[CCTV뉴스=법무법인(유한) 바른 변호사 전승재] KT의 마이올레 홈페이지(my.olleh.com)는 ‘if’ 하나를 빠뜨려 1,170만 건의 고객정보를 해킹 당했다. 방통위는 KT가 고객정보 보호조치를 제대로 하지 못했다고 판단하고 2014. 6. 26. 과징금을 부과했다. 이 사건은 해킹을 방지하지 못한 사업자에게 방통위가 과징금을 부과한 첫 사건이다. 정보유출 피해자가 제기하는 민사소송에만 맡겨두지 않고 규제기관이 직접 칼을 빼든 것이다.
그런데 1심 서울행정법원과 항소심 서울고등법원은 KT가 보호조치를 다했고 방통위의 처분이 잘못되었다고 판결했다. 무슨 일이 있었기에 법원은 첫 사건부터 결론을 뒤집었을까?
KT의 마이올레 홈페이지는 이용자에게 요금명세서 조회 기능을 제공하고 있었다. ‘요금명세서 상세보기’ 웹페이지에 ‘이용자의 서비스계약번호’(9자리 숫자로 된 고유번호), ‘조회할 연·월’ 등을 파라미터(매개변수)로 넣으면, 당해 이용자의 이름, 주민번호, 주소 및 해당 연·월 요금정보 등을 데이터베이스에서 조회해 웹페이지 화면에 표시한다. 그런데 타인의 서비스 계약번호를 파라미터로 입력했을 때 그 타인의 요금명세서 정보를 조회할 수 있는 보안 취약점이 있었다. 입력된 서비스계약번호가 당해 로그인한 이용자 본인의 것인지 확인하는 ‘if’문 하나가 빠져 있었던 것이 원인이었다. 해커는 서비스계약번호에 9자리 숫자를 매번 변경 입력함으로써 타인의 개인정보를 받아오는 자동화된 프로그램을 만들어 2013년 8월 8일부터 2014년 2월 25일까지 1170만 건의 고객정보를 탈취했다. 이 방식의 해킹을 ‘파라미터 변조 공격’이라 한다.
얼마 후 해커가 경찰에 검거되면서 해킹 사실이 알려지자, KT는 파라미터로 들어온 서비스 계약번호가 당해 로그인한 이용자 본인의 것이 아니면 데이터베이스 서버에서 개인정보를 받아오지 않도록 하는 ‘if’문을 얼른 추가했다. 이처럼 사고가 난 후 취약점을 제거하는 것 자체는 매우 간단한 일이었다.
물론 사고가 나기 전에 취약점을 미리 발견해 냈다면 좋았겠지만, 이것은 그리 단순한 일이 아니다. 수 많은 웹페이지마다 다종각색의 파라미터를 입력 받고 있으니, 입력 가능한 파라미터 조합은 천문학적으로 많게 된다. 모든 조합을 하나하나 대입해보며 취약점 유무를 검사하는 작업은 용이하지 않다. 적어도 통상적인 자동화된 검사 방법론으로는 이것을 발견하기 어렵다. 이 때문에 파라미터 변조 취약점을 걸러내지 못했다는 것 자체만 가지고는 법을 위반했다고 단정하기 어려운 측면이 있었다.
그렇다면 파라미터 변조 해킹을 ‘탐지’하지 못한 행위는 법 위반으로 평가할 수 있을까? 방통위는 특정 IP에서 일일 최대 34만 건의 개인정보가 비정상적으로 대량 조회되었음에도 불구하고 KT가 해킹을 탐지하지 못한 행위(‘대량접속 미탐지’)를 처분사유로서 함께 제시하고 있었다. 방통위 고시 제4조 제5항 제2호는 사업자로 하여금 개인정보처리시스템에 접속한 IP 주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하는 시스템(침입탐지시스템, Intrusion Detection System)을 설치·운영할 의무를 부과하고 있었다. 방통위는 위 규정에 따라 사업자가 이상행위에 대응하기 위해 실시간·상시적으로 접속기록(log) 분석을 해야 한다고 보았다.
그러나 법원은 방통위의 해석을 받아들이지 않았다. 위 규정의 ‘시스템 설치’란 침입탐지 기능을 갖춘 상용화되고 인증된 설비를 설치하는 것으로 족하고, ‘시스템 운영’이란 그러한 설비를 그 통상적인 기능과 용법에 맞게 제대로 운영하는 것을 말하며, 여기에 서버 접속기록을 실시간·상시적으로 분석하는 것까지는 포함될 수 없다는 것이 서울행정법원 및 서울고등법원의 해석이었다. 그러면서 KT가 국정원 인증을 받은 침입탐지시스템을 설치·운영한 이상 위 규정상의 의무를 위반했다고 볼 수 없다고 판결했다.
향후에도 파라미터 변조 해킹을 당한 사업자가 법 위반 책임을 피해갈 수 있을까? 행정자치부는 2015년 2월 개정한 해설서에서 “불법적인 접근 및 침해사고 방지를 위해서는 침입차단 및 침입탐지 기능을 가진 장비 설치와 더불어 적절한 침입차단 및 침입탐지 정책 설정, 로그 분석 및 이상행위 대응, 로그 훼손 방지 등 적절한 운영·관리가 필요하다.”는 내용을 추가했다. 여기에는 이번 KT 마이올레 해킹 사고에 대한 재발방지대책 목적도 있었을 것이다. 이에 따라 향후에는 사업자가 로그 분석 및 이상행위 대응을 충실히 하지 않아 해킹을 제때 탐지하지 못하면 법위반으로 판단될 소지가 커졌다.
요컨대, 과거에는 법 위반으로 보지 않았던 유형에 대해서도 향후에는 법적 책임이 부과될 가능성이 있다. 우리나라는 과거 개인정보유출 사건에서 사업자의 책임을 상당히 제한적으로만 인정하는 경향이 있었다. 그러나 향후에도 계속 그러리라는 보장은 없다. 사고가 터질 때마다 법 규범은 강화된다. 강화된 법 규범은 획일적으로 예외 없이 적용된다. 법 규범이 촘촘해지면 사업자로서는 어딘가 한 군데는 걸리기 마련이다. 강화되는 규제환경에 적응하는 것도 기업의 역량이다.
