별지 1 ‘원고들 명단’ 기재와 같이 원고 1 등 1,209명이다. (소송대리인 법무법인 미래로 담당변호사 김형석 외 1인)

애플코리아 유한회사 외 1인 (소송대리인 변호사 정진영 외 2인)

2015. 9. 15.

창원지방법원 2014. 6. 26. 선고 2011가합7291, 7307(병합), 7314(병합), 8799(병합), 9358(병합) 판결

1. 원고들의 항소를 모두 기각한다.

2. 항소비용은 원고들이 부담한다.

제1심판결을 취소한다. 피고들은 공동하여 원고들에게 각 1,000,000원 및 이에 대하여 이 사건 각 소장 부본 송달 다음 날 부터 다 갚는 날까지 연 20%의 비율로 계산한 돈을 각 지급하라.

1. 기초사실

가. 당사자의 지위

1) 피고 애플 인코포레이티드(이하 ‘피고 애플’이라고 한다)는 미합중국에 소재한 외국법인으로서, 아이폰(iPhone) 3G, 아이폰 3GS, 아이폰 4, 아이패드(iPad) Wi-Fi+3G, 아이패드(iPad) Wi-Fi 등(이하 모두 합쳐서 ‘이 사건 기기’라고 한다)을 제조하여 판매하는 다국적 기업이다.

2) 피고 애플코리아 유한회사(이하 ‘피고 애플코리아’라고 한다)는 컴퓨터 하드웨어 및 소프트웨어 등의 마케팅, 판매, 사용권 부여, 지원, 유지 및 수리, 개발, 구매, 수입, 수출 및 관련 서비스 제공 등을 목적으로 하는 피고 애플의 자회사로서 구 위치정보의 보호 및 이용 등에 관한 법률(2012. 5. 14. 법률 제11423호로 개정되기 전의 것, 이하 ‘구 위치정보법’이라고 한다) 제5조 에 따른 위치정보사업자로 허가를 받아 피고 애플이 제작한 이 사건 기기를 국내에 판매하고 그 사후관리 등을 하고 있다.

3) 원고들은 피고들로부터 이 사건 기기를 구매한 후, 케이티 주식회사 또는 에스케이텔레콤 주식회사와 사이에 이동통신 등에 관한 서비스 이용계약을 체결하고, 이 사건 기기를 사용하였거나 사용하고 있다.

나. 피고 애플의 위치정보시스템

1) 위치기반서비스는 고객들로 하여금 현재 위치로부터 특정한 장소로 갈 수 있도록 하거나, 자신들의 위치를 알 수 있도록 허용한 친구의 위치를 파악하게 하거나, 고객이 위치한 근처의 레스토랑 등 편의시설을 추천받는 등 특정 고객의 위치정보를 활용하여 그 고객의 요구에 부응하는 지리적 관련 정보를 제공하는 것을 말하는데, 고객이 이 사건 기기를 통하여 위치기반서비스를 제공하는 각종 애플리케이션을 사용하려면 고객의 위치 파악이 선행되어야 한다. 이를 위하여 이 사건 기기는 대부분 GPS(Global Positioning System) 위치정보의 자체 수신기능을 갖추고 있으나, 해당 기기가 GPS 위치정보를 확보할 수 없거나 정보수신이 지체되는 상황 등이 발생할 경우 위치정보서비스업체에 GPS 위치정보를 대신할 위치정보를 요구하도록 설계되었고, 위치정보서비스업체들은 이 사건 기기로부터 위와 같이 위치정보를 요구받을 경우에 대비하여 사전에 위치정보시스템을 구축해 놓았다가 요청이 있을 경우 위치정보서비스를 제공하고 있다.

2) 피고 애플은 2008. 1.경부터 고객들에게 위치정보서비스를 제공하였는데, 이 사건 기기의 운영체계인 iOS(iPhone Operating System) 1.1.3 버전부터 iOS 3.1 버전까지는 구글(Google) 및 스카이훅 와이어리스(Skyhook Wireless)가 구축한 위치정보시스템을 이용하였고, iOS 3.2 버전부터는 직접 구축한 위치정보시스템을 기반으로 위치정보서비스를 제공하고 있다.

