제 8강
2012학년도 1학기
컴퓨터보안
실제 정보 보안 침해 사례에 대한 평가
출처 : 해외 개인정보 판례 및 사례 보사분석, 한국정보보호진흥원 연구 보고서 개인정보04-01, 이창범/윤주연, 2004.12)
각 사례에 대한 검토 후 분석 결과 발표정보 보안 침해 사례 (팀과제)
인터넷서비스제공자가 소비자를 기망하는 이메일을 발송하여 개인정보를 수집한 사건
사건 개요
ReverseAuction社(이하 'X社'라 한다)는 온라인 경매사이트를 운영하는 사업자이다.X社는 자사의 새로운 웹사이트를 홍보하기 위해 경쟁사인 eBay의 웹사이트에 회원으 로 등록하였고, eBay의 약관 및 프라이버시정책에 동의하였다. eBay의 약관과 프라이 버시 정책은 회원들의 개인 이메일주소를 비롯한 개인식별정보를 스팸메일 발송 등과 같이 허가 받지 않은 목적을 위해 수집하거나 이용하는 것을 금지함으로써, 소비자 프 라이버시를 보호하고 있었다. 그러나 X社는 이러한 약관과 프라이버시 정책에 위반하 여 eBay 이용자들의 개인식별정보를 수집하였고 이를 자사의 온라인경매사이트를 홍 보하는 메시지가 담긴 스팸메일을 발송하는데 사용하였다. X社는 eBay 이용자에게 보 내는 스팸메일의 제목에 “당신의 eBay 이용자 ID가 곧 만기될 것입니다”라고 표시 하여 발송하였다. X社로부터 이메일을 받은 많은 소비자들은 eBay가 X社에게 이러한 메일을 보내도록 승인하였다고 생각하여 자신의 이용자 ID 및 기타의 정보를 제공하 였다. 이에 미국 연방거래위원회(Federal Trade Commission)는 소비자들의 개인정보 를 부당한 방법을 통해 수집하였 다는 이유로 X社를 고발하였다.
미국 연방거래위원회, In the Matter of ReverseAution.com, Inc., File No. 002-3046, Civil Action No. 000032 (2000. 1. 6.)불공정한 방법을 통한 개인정보 수집 사례
통신회사가 고객 동의 없이 신용확인을 한 사건
사건 개요
甲은 X통신회사의 가정용 장거리 전화서비스를 신청하였다. 甲은 서비 스 신청서에 어떠한 신용확인도 하지 말 것을 명백하게 밝혔다. 甲은 신 청서에서 X통신회사의 신용확인을 허용하는 항목에 ‘아니오’를 표시 하였는데, 서류가 본사 사무실에 전달되는 과정에서 X社의 직원에 의해 우연히 파손되었다. 이에 甲은 다른 신청서를 작성하여 다시 한 번 어떠 한 신용확인도 하지 말 것을 분명히 하였다. 그러자 X社 직원은 甲에게 신용확인을 받지 않으려면 사전 승인된 지급계획을 선택할 것을 제안하 였고, 甲은 직원에게 샘플 수표를 제공하였다. 그런데 약 1개월 후, 甲은 X社가 Y신용정보기관에게 자신의 신용상태에 관한 정보를 요구한 것을 알게 되었다.
캐나다 프라이버시커미셔너, PIPED Act Case Summary #193 (2003. 7.10.)
동의 없는 개인정보 수집 사례
웹사이트 운영자가 부모 동의 없이 아동의 개인정보를 수집한 사건
사건 개요
UMG Recordings, Inc.(이하 ‘UMG社’라 한다)는 수백 개의 음악관련 웹사이트를 운 영하면서 이메일 뉴스레터 발송, 최신 음악 업데이트, 팬클럽, 게시판 등의 서비스를 제공하였다. 웹사이트는 회원등록에 있어 연령제한이 없었고 13세 이하의 아동들도 다수 가입하였다. UMG社의 온라인 회원 등록절차는 가입자들의 이름, 생일, 이메일 주소, 집주소, 전화번호, 성별, 기타 관심분야 등의 개인정보를 수집하였기 때문에, 아 동들이 회원으로 가입할 때에도 이러한 개인정보를 UMG社에 제공하였다. 또한 UMG 社는 13세의 유명한 가수를 홍보하고 아동을 대상으로 만들어진 게임과 기타 서비스 를 제공하는 등 직접적으로 13세 이하의 아동을 대상으로 하는 웹사이트도 운영하고 있었는데, 여기서도 같은 회원등록절차를 운영하고 있었다. 이에 甲은 UMG社가 명백 하고도 완전한 프라이버시 정책을 고시하지 아니하였고, 부모에게 직접 아동으로부터 어떠한 개인정보를 수집하겠다는 내용의 적절한 고지도 제공하지 않았다고 주장하였 다.
