비영리의 목적으로 개인정보를 수집했을 때의 책임과 개인정보로서의 사진

 

 

< 주 의 >

- 포스팅 내용은 일부 주관성, 각색이 첨부될 수 있으며, 법리의 오해가 있을 수 있습니다.

- 재판은 사실관계에 따라 제시된 판례와 다른 결과가 나올 수 있으며, 참고만 할 뿐 자세한 사항은 변호사와 상담하길 권장합니다.

- 본 블로그는 예상하지 못한 상황에 대하여 책임을 지지 않습니다.

 

 

 

 

 

ㅣ서울고법 2008.11.25. 선고 2008나25888 ~

 

 

 

 

기업의 입사지원 목적(비영리)으로 개설한 입사지원사이트에 지원자 등이 개인정보를 입력한 사건에서

기업의 부주의&외부 공격으로 개인정보가 공개되었을 때, 기업에게 손해배상의 책임이 있는가?

 

 

 

ㅣ정보통신서비스제공자 여부와 개인정보로서의 사진 인정 여부

 

 

 

 

 

 

모든 인간들은 헌법 17조에 의해 사생활은 물론

자신에 대한 모든 정보를 자율적으로 통제할 권리를 가진다.

 

 

 

 

이런 인간의 가장 중요하고 기본적인 기본권과 관계된 법은 사회권과는 달리

구체적인 하위 법률이나 관련법이 없어도 헌법에 의해 법률관계에 영향을 끼친다.

 

 

 

 

그런데 정보통신발달의 가속화와 더불어 개인정보의 침해 사례가 빈번해지고

빈번해진 사례는 사람들의 안전불감증으로 이어졌다.

 

 

 

 

더욱이 일부 소송의 경우 개인정보침해 피해자들이 패소하는 사건이 생기기도 해

일부 일반적인 사람들은 개인정보침해는 구제받지 못한다고 생각할 지경이 되었다.

 

 

 

 

 

빅데이터, 사물인터넷이 점점 보편화되고

기술이 진일보하며 어쩌면 언젠가는 개인정보가 무시되는 사회가 될 수 있다.

하지만 그런 극단적인 상황이 오기 전까지는 개인정보침해를 예방하고 막기위해 노력함은 당연하다.

 

 

 

 

이와 관련된 개인정보 보안과 보호를 위한 기업의 책임과 관련된 판례다.

2006년 엘지전자는 매년 그렇듯 공개채용을 진행했다.

 

 

 

매년 그렇듯 수많은 지원자가 지원하고

수 많은 탈락자가 발생했다.

 

서류발표 당일 저녁. 불합격자 한 명이 취업정보사이트에 글^[각주:1]을 올렸다.

"LG의 지원서는 누구나 열람할 수 있다."라는 제목의 게시물은

"LG떨어진 기념으로 만들어봤다"는 서두의 글과 함께

누구나 클릭 한 번으로 지원서를 볼 수 있는 글쓴이가 만든 링크파일을 첨부했다.

 

 

 

그 링크파일은 클릭하게 되면 50명의 기준으로 사진이 정렬되고 '다음' 버튼을 누르면

계속해서 또 다음의 50명의 사진이 뜨는 식으로 전체 지원자 약 2만명의 정보를 볼 수 있었다.

 

또한 사진을 클릭하게 되면 성명, 주민등록번호, 주소와 같은 기본인적사항을 제외^[각주:2]한

대학교, 학점 등의 상세인적사항과 자기소개서, 경력 등의 정보를 볼 수 있었다.

 

 

 

의외로 정보를 빼낸 방법은 단순했는데

지원서작성 페이지는 기본적으로 주소(URL)이 보이지 않는데

새창 띄우기(crt + N)으로 지원서 페이지의 주소(URL)가 노출된 것.

 

위의 탈락자는 노출된 자신의 고유 주소를 기반으로 다른 숫자를 입력해 보았고

나열된 숫자만 다른, 다른 지원자의 지원정보에 접근할 수 있었다.

그리고 그것을 손쉽게 클릭으로 확인할 수 있는 프로그램화해서 링크파일을 만들었다.

 

 

(사진 : ilyosisa.co.kr)

 

엘지다운 허술한 보안체계였고, 당시 채용사이트의 웹서버는

비정상적인 접속이 있을 경우 차단이 아니라 접속을 허용했고 단지 접속 기록만을 남기는 시스템이었다.

 

더더욱 개인정보침해 사건의 진상을 확인한 것은 보안팀이 아니라

취업사이트를 모니터링하던 인사팀에 의해 보안팀으로 알려졌다. 직무유기아닙니까?