3) 피고 애플이 위치정보시스템을 구축하거나 고객에게 위치정보를 제공하는 데 있어서 핵심적인 기준점은 이 사건 기기가 이용하는 통신기지국 또는 Wi-Fi 접속장치(Access Point, 이하 ‘Wi-Fi AP’라 하고, 전체를 지칭할 경우 ‘통신기지국 등’이라 한다)의 주1) 위치인데, 구체적으로 피고 애플은 이 사건과 관련하여 아래와 같이 위치정보시스템 구축과 위치정보서비스를 수행하였다.

가) 위치정보시스템의 구축

피고 애플은 위치정보시스템을 구축하기 위하여 직접 해당 통신기지국 등의 위치정보 값을 실측하는 것이 아니라 아래 표와 같이 이에 접속된 이 사건 기기의 GPS 위치정보 값 등을 우선 피고 애플의 위치정보시스템 서버로 전송받아 이를 토대로 해당 통신기지국 등의 위치정보를 추정하고 데이터베이스화하는 이른바 주2) 크라우드소싱 (crowdsourcing) 방식으로 위치정보시스템을 구축하였다. 그런데 피고 애플은 위와 같은 방식에 의할 경우 필연적으로 발생하는 해당 통신기지국 등의 전파도달 가능 면적만큼의 오차를 해결하기 위하여 특정 통신기지국 등을 이용하는 수많은 사용자로부터 사용하는 기기 자체의 위치정보를 지속해서 전송받아 축적, 비교함으로써 위 오차의 범위를 줄이고 정확도를 개선하였다.

나) 위치정보서비스의 제공

피고 애플은 이 사건 기기의 사용자가 위치기반서비스 애플리케이션을 구동하면, 이 사건 기기로 하여금 인접한 통신기지국 등의 식별정보를 통신기지국 등에 연결된 인터넷을 통하여 피고 애플의 위치정보시스템 서버에 실시간으로 전송하고, 피고 애플은 위치정보시스템상 축적된 그 주변에 있는 복수의 통신기지국 등의 위·경도 및 고도 등에 대한 추정치(이하 ‘추정 위치값’이라고 한다)를 이 사건 기기로 주3) 전송하며, 이 사건 기기는 전송받은 추정 위치값들을 이용하여 삼각측량 방식으로 기기의 현재 위치를 계산함으로써 위치기반서비스 애플리케이션이 위치정보를 이용하여 제대로 작동하게 한다. 한편 이 사건 기기는 위와 같이 피고 애플의 서버로부터 전송받은 추정 위치값들을 토대로 계산한 기기의 위치정보를 일정한 순서에 따라 기기 내 데이터베이스(consolidated.db)에 암호화되지 않은 상태로 상당 기간 저장한다.

다) 이 사건 기기가 피고 애플의 위치정보시스템 서버와 정보를 송수신하는 방식은, 인터넷 주4) 프로토콜 (Internet Protocol, 이하 'IP'라고 한다)을 이용하는 기지국 및 Wi-Fi 장치를 매개로 하는 두 단계의 간접통신방식으로 이 사건 기기와 통신기지국 등 사이에는(이 구간은 무선통신이다) 통신기지국 등이 임시로 부여한 주5) IP 를 사용하고, 통신기지국 등과 피고 애플 서버 사이에는(이 구간은 유선통신이다) 통신기지국 등에 부여된 공인 IP를 사용하므로, 피고 애플은 이 사건 기기로부터 전송되는 정보만으로는 해당 통신기지국 등의 식별정보나 공인 IP만 알 수 있을 뿐이고, 특정 기기나 사용자가 누구인지를 알 수는 없다.

