약 7년 전 해커 공격으로 1170만건의 개인정보를 유출한 KT가 방송통신위원회이 부과한 과징금 7000만원을 취소해달라고 낸 소송에서 최종 승소했다. 해킹을 방지하기 위해 할 수 있는 조치를 취했다는 것이다.

대법원 3부(주심 안철상 대법관)는 KT가 방송통신위를 상대로 낸 과징금 부과처분 취소 소송 상고심에서 원고 승소로 판결한 원심을 확정했다고 13일 밝혔다.

2013년 8월부터 2014년 2월까지 KT가 운영하던 마이올레 홈페이지 이용자 980만명의 개인정보 1170여만건이 해커 공격으로 유출됐다. 또 다른 해커는 8만3246건의 개인정보를 추가로 유출했다.

이에 방송통신위원회는 KT가 방통위 고시 ‘개인정보의 기술적·관리적 보호조치 기준’을 위반했다며 7000만원의 과징금을 부과했다. 특정 IP주소에서 하루 최대 수십만건의 개인정보 조회가 이뤄졌는데도 비정상적인 접근을 탐지·차단하지 못했고, 사내 네트워크에서 인가받은 자가 접근할 수 있는 웹페이지에 해커가 외부 네트워크로 접속했는데도 탐지·차단하지 못했다는 것이다. KT는 탐지·차단 기능을 갖춘 시스템을 제대로 설치해 운영했고, 개인정보 유출을 방지할 수 있는 필요하고 적절한 조치를 취했으니 과징금 부과는 부당하다고 소송을 냈다.

1·2심은 KT가 외부 보안전문가를 통해 모의해킹을 수시로 수행해 보안 상태를 점검하는 등 현실적인 조치를 취했다며 과징금 7000만원 부과 처분을 취소했다.

1심은 “방통위 고시 사항은 일반적인 이용자의 보편적 접근을 통해 개인정보가 유출되지 않도록 조치하라는 규정이고, 해킹의 경우를 직접적으로 규율하기 위한 규정이 아니”라며 “해커에게 개인정보를 노출한 것에 대해 KT 측의 잘못이 있다고 단정하기 어렵다”고 판단했다.

2심도 “네트워크나 시스템 및 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어 이른바 ‘해커’ 등의 불법적인 침입 행위에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않은 특수한 사정이 있다”고 봤다. 대법원은 원심을 확정했다.