을통해이용자의개인정보및인증정보를송·수신할때에는안전한보안서버구축등의조치를통해이를암호화해야한다. 보안서버는다음각호중하나의기능을갖추어야한다. 1.웹서버에SSL(SecureSocketLayer)인증서를설치하여전송하는정보를암호화하여송·수신하는기능 2.웹서버에암호화응용프로그램을설치하여전송하는정보를암호화하여송·수신하는기능 ④정보통신서비스제공자등은이용자의개인정보를개인용컴퓨터(PC)에저장할때에는이를암호화해야한다. 제7조(악성프로그램방지)정보통신서비스제공자등은백신소프트웨어를월1회이상주기적으로갱신·점검하고,악성프로그램관련경보가발령된경우및백신소프트웨어또는운영체제제작업체에서업데이트공지가있는경우에는응용프로그램과정합성을고려하여최신소프트웨어로갱신·점검하여야한다. 제8조(출력·복사시보호조치) ①정보통신서비스제공자등은개인정보처리시스템에서개인정보의출력시(인쇄,화면표시,파일생성등)용도를특정하여야하며,용도에따라출력항목을최소화한다. ②정보통신서비스제공자등은개인정보가포함된종이인쇄물,개인정보가복사된외부저장매체등개인정보의출력·복사물을안전하게관리하기위해출력·복사기록등필요한보호조치를갖추어야한다. 제9조(개인정보표시제한보호조치)정보통신서비스제공자등은개인정보업무처리를목적으로개인정보의조회,출력등의업무를수행하는과정에서개인정보보호를위하여개인정보를마스킹하여표시제한조치를취하는경우에는다음의원칙으로적용할수있다. 1.성명중이름의첫번째글자이상 2.생년월일 3.전화번호또는휴대폰전화번호의국번 4.주소의읍·면·동 5.인터넷주소는버전4의경우17~24비트영역,버전6의경우113~128비트영역.끝.