다. 피고 애플의 위치정보시스템상 주6) 버그 발생 및 관련 운영체제 변경

1) 그런데 피고 애플이 2010. 6. 21. 출시한 iOS 4.0이 적용된 이 사건 기기에서 사용자가 위치서비스 기능을 “끔”으로 설정한 상태에서, ① 종전에 위치서비스 기능이 “켬” 상태에 있을 때 수집하여 기기 내 데이터베이스(consolidated.db)에 저장해 두었던 이 사건 기기의 위치정보와 주변 통신기지국 등의 식별정보가 여전히 피고 애플의 서버에 주기적(Wi-Fi AP에 접속된 환경에서 12시간마다)으로 전송되는 문제가 발생하였는데(이하 ‘이 사건 위치정보시스템 구축상 버그’라 한다), 이와 같은 현상은 피고 애플이 2010. 9. 8. iOS 4.1을 배포하여 이 사건 기기에 적용될 때까지 계속되었고, ② 사용자가 위치기반서비스 애플리케이션을 동작시킬 경우, 위치서비스 기능을 “켬”으로 전환하지 않더라도 이 사건 기기가 피고 애플의 위치정보시스템에 실시간으로 접속하여 주변 통신기지국 등의 식별정보를 송신하고, 피고 애플의 위치정보시스템은 앞서 본 바와 같이 해당 통신기지국 등의 추정 위치값을 이 사건 기기에 전송한 후 이 사건 기기의 현재 위치정보를 계산하여 기기 내 데이터베이스(consolidated.db)에 저장하는 문제가 발생하였는데(이하 ‘이 사건 위치정보 서비스상 버그’라고 한다), 이와 같은 현상은 피고 애플이 2011. 5. 4. iOS 4.3.3을 배포하여 이 사건 기기에 적용될 때까지 10개월 남짓 동안 계속되었다.

2) 한편 iOS 4.3.3.에서는 ① 이 사건 기기가 위치서비스 기능이 “켬” 상태일 경우에도 피고 애플의 위치정보시스템으로부터 전송받는 추정 위치값 등을 기기 내 데이터베이스(consolidated.db)에 저장하지 않고 임시 파일인 cache.db에 저장되도록 변경되었고, ② 위치서비스 기능이 “끔” 상태일 경우, 이 사건 기기는 어떠한 위치정보를 수집하거나 피고 애플에 이를 전송하지 않고, 피고 애플은 특정 애플리케이션이 위치정보를 요청하더라도 추정 위치값을 이 사건 기기에 전송하지 않으며, 기존에 cache.db에 저장된 추정 위치값 정보를 모두 삭제하도록 변경되었다.

라. 방송통신위원회의 결정

국내외적으로 언론과 인터넷을 통하여 피고 애플이 이 사건 기기를 통하여 사용자의 위치정보를 수집한다는 의혹이 계속하여 제기되자, 방송통신위원회는 그에 관한 조사를 거쳐 2011. 8. 3. 다음과 같이 의결하였다.

1) 일부 아이폰은 2010. 6. 22.부터 2011. 5. 4.까지의 기간 동안 사용자가 위치서비스를 “끔”으로 설정하였을 때에도 아이폰 주변의 기지국 및 Wi-Fi AP 위치값을 서버에 전송하였고, 애플서버는 그 값을 아이폰으로 전송하는 등 위치정보 수집행위를 하였는바, 이는 ① 사용자가 위치서비스를 끈 행위는 명백히 동의철회에 해당하는 점, ② 피고 애플의 서버가 아이폰으로부터 수집하는 것은 아이폰 주변의 기지국 및 Wi-Fi AP 등의 위치로 이를 통해 휴대단말기의 대략적인 위치를 추정 가능하므로 이동성이 있는 물건이 존재한 “장소”에 대한 정보로써 일응 “위치정보”로 해석된다는 점 등을 고려했을 때 구 위치정보법 제15조 제1항 위반에 해당하므로, 피고 애플코리아에 과태료 300만 원을 부과한다.

