- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 100. 개인정보의 안전성 확보조치 기준 제6조 제3항의 내용, 역사, 성격 및 적용범위
이 페이지의 첫 번째 전문가가 되어주세요!
OOO 변호사
OOO 검사
OOO 법학박사
OOO 판사
위키를 작성하면 이 곳에 프로필이 표시됩니다.
프로필은 본인 닉네임 클릭 > ‘내정보관리’에서 설정할 수 있습니다.
100.개인정보의 안전성 확보조치 기준 제6조 제3항의 내용, 역사, 성격 및 적용범위
개인정보의 안전성 확보조치 기준 제6조 제3항의 내용, 역사, 성격 및 적용범위
1. 개인정보의 안전성 확보조치 기준 제6조 제3항의 내용
개인정보의 안전성 확보조치 기준 제6조 제3항은 "개인정보처리자는 처리하는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자의 컴퓨터 및 모바일 기기 등에 조치를 하여야 한다."고 정하고 있다.
이는 과거의 고시들에서도 모두 동일하게 정하던 내용이다(아래 표 참조).
| 구 '개인정보의 안전성 확보조치 기준' (행안부고시 제2019-47호 기준) | 제6조(접근통제) ③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다. |
| 구 '개인정보의 기술적·관리적 보호조치 기준' (개보위 고시 제2021-3호 기준) | 제4조(접근통제) ⑨ 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다. |
| 현행 '개인정보의 안전성 확보조치 기준' (개보위 고시 제2023-6호 기준) | 제6조(접근통제) ③ 개인정보처리자는 처리하는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자의 컴퓨터 및 모바일 기기 등에 조치를 하여야 한다. |
2. 개인정보의 안전성 확보조치 기준 제6조 제3항의 법적 성격: 이 규정은 무효이거나 그냥 주의를 주는 규정인가?
그런데 이 규정에 대해서는 무효라거나 강제성이 없는 규정이라는 주장이 꾸준히 제기되어 왔다. 구체적으로 무슨 조치를 취해야 한다는 것인지 알 수 없다는 이유에서였다.
그러나 이러한 주장은 대법원 판례를 통해 명시적으로 배척되었다. KT 해킹사건 판결이 그것이다.
대법원은 해당 판결에서 아래와 같이 판시하였다. (참고로 아래 판시에서 '이 사건 고시 제4조 제9항'이라고 한 것은 구 '개인정보의 기술적·관리적 보호조치 기준' 제4조 제9항을 가리키는 것이다. 이는 앞서 본 것과 같이 현행 '개인정보의 안전성 확보조치 기준' 제6조 제3항과 동일한 내용을 규정한 조문이었다. 따라서 아래 판결 내용은 현행 '개인정보의 안전성 확보조치 기준' 제6조 제3항에 동일하게 적용된다.)
대법원 2021. 8. 19. 선고 2018두56404 판결 [과징금부과처분취소] 정보통신망법령의 문언, 입법 목적 및 규정 체계 등을 고려하면, 이 사건 고시 제4조 제9항에서 정보통신서비스 제공자 등의 의무로 규정하고 있는 조치는 ‘정보통신서비스 제공자 등이 취급 중인 개인정보가 인터넷 홈페이지 등에 대한 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 취하여야 할 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치’라고 해석할 수 있다. 정보통신서비스 제공자 등이 이 사건 고시 제4조 제9항에서 정한 보호조치를 다하였는지 여부는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업규모, 정보통신서비스 제공자 등이 인터넷 홈페이지 등의 설계에 반영하여 개발에 적용한 보안대책·보안기술의 내용과 실제 개발된 인터넷 홈페이지 등을 운영·관리하면서 실시한 보안기술의 적정성 검증 및 그에 따른 개선 조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹에 의한 개인정보 유출의 경우 이에 실제 사용된 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성, 정보통신서비스 제공자 등이 수집한 개인정보의 내용과 개인정보의 유출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 판단하여야 한다. |
이에 따르면, 위 고시 규정은 무효도 아니고, 이를 위반시 행정처분도 충분히 가능한 강행규정이 맞다.
3. 개인정보의 안전성 확보조치 기준 제6조 제3항의 적용 범위: 이 규정은 외부 해킹에 대해서는 적용되지 않는 규정인가?
이 규정에 대해서는, 외부 해킹에 의한 유출 사건에는 적용되지 않는다는 주장도 있었다. 오로지 내부 임직원의 부주의에 의한 유출 사고에만 적용된다는 것이다.
그러나 이 주장 역시 KT 해킹사건 대법원 판결에서 명시적으로 배척되었다. 대법원은 이 규정의 적용 범위에 대해 아래와 같이 정리하였다.
대법원 2021. 8. 19. 선고 2018두56404 판결 [과징금부과처분취소] 나. 이 사건 고시의 적용 범위 및 개인정보처리시스템의 범위 1) 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(2014. 5. 28. 법률 제12681호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라고 한다) 제28조 제1항 제2호는 “정보통신서비스 제공자 등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영의 기술적·관리적 조치를 하여야 한다.”라고 정하고 있다. 그 위임에 따른 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제15조는 제2항에서 정보통신서비스 제공자 등이 개인정보에 대한 불법적인 접근을 차단하기 위하여 하여야 할 조치로서, 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 ‘개인정보처리시스템’이라고 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행(제1호), 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지 시스템의 설치·운영(제2호), 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치(제5호) 등을 열거하면서, “방송통신위원회(경정 전 피고, 이하 ‘피고’라고 한다)는 제2항의 규정에 따른 사항을 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”라고 정하고 있다(제6항). 위 제6항의 위임에 따른 이 사건 고시 제4조 제9항은 “정보통신서비스 제공자 등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등(이하 ’인터넷 홈페이지 등‘이라고 한다)을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취하여야 한다.”라고 정하고 있다. 이처럼 이 사건 고시 제4조 제9항은 정보통신서비스 제공자 등의 내부적인 부주의로 인하여 개인정보가 외부로 유출되는 사고뿐만 아니라 정보통신서비스 제공자 등이 기술적 보호조치를 충분히 다하지 못하여 해킹과 같이 외부로부터의 불법적인 접근에 의해 개인정보가 외부로 유출되는 사고(이하 내부적 부주의 또는 외부로부터의 불법적인 접근 등으로 인한 개인정보 유출사고를 통틀어 ‘해킹 등 침해사고’라고 한다)를 방지하기 위한 목적에서 마련되었다. 2) 한편 앞서 본 관련 규정의 체계, 입법 목적에다가 구 정보통신망법 시행령 제15조 제2항 제1호, 이 사건 고시 제2조 제4호에서 모두 ‘개인정보처리시스템’을 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’으로 정의하고 있는 점 등에 비추어 볼 때, 이 사건 고시 제4조 제9항의 ‘개인정보처리시스템’은 개인정보의 생성, 기록, 저장, 검색, 이용과정 등 데이터베이스시스템(DBS) 전체를 의미하는 것으로, 데이터베이스(DB)와 연동되어 개인정보의 처리 과정에 관여하는 웹 서버 등을 포함한다고 봄이 타당하다. 3) 원심이 이 사건 고시 제4조 제9항이 해킹을 통한 개인정보 유출 방지를 직접적으로 규율하지 않고, 개인정보처리시스템에 웹 서버가 포함되지 않는다고 설시한 것은 앞서 본 이유로 부적절하다. |