 

 

(사진 : 연합뉴스)

 

급히 서버를 내리고 사과문을 올렸지만

이미 671개의 IP에 의해 3천여명 분의 개인정보가 열람되었고,

구체적 등록정보를 열람 당한 31명을 주축 원고로 소송이 진행되었다.

 

 

 

 

엘지의 채용목적으로의 개인정보 수집은 그 목적과 사용이

영리를 목적으로 하는 '전기통신기본법'상 '정보통신서비스제공자'나 '준용 사업자'가 아니었기에

 

 

 

 

'정통망법'에 의해서가 아니라 '구 공공기관정보보호법' 9조 1항과 

제22항의 '공공기관 외의 단체'의 준용 규정이 당시 근거했다.

 

어찌되었건 정통망법에 의해서나 '구 공공기관정보보호법'에 의해서나

어떤 목적에서든 개인정보를 수집하고 관리하는 주체는 그 보안의 유지에 대한 의무가 있다는 것과

그 의무를 피할 수 없다는 것이고

 

 입사지원자들의 개인정보가 목적에 반하여 유출되거나 훼손되지 않도록

당시 사회 기술수준에 부합하는 최선의 보안조치를 해야 할 의무가 있다는 것이다. 

 

 

 

당시 피고인 엘지전자는 보안의무에 대하여

 

1. 간단한 조작으로 유출된 URL 및 단순한 패턴의 URL

2. 웹방화벽의 미설치 및 비정상 침입에 대한 사후 모니터링이 없었던 것

3. 다른 대기업 입사지원 사이트에서는 이런 행위가 보안시스템에 의해 막힌 것.

 

등에 의해 당시 가능한 모든 기술로 보안의 의무를 다하지 않하여

불법행위책임이 인정되었다.

 

 

 

 

그러자 엘지전자에서는 사진만으로는 개인의 식별이 불가능하고

이는 개인정보침해가 아니라는 취지의 주장을 하였으나 이에 대하여 법원은 다음과 같이 말했다.

 

 

 

 

 

"화상(얼굴)은 가장 오래되고 가장 확실한 개인 식별 수단으로, 당해 정보로 인해 개인을 식별할

가능성만 있으면 충분하며, 구체적으로 특정할 것을 필요하지 않는다. "

 

즉 성명이나 주민등록번호가 없이 사진만으로도 개인 식별수단이되며,

실제 누구인지 알 정도의 특정이 아닌

개인을 식별할 가능성만으로도 충분하다는 것이다.

 

 

 

 

 

결국 개인정보에 대한 보안의무 부주의 자체는 인정되었으나

여러 반성과 나름의 보안에 대한 정상참작이 이루어져 최종 결정난 위자료 금액은

각 원고에 대해 300,000원 ^[각주:3]지급이었다. (원고가 31명이니 전체 약 천만원, 차비 빼면..)

 

 

일단 개인정보침해로 하여금 직접적인 2차적 피해가 없었고, 비영리 목적이었으며

유출된 개인정보를 이용한 불법적인 용도에 대한 인과관계 증명이 ^[각주:4]어려웠기에 많이 경감된 금액이었다.

 

 

 

 

 

 

결과적으로

개인정보침해 사건에 대해서 쟁점으로 가장 중요한 것은 해킹을 당한 기업이

평소에 얼마나 보안에 신경을 썼고,

해킹 직후 고객의 피해를 줄이기 위해 적절한 대응을 했느냐에 따라

위자료 금액, 승소와 패소가 결정된다.

 

경우에 따라서 개인정보침해는 인정되어도 2차적인 구체적 피해가 입증되지 않는다면

피해자는 전혀 구제를 받지 못할 수 있다.

 

어느 정도 납득이 가긴 하지만 현재 사회에 개인정보유출로 인한

보이스피싱을 비롯한 사회문제가 심각하고 만연하게 발생하는 상황에서

이를 직접적인 인과관계 입증이 되지 못한다고 그냥저냥 넘기기에는

이런 '입증되지 못한 인과관계로' 발생하는 피해가 심각하다.

 

ㅣ3줄 요약

 

1. 개인정보 취급자는 어떤 상황에서든 개인정보 보안에 충실할 의무가 주어지고

2. 부가적 정보 없는 사진 한 장도 개인정보에 포함된다.

3. 보안이 완벽했다면 면책받을 수 있다.

 

 

 

 

1. 조회수 3,056회 [본문으로]
2. 기본인적사항은 따로 보안처리되어 볼 수 없었다. [본문으로]
3. 1심에서 원고들은 정신적 피해에 대한 위자료로 20,000,000을 청구했다. [본문으로]
4. 원고는 사건 직후 스팸메일이 늘었다고 주장했으나 입증되지 못했다. [본문으로]