2) 피고 애플코리아는 위치정보사업의 효율성 등을 위하여 위치정보 데이터베이스의 일부가 사용자의 휴대단말기에 저장되도록 설계하면서 위치정보 캐쉬를 암호화하지 않았는바, 이는 ① 휴대단말기의 분실이나 해킹 시 사용자의 위치궤적이 그대로 타인에게 노출되어 프라이버시 침해 위험이 존재하는 점, ② 위치정보 캐쉬는 아이폰 이용자의 위치결정에 사용될 뿐만 아니라 인근 통신기지국 등의 최신 위치를 사업자 위치서버로 전송하는 등 사업자 서버와 유기적으로 연계되어 있으므로 위치정보시스템의 일부인 점, ③ 위치정보 캐쉬가 휴대단말기 내부에 저장되기 때문에 인증, 식별 등 위치정보법 시행령에 열거된 모든 보호조치를 할 수 없다고 할지라도 캐쉬에는 사업자 서버와 동일한 내용이 저장되어 있어 기술적 보호조치 중 암호화 조치가 반드시 필요한 점 등을 고려할 때 구 위치정보법 시행령 제20조 제2항 제2호 에서 정한 암호화 조치를 이행하지 않은 것이어서 구 위치정보법 제16조 제1항 위반에 해당하나, 제반 여건상 사용자의 휴대단말기에 저장된 캐쉬에 대한 암호화의무는 사업자가 사전에 법적 의무로 인지하기 어려웠으므로 과징금을 부과하지 아니하고, 피고 애플코리아에게 휴대단말기 내 위치정보 캐쉬에 소프트웨어 암호화 기술을 적용하고, 위치정보 수집 및 활용방식 등에 대하여 사용자가 이해할 수 있도록 충분한 정보를 제공할 의무를 부과한다.

[인정근거] 다툼 없는 사실, 갑 제1호증의 1 내지 제4호증, 제7호증의 1 내지 제8호증의 18, 을 제1 내지 14호증의 각 기재, 제1심 법원의 KT에 대한 2013. 5. 24.자, 같은 해 9. 3.자, 2014. 2. 14.자, SK 텔레콤에 대한 2013. 9. 12.자, 같은 해 12. 5.자, 방송통신위원회위원장에 대한 각 사실조회결과, 변론 전체의 취지

2. 원고들의 주장

피고들은, ① 이 사건 기기의 사용자가 위치서비스 기능을 “끔” 상태로 두어 동의를 철회하였음에도, 이 사건 위치정보시스템 구축상 버그(2010. 6. 21.부터 2010. 9. 8.까지)와 이 사건 위치정보 서비스상 버그(2010. 6. 21.부터 2011. 5. 4.까지)를 발생시켜 위법하게 이 사건 기기의 ‘위치정보’ 또는 ‘개인위치정보’를 수집하였고, ② 이 사건 기기 내 위치정보를 저장하는 데이터베이스에 기술적 보호조치를 취하지 않는 등으로 구 위치정보법에서 정한 위치정보사업자의 의무를 위반함으로써 이 사건 기기의 사용자인 원고들에게 정신적 피해를 입혔으므로, 이에 대한 손해배상으로 원고들에게 각 위자료 100만 원 및 지연손해금을 지급할 의무가 있다.

3. 판단

가. 관련 법령

이 사건에 적용되는 관계 법령은 별지 2 ‘관계 법령’ 기재와 같다.

나. ‘이 사건 위치정보시스템 구축상 버그’의 위치정보법( 제15조 제1항 ) 위반 여부

1) 피고 애플이 위치정보시스템의 데이터베이스를 구축하기 위하여 크라우드소싱(crowdsourcing) 방식을 계획하였고, 이에 따라 이 사건 기기로부터 주기적으로 기기의 위치정보를 피고 애플의 위치정보시스템으로 전송받았는데, 사용자가 위치서비스 기능을 “끔” 상태에 두었음에도 그 이전에 수집되어 기기 내에 저장되어 있던 위치정보를 여전히 피고 애플에 주기적으로 송신하는 이 사건 위치정보시스템 구축상 버그가 발생한 사실은 앞서 본 바와 주7) 같다.

한편 갑 제1호증의 1 내지 제4호증, 제6호증의 1, 2, 을 제1 내지 5, 11 내지 13호증의 각 기재, 제1심 법원의 방송통신위원회위원장에 대한 사실조회결과에 변론 전체의 취지를 종합하면, 피고들은 이 사건 기기의 사용자가 이동통신사에 가입할 당시 사용자들로부터 위치정보 수집 및 서비스 제공 이용약관에 대한 동의를 받았고, 이 사건 기기의 사용등록 및 iOS 버전 업그레이드를 할 때 위치정보 수집 및 제공에 관한 내용이 포함된 아이폰 소프트웨어 사용권 계약에 대한 동의를 받은 사실이 인정된다.

