옥션 해킹사고 판결문 원문

invalid-file

정보가 모조리 다 빠져나가 나도 소송에 참여한 1인으로서...
부산의 '법률사무소 정률'을 통해 소송에 참여했었고, 패소 판결을 통지받았다. 뭐.. 2년간 5천원 들었다는 것... 그걸로 변호사가 참 고생 많이 했다는 것... 그것뿐이다.

아래 내용은 원문의 요약문이다.('법률사무소 정률'의 우굉필 변호사 요약)
-----------------------------------------------
반갑습니다.
먼저, 옥션 소송이 원고들의 성원과 기대와는 달리 재판부는 옥션측의 손을 들어 주어 당 사무소는 원고의 한 사람으로서 매우 유감스럽습니다.

판결문이 길어 저희 사무실에서 원고들의 이해를 조금이나마 돕기 위하여 판결문의 핵심내용을 요약하였습니다.

먼저 옥션에 대한 청구부분을 보면,

1. 웹방화벽 미설치 주장에 대한 판단

피고 옥션이 해킹사고 당시 이노믹스 서버를 비롯한 피고 오션의 웹서버에 웹 방화벽을 설치하지 않은 사실은 원고와 피고들 사이에 다툼이 없기는 하나, 웹 방화벽은 웹서버로 향하는 모든 트래픽 중 유해 트래픽을 사전에 차단하는 제품으로서 이를 위해서는 애플리케이션 단계까지 트래픽을 일일이 조사해야 하는등 웹 방화벽을 사용하는 경우 웹 서버에 과도한 트래픽이 발생하여 인터넷 사이트를 운영하는 데 대용량 트래픽이 발생하는 전자 상거래업체인 피고 옥션으로서는 이 사건 해킹사고 당시 기술적 문제로 인하여 웹방화벽을 도입하는 것이 현실적으로 어려웠던 것으로 보이며, 웹방화벽 역시 다른 보안제품과 마찬가지로 공격 유형에 대한 다양한 정책을 만들고 이를 통하여 유해 트래픽을 차단하므로 정책에서 미처 예상하지 못한 유해트래픽이 오는 경우에는 이를 차단하기 어려우며, 위 웹 방화벽은 시스템의 특성 등을 고려하여 도입여부가 결정되는 선택적 보안 조치의 하나에 불과하고 관련법령상으로도 웹 방화벽의 설치가 의무화 되지 않았고, 웹서버에 웹방화벽을 설치하더라도 웹 서버에 대한 해킹이 불가능한 것은 아니고 다만 일반 방화벽만 설치되어 있는 경우보다 해킹이 어려울 뿐이며, 이 사건 해킹 사고가 피고 옥션이 웹 방화벽을 설치하지 않아 발생하였다고 단정하기 어렵다고 판단을 하였으며,

피고 옥션은 이 사건 해킹 사고 당시 웹방화벽을 대신할 수 있는 다수의 보안 조치를 취하고 있었으며, 사단법인 한국침해사고대응팀협의회가 실시한 웹방화벽 도입 및 활용에 대한 실태조사 결과보고서에 의하면 2009. 12. 10.자를 기준으로 종합포털, 오픈마켓, 종합쇼핑몰, 게임포털업체등 모두 12개 정보통신서비스 업체 중 11개 업체 및 8개의 금융기관 중 7개 기관은 주로 웹방화벽의 기능 또는 성능을 신뢰하지 않아 웹 방화벽을 도입하지 않고 있으며, 피고 옥션은 이 사건 해킹 사고 당시 웹 방화벽을 도입하는 대신 웹서버에 대한 보안 대책으로 화이트햇스캐너를 통한 웹 취약점 점검 및 제거, 서버운영체제에 대한 보안 프로그램의 지속적인 업데이트, 코드작성단계에서 웹애플리케이션의 취약점을 사전에 방지하는 필터의 작성, 피고 옥션의 ‘NOC센터에서 보안관제시스템을 통한 24시간 실시간 감시등을 실시하고 있는 인정사실에 의하여 여러사정을 종합적으로 고려하면 피고 옥션이 이 사건 해킹 사고 당시 이노믹스 서버를 비롯한 피고 옥션의 웹서버에 웹 방화벽을 설치하지 않았다고 하더라도 피고 옥션에게 그로 인한 주의 의무위반이 있다고 할 수 없고, 달리 피고 옥션의 주의의무 위반 사실을 인정할 만한 증거가 없다고 판단을 하였습니다.

2. 이 사건 해킹 사고 부적절 대응 주장에 대한 판단은

피고 옥션은 2008. 1. 3.경 이 사건 사이트에 대한 이상징후를 발견한 이후부터 해킹이 완료된 이후인 2008. 1. 14.경 까지 피고 옥션이 자체적으로 수립하고 있었던 침해사고 대응 절차에 따라 피고 인포섹의 침해보고 등을 토대로 로그 및 장비 이상 유무의 점검, 악성코드의 삭제, ARP spoofing의 차단, 이노믹스 서버의 점검, TCP 80포트의 차단, 데이터베이스 서버 침해여부 점검 등의 대응 조치를 취한 것으로 보이며,

일반적으로 악성코드는 여러경로를 통해 서버에 올려지거나 생성되므로 악성코드가 발견되었다는 사실만으로 서버에 대한 해킹의 징후라고 단정하기 어렵고 웹쉘(공격자가 원격으로 해킹대상 웹서버에 명령을 수행할 수 있도록 작성된 웹스크립트 파일)에 시스템 관리자의 아이디와 비밀번호를 탈취하는 기능이 있다 하더라도 모든 웹쉘이 그러한 것이라고 단정하기 어려우며 서버별로 비밀번호가 별도로 설정되고 시스템에 따라 비밀번호가 연동하는 특성상 수십대의 데이터베이스 서버를 운영하고 있는 피고 옥션이 악성코드나 웹셀을 발견하는 즉시 해킹이 발생할 수 있다는 가능성만으로 데이터베이스 서버 관리자의 비밀번호를 변경하기는 어려우며,

