삼성전자가 개인정보 유출 사건과 관련해 개인정보보호위원회(개보위)로부터 받은 제재를 취소해달라며 낸 소송에서 패소했다.

25일 법조계에 따르면 서울행정법원 합의2부(고은설 부장판사)는 이달 6일 삼성전자가 개보위를 상대로 낸 시정명령 및 과징금 납부명령 취소소송에서 원고 패소 판결했다.

법원에 따르면 2019년 말 배우 주진모 등 연예인들의 스마트폰을 상대로 해킹 및 사생활 협박 사건이 벌어지자, 삼성전자는 일부 사용자의 계정이 외부에서 유출된 뒤 도용된 것으로 보고 2020년 1월부터 이듬해 5월까지 총 6차례에 걸쳐 개보위에 개인정보 유출신고를 했다.

이에 따르면 삼성계정이 연관된 1차 신고사건(2020년 4월)에서 26명의 이름 생년월일이, 삼성클라우드가 연관된 2차 신고사건(2020년 5월)에서 76개 계정의 사진·동영상 등이, 삼성닷컴 온라인스토어가 연관된 3차 신고사건(2021년 5월)에서 19명의 이름 주소 휴대전화번호 등이 유출됐다.

개보위는 2023년 6월 삼성전자를 상대로 시정조치를 명하고 과징금 8억7500여만원, 과태료 1400만원을 부과했다. 사유는 △개인정보에 대한 접근통제를 위한 필요조치를 소홀히 했다 △계정도용 등으로 로그인에 성공한 것으로 의심되는 계정에 대해 개인정보 유출 여부 등을 분석하지 않았다 △시스템 기능 수정 작업시 로그인 여부를 확인하는 로직을 누락하는 등 개인정보에 대한 접근통제를 위해 필요한 조치를 소홀히 했다 등이었다.

그러자 삼성전자는 개보위 제재에 불복해 행정소송을 제기했다. 삼성측은 “2차 신고사건의 경우 신원미상의 자가 이미 획득한 계정정보를 이용해 삼성클라우드에 정상적으로 로그인해 발생한 사건으로, 신원미상의 자가 정상이용자인지 여부를 확인해 사전 차단하는 게 불가능했다” “2차 신고사건을 인지한 이후 IP주소 등 로그 분석을 진행해 2차 인증 없이 접속할 수 있는 기존 접속경로 차단, 2차 인증에 해외 전화번호 사용 금지, 삼성클라우드 웹에서 데이터 조회, 다운로드 차단 등 추가적인 개인정보 유출을 막기 위한 최선의 조치를 다했다”고 주장했다.

이에 대해 재판부는 “삼성계정 등의 개인정보 유출 위험성을 인식하고 2차 인증절차를 도입하는 등 조치를 취했으나 기존 접속경로를 3개월간 그대로 유지하는 결정을 했다. 이는 2차 신고사건의 발단이 됐다”며 “이용자들의 정보유출 민원이 반복적으로 제기된 후에야 IP주소 등을 분석해 기존 접속경로를 통한 개인정보 유출 사실을 인지한 것은 원고의 개인정보 보호 조치가 충분치 않았음을 보여준다”고 판단했다.

법원은 이어 “원고가 기존 접속경로를 차단하자, 계정도용자는 자신의 휴대전화 번호들을 2차 인증수단으로 설정했는데, 이 번호들은 모두 국내가 아닌 해외 전화번호로 보인다는 점에서 이례적이다. 그럼에도 원고가 사후적으로 69건의 정보유출 민원을 분석하는 과정에서야 이를 인식했다. 이는 원고가 보다 효과적인 침입탐지·차단 시스템을 운영하였다면 추가적인 개인정보 유출을 방지할 수 있었을 것으로 보인다”고 지적했다.

김은광 기자 powerttp@naeil.com