지난 2013∼2014년 고객센터 홈페이지 해킹으로 981만 명의 개인정보 1170만 건을 유출한 KT에 과징금 7000만원을 매긴 방송통신위원회의 처분은 위법하다는 법원 판결이 나왔다.
서울행정법원 행정14부(부장 홍진호)는 KT가 방송통신위원회를 상대로 “과징금 부과 처분을 취소해달라”며 낸 소송에서 KT 승소로 판결했다고 25일 밝혔다.
재판부는 “KT는 해커 공격에 대비해 침입탐지방지 시스템을 운영하고 상시로 모의 해킹을 수행하는 등 보호 조치 기준을 적절히 이행했다”며 “(당시 해킹 수법인) 파라미터 변조 수법이 널리 알려졌기는 하나 방식에서는 무수한 패턴이 있어 해킹 공격에 대비하기 어려웠다”고 밝혔다.
해커 일당과 텔레마케팅 업체는 2013년 8월∼2014년 2월 마이올레 홈페이지를 해킹한 뒤 이름ㆍ주민등록번호ㆍ신용카드번호 등 1170만 건의 고객 개인정보를 빼냈다.
방통위는 2014년 6월 “KT가 개인정보 보호 조치를 충분히 하지 않았다”며 과징금 7000만원과 과태료 1500만원을 물렸다.
해커가 공격 때 사용한 파라미터 변조는 널리 알려진 수법인데도 제대로 막지 못했고, 특정 IP에서 하루 최대 34만 건의 개인정보를 조회했지만 차단하지 못했다는 이유에서였다. ‘파라미터(parameter)‘는 함수와 함수 사이의 관계를 증명해 이어주는 변수다. 이를 변조하면 인증과정을 넘어갈 수 있다. 또 2012년 7월에도 해킹 사고로 KT에서 870만 명의 고객정보를 유출됐던 경력도 고려됐다.
’솜방망이 처분‘이라는 비판도 있었지만 방통위가 개인정보 유출 책임을 물어 대형 사업장에 과징금을 부과한 첫 사례라 주목을 받았다. 그러나 KT는 불복했다. 김앤장까지 동원하며 소송을 냈다.
법원은 KT의 손을 들어줬다.
재판부는 “마이올레 홈페이지 하루 접속 건수가 3300만여 건에 이른다. 해커 접속(34만 건)은 1% 미만이어서 이상 행위를 탐지하기 어려웠다”고 판단했다. 해킹 발생 당시 방통위의 개인정보 보호조치 기준이 구체화하지 않았다는 점도 지적했다.
KT는 “법원 판단을 존중하고 앞으로 개인정보 유출 사고가 일어나지 않도록 정보 보안을 강화하겠다”고 밝혔다.
이철재 기자 seajay@joongang.co.kr