미국 연방거래위원회, In the Matter of UMG Recordings, Inc., File No. 022 3188, Civ. No. CV-04-1050 JFW (2004. 2. 17.)동의 없는 개인정보 수집 사례
웹사이트를 통해 이용자 동의 없이 쿠키정보를 수집한 사건
사건 개요
7명으로 구성된 원고들은 인터넷을 이용하는 수많은 이용자를 대표해서, 이용자의 승인을 받지 않고 컴퓨터 이용내역을 알 수 있는 쿠키와 액션 태그정보를 수집한 광고회사 Avenue A(피고)에 대하여 소송을 제기하였 다. 원고는 피고의 행위가 컴퓨터사기남용법, 「저장통신법(StoredCommunications Act)」, 「도청방지법(Wiretap Act)」 및 기타 주법 위 반이라고 주장하였다. 이에 대해 피고는 법위반사항이 없음을 주장하며 약식재판을 청구하였고 원심은 피고의 청구를 인용하였다. 이에 원고는 연방지방법원에 상소를 제기하여 소송개시절차(discovery)를 계속할 것 과 피고의 약식재판청구를 배척하여 줄 것을 요구하였다.
미국 연방지방법원, Chance v. Avenue A, Inc., 165 F.Supp.2d 1153 (W.D.Wash. 2001).동의 없는 개인정보 수집 사례
웹사이트에서 타인의 전자우편주소와 게시물을 수집하여 자신의著書 에 인용한 사건
사건 개요
사건 외 M***은 「엄청난 호도(糊塗)」라는 자신의 저서에서 2001. 9. 11 일 미국 국방부에 테러를 행한 비행기는 한 대도 없었고 실은 극우 미군이 반 민주적인 의도로 공격을 가한 것이라는 주장을 핀 바 있다. 피고 D***와 G***는 M***의 이러한 주장을 반박하기 위해 「엄청난 거짓말」이라는 책 을 펴내면서 M***과 주장을 같이 하는 사람의 예로 원고 V***를 언급하였 다. 피고들은 이 과정에서 V***가 그 동안 www.dgse.org라는 전문포럼 사 이트에서 다른 전문가들과 주고받은 게시물과 원고 V***의 전자우편주소를 자신들의 책 속에 인용하였다. 이에 V***는 위 인터넷 사이트는 회원들 간 의 폐쇄공간이므로 이러한 공간에서 이루어진 게시물은 사적 서신으로 보호 받아야 하나, D*** 등은 자신의 동의 없이 게시물과 전자우편주소를 출판물 에 인용함으로써 사생활을 침해하였다고 주장하면서 출판물에서 문제의 구 절을 삭제토록 하는 등의 가처분신청을 냈다.동의 없는 개인정보 수집 사례
인터넷서비스제공자가 자사 이용자에게 발송되는 경쟁사의 이메일을가로 챈 사 건
사건 개요
피고 Councilman은 Interloc, Inc.(이하 ‘Interloc社’라 한다.)이라는 온라인 도서판매 사 이트의 부사장이었다. Interloc社는 도서판매서비스를 제공하면서 판매자들에게‘@interloc.com’이라는 이메일서비스를 제공하였다. Interloc社는 자사의 우편배달장치 (MDA Mail Delivery Agent)로 이메일을 확인․분류할 수 있는 procmail(‘Process mail’의 약자)이라는 프로그램을 사용하고 있었다. 1998. 1월경 피고는 Interloc社의 직원에게 Amazon.com으로부터 자사 서비스이용자에게 전송되는 이메일을 감시·저장할 수 있도록 프로그램을 구성하라고 지시하였다. 이러한 지시를 받은 회사 프로그래머는 Amazon.com 으로 부터 자사 이용자들에게 전송되어지는 모든 전자우편을 이용자가 수신하기 전에 감시
․복사․저장할 수 있도록 프로그램을 변경하였다. 이에 미국 정부는 이메일은 ECPA s.
