[로리더] 국내 유명 채용정보 사이트 ‘인크루트’가 해킹을 당해 이용자 3만 5076명의 개인정보가 유출된 사고에 대해 개인정보보호위원회가 부과한 7060만원의 과징금 처분은 적법하다는 법원 판결이 나왔다.
서울행정법원 판결문에 따르면 채용정보를 제공하는 온라인 사이트 인크루트는 이용자 889만명의 개인정보를 수집해 보관했다. 그런데 2020년 9월 해커의 공격으로 3만 5076명에 대한 이력서 등 개인정보를 열람했다.
이에 개인정보보호위원회는 인크루트의 신고를 받은 후 법 위반 여부를 조사한 다음, “인크루트가 개인정보의 기술적ㆍ관리적 보호조치 기준을 위반했다”고 봐 2023년 8월 인크루트에 과징금 7060만원을 부과했다.
그러자 인크루트는 “과징금 처분은 위법해 취소돼야 한다”며 소송을 냈다.
먼저 처분 사유가 존재하지 않는다고 했다. 인크루트는 “침입탐지시스템 및 침입방지시스템을 설치 운영하고 있었고, 자체 모니터링시스템도 구축해 운영하는 등 보호조치 기준 의무를 준수했다”며 “사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 모두 이행했다”고 밝혔다.
그러면서 “이 사고는 인크루트의 안전조치의무 위반이 아니라, 여러 사이트에 동일한 아이디와 비밀번호를 사용한 이용자의 부주의로 인해 발생했다”고 주장했다.
인크루트는 또 “부과된 과징금이 지나치게 가혹해 비례의 원칙이나 평등의 원칙에 반해 재량권을 일탈ㆍ남용한 위법이 있다”고 주장했다.
◆ 서울행정법원, 인크루트가 낸 과징금 부과처분 취소 소송 패소 판결
하지만 서울행정법원 제4부(재판장 김영민 부장판사)는 지난 3월 28일 인크루트가 개인정보보호위원회를 상대로 낸 과징금부과처분취소 소송에서 “원고의 청구를 기각한다”며 인크루트에 패소 판결했다.
개인정보보호법의 보호조치 기준 조항이 정한 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 및 침입탐지시스템의 운영 및 기타 접근 통제 조치를 이행하지 않았음이 인정돼, 인크루트의 주장은 받아들이지 않는다고 하면서다.
재판부는 “원고는 HTTPS 방식의 웹에서 서비스를 제공하면서도, 복호화 기능이 없거나 복호화 설정이 돼 있지 않은 IDS를 설치 운영했다. 복호화 설정이 돼 있지 않은 IDS는 이 사건 사이트에 대한 암호화된 통신을 통한 공격을 탐지하기 어렵다”고 짚었다.
재판부는 “사고 당시 217만 9,561회에 달하는 로그인 시도에 이용된 IP 주소는 중국 IP 3개, 국내 IP 4개로 총 7개에 불과하고, 해커는 위 7개의 IP 주소별로 적게는 4,776회, 많게는 122만 2,845회 로그인을 시도했으며, 이를 분당 크리덴셜 스터핑 공격 건수로 계산하면 1회에서 많게는 5,062회까지, 분당 평균 2,555회 로그인 시도가 이루어졌다”며 “그럼에도 원고가 사고 당시 운영한 침입탐지시스템(IDS)는 위와 같은 비정상적인 로그인 시도를 탐지하지 못했다”고 지적했다.
인크루트는 2020년 9월 30일 7시경 사고에 관한 이상징후를 최초로 탐지하고, 로그기록을 통해 원인을 분석하던 중 같은 날 7:24경 휴면 상태가 해제되었다는 이용자의 이메일을 받았다는 취지로 주장했다.
그러나 재판부는 “원고는 같은 날 9:45경에야 다수의 로그인을 시도한 IP를 확인해 방화벽에서 차단 조치를 했는데, 원고 주장과 같이 이용자의 이메일을 받기 이전에 원고가 사고를 인지했다거나 이용자의 개인정보 보호를 위해 IP 차단 등의 조치를 취했다고 인정할 구체적인 자료가 없으므로, 원고의 주장은 받아들이기 어렵다”고 지적했다.
재판부는 또 “원고가 사고 당시 운영한 침입방지시스템(IPS)은 무차별 대입 공격에 대한 탐지 기준이 만족되어야 이를 차단할 수 있는데, 위 시스템은 사고 당시 해커의 공격을 탐지 또는 차단하지 못했다”며 “인크루트의 침입방지시스템은 사고 당시 크리덴셜 스터핑 방식을 포함한 무차별 대입 방식의 공격을 사실상 허용하는 형태로 운영됐다”고 짚었다.
그러면서 재판부는 “이 사고는 인크루트가 운영한 침입탐지시스템 및 침입방지시스템이 비정상적인 접속 시도에 대해 충분히 탐지 및 차단 기능을 하지 못해 발생한 것으로 보이는 점, 인크루트는 이용자의 이메일을 받고 난 이후에야 사고를 인지했던 것으로 보이는 점, 인크루트가 사고가 발생한 이후 얼마 지나지 않아 동일 IP에서 로그인 시도 횟수를 제한하는 정책 및 휴면계정을 해제하기 위해 비밀번호 입력 외에 추가적인 인증을 요구하는 정책을 적용했고, 이러한 조치는 사고 이전에도 충분히 가능했던 점 등을 고려하면, 인크루트가 사고 당시 사이트에서 수집ㆍ보관하는 개인정보에 대해 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했다고 할 수 없다”고 판단했다.
◆ “인크루트가 7069만원 과징금 부담할 능력이 현저히 부족하다고 보이지 않는다”
한편, 과징금 규모에 대해 재판부는 “인크루트의 2020년 기준 전체 매출액은 약 200억원, 당기순이익은 약 23억원인 사실이 인정되는바, 인크루트가 약 7000만원의 과징금을 부담할 능력이 현저히 부족하다고 보이지 않는다”고 봤다.
재판부는 “이 사고로 인해 인크루트가 사이트를 통해 보유ㆍ관리하던 3만 5,076명의 개인정보가 유출됐다. 유출된 개인정보는 사이트 이용자들의 이력서 내용으로, 구체적으로 사진, 이름, 생년월일, 성별, 연락처, 이메일, 주소, 학력사항 등 중요한 개인정보를 포함하고 있다”고 밝혔다.
재판부는 또 “개인정보위원회는 인크루트가 조사에 적극 협력한 점, 개인정보 유출 사실을 자진 신고한 점 등을 이미 고려해 필수적 가중·감경을 거친 금액의 20%에 해당하는 금액을 감경했다”는 점을 밝히며, “그렇다면 원고의 청구는 이유없어 기각하기로 판결한다”고 판시했다.
원고 패소 판결에 대해 인크루트가 항소하지 않아, 이 판결은 지난 4월 19일 확정됐다.
[로리더 신종철 기자 sky@lawleader.co.kr]