민후칼럼

[김경환 변호사의 IT법]<37>기술적 보호조치 의무를 위반한 CSO, CEO는 형사처벌이 되는가

2022-08-22

매체 : 전자신문 컬럼작성자 : 김경환 변호사 기사바로보기

김경환 법무법인 민후 변호사는 전자신문에 ''기술적 보호조치 위반에 따른 업무책임자의 형사처벌 가능성'을 주제로 기고했습니다.

 

CSO(Chief Security Officer), CPO(Chief Privacy Officer) 등 정보보호 업무의 책임자가 기술적 보호조치 흠결로 형사적 책임을 부담하는 것이 정당한가에 대한 논란이 있어 왔습니다.

 

정보보호 업무의 책임자들이 고의로 고객 개인정보 등을 유출한 것이 아님에도 발생한 사고에 대하여 형사상 책임을 부과하는 것이 과도하다는 점과 업무 책임자에 대한 형사 책임이 인정될 경우, 양벌규정에 의해 기업·CEO의 형사상 책임으로 이어질 수 있다는 지적이 제기되고 있는 것입니다.

 

위와 같은 보호조치 위반에 대한 기업·CEO에 대한 형사처벌의 당위성을 다투는 경우가 실제로도 발생하고 있습니다.

 

국내의 한 여행사는 불상의 해커로 인해 고객 정보 수만 건을 탈취당했습니다. 해커는 여행사의 중앙관리프로그램에 침투, DB 관리자의 업무용 PC에 악성 프로그램을 유포한 뒤, 관리자의 비밀번호 등을 확보하여 개인정보를 탈취했습니다.

 

해당 여행사의 CSOCEO(피고인들)는 기술적 보호조치 중 비밀번호 암호화 조치 의무 및 외부 접속 시 안전한 인증수단 조치 의무를 다하지 않았다는 이유로 정보통신망법 위반 혐의로 기소되었습니다.

 

사건에서 피고인들은 비밀번호 암호화 조치 의무 등을 다하였다는 점과 행위에 고의가 없었음을 주장하며 혐의에 대응하였으나, 법원은 피고인들의 주장을 기각하며, 개인정보 유출 결과에 대한 업무 책임자의 법적 책임을 인정하였습니다.

 

법무법인 민후 김경환 대표변호사는 기고를 통해 기술적 보호조치 의무를 게을리한 업무 책임자(CSO, CEO)에 대한 형사상 처벌 가능성이 있음을 법원 판례를 통해 자세히 설명하며, CEO 등 경영자의 개인정보 보호 및 정보보안에 대한 관심이 높아져야 한다는 의견을 밝혔습니다.

 

해당 기고 전문은 바로가기 링크를 통해 확인할 수 있습니다.