2510(12)44) 상의 전자통신에 포함되므로 피고는 동법 s. 251145) 위반에 따른 처벌대상 이 된다고 주장하였다. 반면, 이러한 기소내용에 대하여 피고는 내용을 확인한 전자우편은 s. 2510(17)46) 의 ‘전자적 저장(electronic storage)'에 해당하므로 도청이라는 문제가 생길 여지가 없다고 반박하였다. 1심 법원인 메사추세츠 지방법원은 피고인의 주 장대로, 본 사건에서 문제가 된 전자우편은 ’전자적 저장‘에 해당하여 도청 의 문제가 발생하지 않는다고 결정하였다.
미국 제1차 순회법원 판례, United States of America v. Branford C. Councilman, No. 03- 1383 (1st Cir., 2004. 6. 29.)동의 없는 개인정보 수집 사례
고객정보를 이용하여 유선전화서비스에 무단 가입시킨 사건
사건 개요
甲은 X통신사에서 휴대폰을 구입하였다. 그러던 중 甲은 Y통신사로부터 연락을 받았는데, Y社는 甲이 자사의 유선전화서비스를 신청하였다고 알려주었다. 이에 甲은 X社가 Y社에게 자신의 동의 없이 개인정보를 제 공하였다는 의심을 품고, 홍콩 개인정보커미셔너에게 문제를 제기하였 다. 사실조사 결과, Y社는 휴대폰 판매와 같은 X社의 업무를 대행하여 고 객을 모집키로 X社와 계약을 맺은 제휴상태였다. 즉, 甲에게 X통신사의 휴대폰을 판매한 Y社의 직원이 甲의 이름으로 자사의 유선전화서비스 가입신청서를 제출한 것이었다.
홍콩 개인정보커미셔너, Case no. ar9798-14 (1998).개인정보를 목적 외로 이용한 사례
통신회사 및 그 자회사에 의해 전자우편 계정이 임의로 개설된 사건
사건 개요
통신업체인 프랑스통신社와 그 자회사인 인터넷서비스 제공업체 와나두 (wanadoo)社는 2000. 11. 16일, ‘안느’(원고)라는 고객에게 인터넷에 무료 로 접속할 수 있는 서비스에 등록할 수 있고 [email protected]이라는 전자 우편주소를 갖게 되었다는 사실을 알렸다. 그러나 이러한 고지를 받은 안느 는 무료 인터넷접속 서비스와 전자우편서비스 가입은 자신의 의사와는 상관 없이 이루어진 것이라고 주장하였다. 또한 원고는 프랑스통신社와 와나두社 가 이렇게 만들어진 전자우편 주소 등 자신에 관한 개인정보를 상품판촉 기 업에게 양도하여 광고전자우편을 받는 등 사생활이 침해되었다고 주장하며 2001. 4월, 정신적 피해배상을 요구하는 소를 제기하였다.
프랑스 파리 지방법원, 제17부 제2과, 2002. 7. 10일 판결 (Tribunal de Grande Instance de Paris, 17ème chambre, 2ème section, jugement du 10 juillet 2002).개인정보를 목적 외로 이용한 사례
인터넷서비스제공자가 고객의 수신거부 의사에도 불구하고 광고성 전자우편을 전송한 사건
사건 개요
인터넷서비스제공자인 X(원고)는 자사가 보유하고 있는 도메인주소“i(...).de”와 “s(...).de”에 전자우편 주소록을 설치하여, 외부로 전자우편을 발송할 때에는 “mail@s(...).de”라는 주소를 사용하였다. 그러나 전자우편이 수신될 때에는 위 도메인주소로 다양하게 형성된 여 러 전자우편 주소로 수신하였다. 역시 인터넷서비스제공자인 Y(피고)는 1998년부터 매주 간행되는 뉴스레터(상품정보나 광고 안내)를 구독자에게 무료로 전자우편 발송하였고, 1998. 5월초∼12. 11일까지 매주 X에게 “s@i(...).de”라는 전자우편주소로 뉴스레터를 발 송하였다. 이후 X는 Y에게 뉴스레터 수신거부 의사를 밝혔고 Y는 “s@i(...).de” 주소를 뉴스 레터 발송프로그램에서 등록 말소하였다. 그러나 1998. 9. 5일 Y는 X에게 “d@i(...).de” 주 소로 뉴스레터를 발송하였고, X는 1998. 10월 중순 Y에게 계속해서 광고 전자우편을 발송 할 경우 법적 조치를 취하겠다고 통지하였고 1998. 12. 6일 정식으로 서면경고를 받았다.
