가. 당사자의 지위 등 원고들은 피고와 정보통신서비스 이용계약을 체결하고 피고가 제공하는 정보통신서비스를 이용하는 회원들로 이 사건 개인정보 유출로 인하여 정보가 유출된 사람들이고, 피고는 전기통신사업법상의 전기통신사업자이자 구 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(2014. 5. 28. 법률 제12681호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다)이 정한 정보통신서비스 제공자이고, 피고가 개설한 B 홈페이지(B)는 일반 가입자(고객)가 요금명세서를 조회할 수 있는 홈페이지이다.

나. 이 사건 개인정보 유출의 경위 1) C(해커)은 2013. 8. 8.부터 2014. 2. 25.까지 B 홈페이지를 통하여 불법적으로 접근하여 타인의 요금명세서를 조회하는 방식으로 합계 11,708,875건(이용자 수 기준 9,818,074명)의 개인정보를 유출(이하 ‘이 사건 개인정보 유출’이라 한다

)하였다. 2) 해커는 다음과 같은 방법과 경로로 개인정보를 유출해간 것으로 추정된다.

A A A 가) 해커는 자신의 PC에 파로스 프로그램을 설치ㆍ실행한 후 B 홈페이지에 접속하여 로그인 버튼을 누르고 자신의 인증 정보(ID, 비밀번호)를 입력하였다. 나) B 홈페이지의 웹 서버는 사용자 인증 정보를 통합인증 서버로 전송하고, 통합인증 서버는 해커가 웹 사이트 가입 회원이고 비밀번호가 일치하는지를 판별한다.

일치할 경우 웹 서버는 해커가 회원 자격으로 로그온 되었다는 정보를 사용자 PC에 전달한다.

이때 해커의 서비스계약번호 서비스계약번호는 B 홈페이지에서 가입자를 식별하는 번호로, 각 가입자가 가입한 서비스별로 고유하게 부여되는 9자리 숫자의 일련번호이다.

1명의 가입자가 피고가 제공하는 서비스 중 여러 서비스에 가입한 경우...

참조조문