여기에 갑 제1호증의 1 내지 제4호증, 을 제8호증의 1 내지 제9호증의 2의 각 기재에 변론 전체의 취지를 더하여 인정되는 다음과 같은 사정들, 즉 ① 피고 애플은 위치정보시스템의 데이터베이스를 통신기지국 등의 위치를 기준점으로 하여 설계하면서 그 기준점의 정확한 위치(위·경도 값)를 스스로 실측하지 않고 해당 통신기지국 등의 전파도달 범위 내에 있는 이 사건 기기를 이용한 것인 점, ② 이 사건 기기로부터 피고 애플에 전송된 정보는 정확히 이 사건 기기가 존재하였던 장소에 대한 GPS 위치정보이지 통신기지국 등의 위치정보가 아닌 점 등을 종합하면, 피고 애플이 위치정보시스템을 구축하기 위하여 이 사건 기기로부터 주기적으로 위와 같은 정보를 전송받은 것은 구 위치정보법상 기기가 특정한 시간에 존재하였던 장소에 관한 ‘위치정보’를 수집한 것이고, 이 사건 위치정보시스템 구축상 버그는 위와 같은 ‘위치정보’ 수집에 대한 사용자의 동의가 철회되었음에도 피고 애플이 기기의 ‘위치정보’를 계속 수집한 것으로 봄이 타당하다(피고들은 피고 애플이 수집한 것은 통신기지국 또는 Wi-Fi AP의 식별정보나 그 위치정보일 뿐, 이 사건 기기의 위치정보가 아니라고 주장하나, 위와 같이 피고 애플은 이 사건 기기의 GPS 위치정보를 수집한 후 이를 토대로 특정 통신기지국이나 Wi-Fi AP의 위치를 추정한 것에 불과하므로, 위 주장은 이유 없다).

따라서 피고 애플은 구 위치정보법 제15조 제1항 (위치정보의 수집 등의 금지)을 위반하였다.

2) 이에 대하여 피고들은 가사 이 사건 기기의 ‘위치정보’가 수집된 것이더라도 피고 애플은 사용자들로부터 사전에 위치정보 수집에 대한 충분한 동의를 받았고, 이 사건 기기의 사용자가 위치서비스 기능을 “끔” 상태에 두더라도 위와 같은 위치정보수집에 관한 사전동의의 효력이 철회될 수 없다고 주장한다.

살피건대, 앞서 든 증거들에 의하여 인정되는 아래와 같은 사정들을 종합하면, 피고들의 주장과 같이 사용자가 사전에 피고 애플의 위치정보수집에 관하여 사전동의를 하면서 장래에 이에 대한 철회권을 포기하였다고 보기에 부족하고, 달리 이를 인정할 만한 증거가 없으므로, 피고들의 주장은 이유 없다.

① 구 위치정보법은 사전동의 절차와 관련하여 ‘개인위치정보’를 수집할 경우와 달리 ‘위치정보’를 수집할 경우에 관하여는 규정하고 있지 않으나( 제18조 ), 위치정보의 동의 주체를 특정할 수 있는 경우에는 개인위치정보의 경우와 동일한 정도의 절차를 거쳐야 함이 타당하고 볼 것인바, 개인위치정보주체는 정보수집에 관하여 동의를 할 경우 정보수집의 범위 및 이용약관의 내용 중 일부에 대하여 동의를 유보할 수 있다( 제18조 제2항 )

② 피고 애플이 제공한 최종사용자 소프트웨어라이선스 또는 iOS 업그레이드시 동의 요구서에는 사용자는 언제든지 이 사건 기기의 위치서비스 기능을 “끔” 상태 둠으로써 위치정보수집 등에 대한 동의를 철회할 수 있도록 명시되어 있다(을 제1, 2, 12호증).