또한 위 웹쉘은 해킹사고당시 기준으로 널리 사용되는 백신프로그램인 맥아피나 시멘텐사의 노턴, 안철수 연구소의 V3로 탐지할 수 없어 피고 옥션이 그로인한 실시간 탐지를 못한 것에 대해 어떠한 과실이 있다고 보기는 어렵고, 해커가 사용한 것으로 추정되는 ARP spoofing기법을 방어하기 위해서는 ARP테이블 설정을 다이나믹 모드에서 스태틱 모드로 변경하면 되나 이는 소규모 기업에 적당한 대응기술로 서로 연동하는 수백대의 서버를 운용하고 있는 옥션에게는 사용하기 어려웠던 것으로 보여 그러한 변경조치를 하지 않은 옥션의 과실로 보기도 어렵다고 판단을 하였습니다.

또한 이처럼 해커가 사용한 것으로 추정되는 포트 포워딩, ARP spoofing기법은 고급의 해킹 기법으로 사건 6개월전인 2007. 8. 10. 이미 서버거점을 마련한 다음 6개월 동안 꾸준히 치밀하게 사전작업을 거친 지능적인 해커에 의해 수백대의 웹 서버와 수십대의 데이터베이스 서버를 운용하는 등 복잡한 시스템을 보유하고 있던 피고 옥션으로서는 이 사건 해킹사고 당시 관련 법령이 정보통신서비스 제공자에게 요구하고 있는 기술적 관리적 보안조치의 내용과 이에 따라 피고 옥션이 취한 보안 조취의 내용과 수준, 해킹 방지 기술의 발전 정도, 해킹 방지 기술 도입을 위한 경제적인 효용등에 비추어 볼 때 피고 옥션이 이 사고를 근본적으로 방지하기는 쉽지 않았던 것으로 보인다 할 것이다. 이를 종합적으로 고려하면 피고 옥션이 2008. 1. 4경 이노믹스 서버에 설치된 악성코드를 발견한 다음 수행한 대응조취에 어떠한 주의의무 위반이 있었다고 할 수 없고, 달리 피고 옥션이 이 사건 해킹사고 당시 적절한 대응 조치를 취하지 않아 이사건 해킹사고를 막지 못하였다는 점을 인정할 만한 증거가 없어 원고들의 주장을 받아들이지 않았습니다.

3. 기타 정보보호 조치에 관한 주의의무 위반 주장에 대한 판단

피고 옥션은 이사건 해킹사고 당시 앞서 설명한 웹 관련 보안조치 이외에 정보통신망법상의 개인정보 보호를 위한 조치, 외부에서 접근할 필요가 있는 이노믹스 서버에 대한 배송업체상담원들과 옥션회원들의 접근할 수 있는 사용자 목록과 접근할 수 있는 인터넷 주소를 사전에 정의하여 포함되지 않는 사용자나 인터넷 주소의 접근을 불허하고, 서버에 대한 인증 및 접근시스템을 도입하여 비인가자의 접근을 차단하였으며 보안전담 부서등을 운용하여 정보보호 업무를 하였다. 이처럼 피고 옥션은 이 해킹 사고 당시 피고 옥션의 이용약관 및 정보통신망법 등에서 요구하는 각종 기술적, 관리적 정보보호 조치의 이행, 그 밖에 피고 옥션 내부의 정보보호정책 및 관리지침에 따른 보안 조치 등 다양한 방식의 해킹 방지 조치를 이행하고 있었던 점과 상당한 수준의 해킹기술을 보유한 지능적인 해커에 의해 발생한 이사건은 피고 옥션의 이용약관 및 정보통신망법 등에서 규정하고 있는 정보보호 조치 의무를 다하지 않아 이사건 해킹 사고를 예방하지 못하였다고 할 수 없고, 달리 피고 옥션이 이사건 해킹사고 당시 적절한 예방 및 대응 조치를 위하지 않아 이사건 해킹 사고를 막지 못하였다는 점을 인정할 만한 증거가 없다. 이처럼 위의 사정들을 종합하여 보면 피고 옥션이 정보통신망법 제 28조에 따른 개인정보 보호를 위한 기술적, 관리적 조치를 다한 사실이 있으므로 원고들의 손해배상 주장에 대해서도 이유없다고 판단을 하였습니다.

4. 피고 인포섹에 대한 청구에 관한 판단

피고 인포섹은 이 사건 해킹 사고 당시 엘지데이콤과 체결한 계약 및 엘지데이콤과 피고 옥션간의 계약에 따라 네트워크를 기반으로 하는 침입 차단 및 침입탐지 서비스의 제공, 보안 취약점의 진단 등의 보안 관제 업무를 담당하고 있었으며 이 사건 해킹 사고 당시 침입탐지 및 침입차단 시스템의 운용, 침해 위협 상황 전파, 침입탐지 및 침입차단 시스템의 로그 분석, 탐지 이벤트에 대한 IP차단, 웹쉘탐지, 장애 및 침해사고 분석 보고서 제공 등 합리적인 조치를 취하였던 것으로 보이며 이 사건 해킹 사고가 피고 인포섹이 담당하고 있던 보안관제 업무 범위 내에서 발생하였다고 단정할 수 없으므로 원고들의 피고 인포섹에 대한 청구를 기각하였습니다.

1심 법원은 위와 같은 이유로 이번 사건의 옥션과 인포섹의 과실을 인정하지 아니하여 옥션측의 손을 들어 주었습니다.