beta
서울고등법원 2019.09.18 2014나2032722

손해배상

주문

1. 제1심 판결 중 피고 패소 부분을 취소하고, 그 취소 부분에 해당하는 원고들의 청구를 모두...

이유

1. 인정 사실,

2. 관련 법령 이 법원이 이 부분에 관하여 적을 이유는 제1심 판결의 이유 제1, 2항 기재(“별지 2 관련 법령” 포함)와 같으므로, 민사소송법 제420조 본문에 따라 이를 인용한다.

3. 원고들의 주장 피고는 원고들로부터 서비스 이용계약에 따른 개인정보를 제공받은 계약당사자, 또는 정보통신망법에 따라 정보통신서비스 이용자인 원고들의 개인정보를 취급하는 정보통신서비스 제공자로서 피고가 보유하고 있는 원고들의 개인정보가 분실도난누출변조되지 않도록 개인정보를 보호관리하고 그에 필요한 기술적 조치를 다하여야 할 주의의무가 있다.

그런데도 다음과 같이 그 의무를 위반하여 이 사건 정보유출사고를 통해 원고들의 개인정보가 유출되도록 하였다.

따라서 피고는 원고들이 개인정보유출로 인하여 입게 된 정신적인 손해에 대하여 위자료를 지급할 의무가 있다. 가.

정보통신망법상 개인정보처리시스템은 B 시스템 중 E 서버 또는 C 서버부터 E 서버까지라 할 것인데, 피고의 B 시스템은 전반부에서 접속권한에 대한 인증이 이루어지지만 C 서버 이후에는 인증토큰의 유효성 체크 등 접속권한에 대한 인증이 이루어지지 않는 취약점이 있고, B의 이중 인증절차도 MAC 주소의 변조가능성에 비추어 안전하다고 할 수 없다.

나. 이 사건 해킹프로그램은 퇴사한 자의 B 계정을 이용하여 C 서버에 접속하였다.

이렇듯 피고는 개인정보 취급자가 퇴직을 하였음에도 불구하고 접근권한을 말소하지 아니하여 이 사건 고시 제4조 제2항을 위반하였다.

다. 이 사건 정보유출사고 당시 특정 IP로 일일 최대...