'홈페이지 해킹 사고' KT, 과징금 불복 소송서 최종 승소
대법, "재량권 일탈·남용" 원심판결 확정
2021-09-13 06:00:00 2021-09-13 06:00:00
[뉴스토마토 정해훈 기자] KT(030200)가 홈페이지 해킹 사고로 가입자 개인정보가 유출돼 과징금을 부과받았지만, 해당 처분이 부당하다면서 소송을 내 최종 승소했다. 
 
대법원 3부(주심 안철상 대법관)는 KT가 방송통신위원회를 상대로 낸 과징금 부과 처분 취소 청구 소송에서 원고 승소로 판결한 원심을 확정했다고 13일 밝혔다.
 
앞서 지난 2013년 8월8일부터 2014년 2월25일까지 KT 가입자가 요금명세서를 조회할 수 있는 마이올레 홈페이지가 해킹돼 총 1170만건 상당의 개인정보가 유출되고, 가입자가 포인트 등을 조회할 수 있는 올레클럽 홈페이지가 해킹돼 총 8만건 상당의 개인정보가 유출되는 사고가 발생했다.
 
방통위는 KT가 방통위 고시 4조 2항, 5항, 9항을 위반했다고 판단해 4개의 처분 사유로 7000만원의 과징금을 부과했다. KT는 이 처분에 불복해 소송을 냈다.
 
1심은 KT가 고시 4조 2항만을 위반했는데도 방통위가 재량권을 남용했다면서 KT의 청구를 인용했다.
 
재판부는 "원고가 이 사건 고시 4조 2항을 위반한 것은 맞지만, 이 사건 고시 4조 5항, 9항을 위반했다고 볼 수 없다"며 "피고는 원고가 4조 5항, 9항도 위반했음을 전제로 처분했으므로 이 처분은 재량권을 일탈·남용한 것으로 위법하다"고 판결했다.
 
그러면서 "이 사건 처분이 행정청인 피고의 재량 행위에 해당하는 이상 이 법원은 재량권 일탈·남용 유무만 판단할 수 있을 뿐 재량권 범위 내에서 어느 정도가 적정한 것인지를 판단할 수 없으므로 처분 전부를 취소할 수밖에 없다"고 인용의 이유를 제시했다. 
 
재판부는 KT가 '정보통신 서비스 제공자 등은 전보 또는 퇴직 등 인사이동이 발생해 개인정보 취급자가 변경됐을 때 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소한다'는 고시 4조 2항을 위반했다고 봤다.
 
그러면서 '사용 중지된 퇴직자 ID로 8만건의 개인정보를 조회했음에도 비정상적인 접근을 탐지해 차단하지 못했다'는 방통위의 4번째 처분 사유를 인정했다.
 
하지만 '정보통신 서비스 제공자 등은 정보통신망을 통한 불법적인 접근과 침해사고 방지를 위해 개인정보 시스템에 대한 접속 권한을 IP 주소 등으로 제한해 인가받지 않은 접근을 제한하고, 개인정보 시스템에 접속한 IP 주소 등을 재분석해 불법적인 개인정보 유출 시도를 탐지해야 한다'는 고시 4조 2항 위반은 받아들이지 않았다.
 
재판부는 "원고가 마이올레 홈페이지에 접속한 이용자와 서비스 계약번호 대상자가 일치하는지를 확인하는 2차 '인증' 통제를 하지 않았던 것은 맞다"면서도 "그러나 서비스 계약번호는 원고 시스템 내부에서 검색하기 위한 기준값일 뿐 인증 수단이 아니었으므로 홈페이지에 접속한 이용자와 서비스 계약번호 대상자가 일치하는 단계가 없었다고 해서 곧바로 고시 4조 5항을 위반했다고 볼 수 없다"고 설명했다.
 
또 "원고는 고시 4조 5항에서 요구하는 침입 탐지 또는 침입 차단 기능을 갖춘 시스템을 설치해 그 용법에 따라 적절히 운영했다고 본다"고 부연했다.
 
재판부는 '정보통신 서비스 제공자 등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통해 열람 권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보 처리 시스템과 개인정보 취급자의 컴퓨터에 조치를 취해야 한다'는 고시 4조 9항 위반도 인정하지 않았다.
 
이에 대해 "'개인정보 처리 시스템'은 기본적으로 마이올레 홈페이지의 DB 서버를 의미하고, 웹 서버나 웹 페이지가 이에 포함된다고 볼 수 없다"며 "원고가 운영하는 마이올레 홈페이지는 개인정보 처리 시스템이라고 볼 수 없으므로 이용자와 서비스 계약번호 대상자가 일치하는지에 관한 인증 통제를 하지 않았다 하더라도 고시 4조 9항을 위반했다고 볼 수 없다"고 지적했다.
 
2심도 "이 사건 처분 사유 중 4번째 처분 사유를 제외하고 1번~3번째 처분 사유는 인정되지 않는다면 원고의 위반 행위의 내용, 위반 행위로 인한 개인정보의 피해 규모, 구 정보통신법 28조 1항에 따른 기술적·관리적 보호 조치의 이행 정도 등에 차이가 나타나므로 피고가 원고의 위반 행위를 '중대한 위반 행위'로 평가해 과징금을 산정한 것은 재량권을 일탈·남용한 것으로 볼 수 있다"면서 1심 판단을 유지했다.
 
서울 서초구 서초동 대법원. 사진/뉴스토마토
 
정해훈 기자 ewigjung@etomato.com
 
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.

ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지

지난 뉴스레터 보기 구독하기
관련기사