이에 Y는 수신자리스트에서 “d@i(...).de” 주소를 삭제하고, X의 도메인명을 가진 전자우편 주소로 뉴스레터 신청이 등록되는 것을 차단하는 필터를 설치하였다. 그러나 X는 Y가 또다 시 “d@i(...).de”로 뉴스레터를 보냈다고 주장하면서 Y의 원치 않은 광고성 전자우편 발송 행위를 중지해 줄 것을 요청하였다.
독일 연방최고재판소(Bundesgerichtshof) 2004. 3. 11., I ZR 81/01.개인정보를 목적 외로 이용한 사례
통신회사의 대리점에서 팩스번호를 잘못 눌러 제 3자에게 고객정 보가 발송된 사건
사건 개요
어느 날, A는 팩스를 통해 X이동통신서비스 제공회사의 고객정보를 담 고 있는 많은 양의 통신서비스 신청서와 개인신분증 사본 및 신용카드 사본이 포함된 서류를 받게 되었다. 이에 A는 홍콩 개인정보커미셔너에 게 민원을 제기하였다. 개인정보커미셔너의 조사 결과, 이러한 서류들은 X통신사의 대리점에서 만들어진 것이었다. 커미셔너는 통상 이러한 서 류들이 사전에 프로그램된 팩스번호로 자동발송되나, 이 사건의 경우 대 리점 직원이 매장에서 손으로 팩스번호를 입력하는 과정에서 실수가 발 생하여 A에게 서류가 발송된 것이었음을 밝혀냈다.
홍콩 개인정보커미셔너, Case no. ar0102-5 (2002).개인정보를 목적 외로 이용한 사례
통신사가 인터넷을 통해 서비스를 제공하면서 , 미리 고객의 전화 번호와 신분증번호 앞자리를 비밀번호로 설정해놓은 사건
사건 개요
X이동통신회사는 고객들에게 웹사이트를 통해 인터넷으로 요금고지서 를 받아보는‘인터넷빌링서비스’를 제공하고 있었다. 고객들은 X이동 통신회사가 제공하는 웹사이트에 접속하기 위해 본인의 이동전화번호와 비밀번호를 입력하고 로그인하면 자신의 계정에 접속할 수 있었다. 고객 들이 접속을 하면 자신이 이용한 세부적인 전화발신기록까지도 확인할 수 있었다. 그런데 웹사이트 계정의 비밀번호는 고객의 신분증번호 앞 6 자리가 디폴트값으로 설정되어 있었다. 이에 X이동통신사의 고객인 甲 은 채권추심업자가 동 인터넷사이트에 접속하여 자신의 전화발신기록을 보았고, 이를 통해 얻은 개인정보를 이용하여 자신과 친구에게 불법행위 를 저질렀다고 항의하였다.
홍콩 개인정보커미셔너, Case no. ar0203-8 (2003).개인정보를 목적 외로 이용한 사례
통신회사의 상담원이 본인확인을 철저히 하지 않아 고객에게 부여된 개인식 별번호를 딸에게 알려준 사건
사건 개요
甲은 X통신회사의 시외전화서비스에 가입․이용하여왔다. 그런데 정신질환을 앓고 있 던 甲의 딸 乙이 시외전화를 많이 사용하여 요금이 엄청나게 많이 부과되었다. 이에 甲은 X통신회사가 고객에게 부여하는 개인식별번호 (이하 ‘PIN’이라 한다)가 있어야 만 전화가 가능하도록 하는 전화카드를 사용하였다. 그러나 乙은 전화기에 있는 발신 기록을 확인하여 예전에 甲이 시외전화를 하면서 입력한 PIN을 알게 되었고, 이를 이 용하여 다시 시외전화를 사용하였다. 甲은 X社에 항의하였지만, X社는 이 문제는 자사 시스템과는 별도로 甲이 사용하는 전화기 자체에 발신기록과 함께 PIN이 저장․표시 되는 기능이 있기 때문이라고 답변하였다. 이에 甲은 PIN을 변경하고 전화기에 표시 되지 않도록 하였다. 그러나 乙은 부엌에서 甲의 전화카드를 발견하고 X통신회사에 전화하여 고객서비스센터 상담원에게 PIN을 잊어버렸다고 말하고 번호를 확인받았다.이에 甲은 X社가 자신의 PIN을 본인확인을 철 저히 하지 않은 채 딸인 乙에게 알려주 어 피해를 입었다고 주장하며 캐나다 연방프라이버시커미셔너에게 이의를 제기하였 다.
