정답은 1번.아롱이: 2012년 당시 상황으로 봤을 때는 별도의 인증서버를 둔 A통신사의 시스템 자체가 불완전하다고 할 수 없고, 인증서버의 접근기록을 확인·감독했으므로 개인정보 처리 내역 등에 관한 확인·감독을 게을리 하지도 않았어. 따라서 A통신사에게는 책임이 없어. 입니다.

정답은 “아롱이: 2012년 당시 상황으로 봤을 때는 별도의 인증서버를 둔 A통신사의 시스템 자체가 불완전하다고 할 수 없고, 인증서버의 접근기록을 확인·감독했으므로 개인정보 처리 내역 등에 관한 확인·감독을 게을리 하지도 않았어. 따라서 A통신사에게는 책임이 없어.”입니다.

A통신사는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무가 있습니다(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제28조제1항).

법원은 A통신사가 위와 같은 법률상 의무를 위반하였는지는 해킹 등 침해사고 당시 일반적으로 알려져 있는 정보보안기술 수준, 정보통신서비스 제공자의 업종과 영업 규모, 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안조치에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술 수준과 정보보안기술 발전 정도에 따른 피해 발생 회피 가능성, A통신사가 수집한 개인정보의 내용과 개인정보 누출로 인하여 이용자가 입게 되는 피해 정도 등의 사정을 고려하여, A통신사가 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 등을 종합하여 판단해야 합니다.

이에 따라 별도의 인증서버를 둔 A통신사의 접근통제시스템 자체가 불안전하다거나 개인정보 등 송수신시 암호화의무를 위반하였다고 볼 수 없고, (적어도 국내에서는 인증서버 우회방식의 해킹이 성공한 적이 없는 상황에서) A가 인증서버에 저장된 접속기록을 확인·감독한 이상 개인정보처리시스템의 개인정보 처리 내역 등에 관한 확인·감독을 게을리했다고 할 수 없다고 판단하였습니다(대법원 2018. 12. 28. 선고 2017다207994 판결).

이 판결은 정보통신서비스 제공자가 개인정보보호를 위한 법률상 또는 계약상 의무를 위반하였는지를 판단할 때에는, 해킹으로 인한 침해사고의 경우 당시 일반적으로 알려져 있는 정보보안 기술 수준, 정보통신서비스 제공자가취하고 있던 전체적인 보안조치의 내용, 해킹기술 수준과 정보보안기술 발전 정도에 따른 피해 발생 회피 가능성 등을 종합적으로 고려하여야 한다는 것을 다시 한 번 확인한 판결이라 할 수 있습니다.