100.1.

캐시정책을 잘못 설정하여 개인정보가 유출된 사례

• 새 탭 열기
• 작성 이력 보기

대법원은 2023. 10. 12. 선고한 2022두68923 판결에서, 위메프 블랙프라이스데이 이벤트 당시 직원의 실수로 캐시 정책이 잘못 설정되어 이용자 20명의 개인정보가 다른 이용자 29명에게 노출된 사안과 관련하여, 개인정보보호법제 위반시의 과징금 산정 기준 및 고려 요소에 대해, 최초로 명시적인 판단을 했다. 그런데 이 사건의 경우 심급별로 유의미한 법리의 확인이 있었다. 

특히 그 중 1심 판결에서는, 캐시정책 설정 오류가 개인정보의 안전성 확보조치 위반에 해당할 수 있다는 점이 확인되었기 때문에, 아래에서는 이를 살펴보기로 한다.

[1심 판결(서울행정법원 2020구합59628 판결): 구 개인정보의 기술적∙관리적 보호조치 기준 제4조 제9항이 정한 보호조치의 내용에 대한 대법원 최신 판결을 캐시 정책 설정 오류에 적용]

구 개인정보의 기술적∙관리적 보호조치 기준 제4조 제9항은 “정보통신서비스 제공자 등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 <조치>를 취하여야 한다.”는 규정이다.

2021. 8. 19. 대법원은 KT 개인정보 유출 사건에서 위 <조치>의 내용은 “정보통신서비스 제공자 등이 취급 중인 개인정보가 인터넷 홈페이지 등에 대한 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 취하여야 할 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치”라고 최초로 명시적인 판결을 했다(대법원 2018두56404 판결).

그런데 마침 위메프 사건 1심이 그 직후인 2021. 8. 27. 변론종결되었으며, 이 사건에서도 캐시 정책 설정 오류가 위 제4조 제9항 <조치>의무 위반에 해당하느냐가 쟁점이었고, 1심 법원은 위 대법원 판결을 반영해 아래와 같이 판시했다.

즉 직원이 실수로 캐시 정책을 잘못 설정하여 개인정보가 유출되도록 설정하고 이에 대해 검증 등 확인이 이루어지지 않은 점에 대해 과실을 인정하고 위 제4조 제9항 위반에 해당한다고 판단하여, 시정명령 처분이 적법하다고 한 것이다. 위 판결 부분에 대해 위메프는 항소하지 않았고 따라서 위 부분은 확정되었다.

한편, 위 구 개인정보의 기술적∙관리적 보호조치 기준은 2023. 9. 22.부터 시행되고 있는 개인정보의 안전성 확보조치 기준에 통합되었는데, 개인정보의 안전성 확보조치 기준 제6조 제3항은 위 구 개인정보의 기술적∙관리적 보호조치 기준 제4조 제9항과 거의 유사한 내용을 유지하면서 수범자를 모든 개인정보처리자로 확장했다. 

때문에, 위 구 개인정보의 기술적∙관리적 보호조치 기준 제4조 제9항에 대한 대법원 판결(대법원 2018두56404 판결) 및 이를 따른 위메프 사건 1심 판결(서울행정법원 2020구합59628 판결)의 판단 내용은 앞으로도 계속 참조할 필요가 있다.