지난 2013년 12월 약학정보원이 개발한 조제 관리·심사청구 프로그램 PM2000을 통해 등록된 환자, 의사 개인정보 수십억건이 2011년부터 2015년까지 글로벌 의료데이터 업체 한국IMS헬스로 넘어간 사건이 언론에 보도됐고, 규모도 문제였지만 제공된 개인정보에 주민등록번호, 조제 내역 등 민감한 정보가 다수 포함되어 있어 언론의 집중 관심을 받았다.
최근 2024년 7월 11일 이 사건에 대한 형사 재판의 상고심 판결까지 나와 완전히 종결되었는데, 민사적으로는 정보주체의 손해배상 청구가 진행됐고, 형사적으로는 개인정보보호법위반죄 등의 공소제기가 있었으나, 민사적으로는 개인정보보호법 위반은 인정되나 정보주체의 정신적 피해는 부정된다는 판단이 있었고, 형사적으로는 개인정보보호법위반에 대한 미필적 고의가 없어서 무죄라는 판단이 있었다.
관련해서 법원은 개인정보 암호화 기준과 형사처벌 조건을 제시했는데, 매우 중요한 의미가 있어서 살펴보기로 한다. 참고로 개인정보 암호화라는 것은 개인정보에 대해 일정한 알고리즘을 통해서 일정한 권한이 있는 자 외에는 누구도 읽을 수 없도록 하는 안전성 확보조치를 의미하는데, 알고리즘에 따라서 양방향 암호화와 일방향 암호화의 두 가지 방법이 있다.
이 사건에서 피고 또는 피고인은 주민등록번호의 짝수 자리와 홀수 자리를 나누어서, 각 숫자에 해당하는 알파벳 글자로 대응하는 조치를 취했다. 예컨대 '541008-#######'의 주민등록번호의 경우 'eIafjhafcfjnd'로 암호화되는 것이다. 이 정도의 암호화 조치로 개인정보성을 상실하는가?
이에 대해 서울고등법원은 개인정보에 암호화 등 적절한 비식별화(de-identification) 조치를 취함으로써 특정 개인을 식별할 수 없는 상태에 이른다면 이는 식별성을 요건으로 하는 개인정보에 해당한다고 볼 수 없고, 따라서 정보주체의 동의 없이 통계작성 등의 용도로 이용되거나 제3자에게 제공되더라도 정보통신망법이나 개인정보 보호법을 위반한 것이라고 볼 수 없다. 다만, 비식별화 조치가 이루어졌다고 하더라도 재식별 가능성이 합리적으로 존재한다면 적절한 비식별화 조치가 이루어지지 않은 것이므로 여전히 정보통신망법이나 개인정보 보호법이 적용되는 개인정보에 해당한다.”는 기준을 제시하였다.
더불어 이 기준에 입각해서 보건대 위에서 예시한 암호화 조치는 다양한 추론을 통해 쉽게 복호화할 수 있어 개인이 식별될 우려가 커서 여전히 개인정보라고 보았다. 한편 부실한 암호화 개인정보를 동의없이 제공한 피고인을 형사처벌할 수 있는가?
이에 대하여 서울고등법원은 “개인정보가 비식별화 조치 또는 암호화 조치가 된 경우, 그와 같은 정보를 처리하는 자에게 개인정보 처리에 관한 고의가 있었다고 보려면, 비식별화 또는 암호화된 개인정보를 식별화 또는 복호화 하여 처리할 수 있다는 인식과 함께 그와 같은 정보를 식별 가능한 형태의 정보로 치환하여 처리하는 것을 용인하는 의사까지 인정이 되어야 할 것이다.”라고 판시하면서, 피고인의 용인 의사가 입증되지 않았다는 이유로 무죄를 선고하였다.
이 사건은 개인정보 암호화 조치를 어떻게 해야 하는지에 대한 판단기준을 제시하였고, 더불어 형사처벌 요건까지 제시한 점에서 의미가 매우 크다. 개인정보 암호화 조치는 의무이지만 부실한 조치를 하면 법적 리스크가 생길 수 있다는 점에서 좀 더 신경을 써야 할 것이다.
김경환 법무법인 민후 변호사