3) 나아가 원고들은 피고 애플이 위치정보시스템의 구축을 위하여 이 사건 기기 내 데이터베이스(consolidated.db)에 위치정보가 저장되도록 한 것은 결국 사용자가 특정된 위치정보인 ‘개인위치정보’를 이 사건 기기를 통해 수집한 것에 해당되는데, 피고 애플이 사전에 사용자로부터 ‘개인위치정보’ 수집에 관한 적법한 동의를 받지 않았으므로, 위치서비스 기능이 “켬” 상태에서 ‘개인위치정보’가 기기 내에 저장되도록 한 것도 위법한 수집이라는 것이나, 앞서 본 바와 같이 피고 애플은 이 사건 기기의 사용자가 통신서비스 가입하거나 iOS를 업그레이드할 경우 위치정보 수집 및 제공에 관한 사전동의를 받은 점에 비추어 보면, 피고 애플은 사용자로부터 ‘개인위치정보’ 수집에 관하여 포괄적으로 사전동의를 받은 것으로 봄이 타당하므로, 위치정보를 기기 내에 저장되도록 한 것 자체를 피고 애플이 정보 수집한 것으로 볼 것인지와 무관하게 이는 적법한 것이 되므로, 원고들의 주장은 더 살필 것 없이 이유 없다.

다. '이 사건 위치정보 서비스상 버그'의 위치정보법( 제18조 제1항 ) 위반 여부

1) 피고 애플은 이 사건 기기에 현재 GPS 위치정보가 없거나 정보수신이 지체되는 경우, 별도로 구축해 놓은 위치정보시스템으로부터 이 사건 기기가 존재하는 주변 통신기지국 등의 위치정보를 전송하여 이를 토대로 위치기반서비스 애플리케이션이 작동되도록 하였는데, 이 사건 기기의 사용자가 위치서비스 기능을 “끔” 상태에 두었음에도 피고 애플이 이 사건 기기에 주변 통신기지국 등의 추정 위치값을 송신하는 이 사건 위치정보 서비스상 주8) 버그 가 발생한 사실은 앞서 본 바와 같다.

여기에 앞서 든 증거들 및 변론 전체의 취지를 더하여 인정되는 다음과 같은 사정들, 즉 ① 이 사건 기기는 GPS 위치정보를 확보할 수 없는 경우, 피고 애플로부터 위치정보서비스를 받기에 앞서 주변 통신기지국 등의 식별정보를 전송하는데, 이때 피고 애플에 전송되는 식별정보는 피고 애플이 구축해 놓은 위치정보시스템상의 위치정보와 결합함으로써 결국 이 사건 기기에 대한 ‘위치정보’가 되는 점(위치정보가 반드시 경·위도 좌표일 필요가 없기도 하다), ② 비록 이 사건 기기와 피고 애플의 위치정보시스템과 사이에 송수신되는 정보에는 사용자를 특정할 수 있는 정보가 포함되지 않았더라도, 피고 애플로부터 전송받은 추정 위치값이 이 사건 기기 내에 데이터베이스로 저장된다면 이는 특정 사용자가 존재했던 장소에 대한 ‘위치정보’만을 모아둔 셈이어서 결국 ‘개인위치정보’가 되는 점 등을 종합하면, 피고 애플은 이 사건 기기 인근 통신기지국 등의 추정 위치값을 제공하여 이를 토대로 기기의 현재 위치정보를 계산하게 하고, 이를 기기 내 데이터베이스(consolidated.db)에 저장하게 하는 방법으로 사용자의 ‘개인위치정보’를 수집한 것이고, 이 사건 위치정보 서비스상 버그는 피고 애플이 위와 같은 ‘개인위치정보’ 수집에 대한 사용자의 동의가 철회되었음에도 사용자의 ‘개인위치정보’를 수집한 것으로 봄이 타당하다.

따라서 피고 애플은 구 위치정보법 제18조 제1항 (개인위치정보의 수집)을 위반하였다.

2) 이에 대해 피고들은 이 사건 기기 내 데이터베이스(consolidated.db)는 피고 애플이 아닌 사용자가 관리하는 것이므로 피고 애플의 위치정보시스템의 일부가 아니라고 주장한다.

살피건대, 이 사건 기기 내 데이터베이스가 물리적으로 피고 애플의 위치정보시스템 서버와는 분리되어 있으나 인터넷으로 연결되어 이 사건 기기의 운영체계인 iOS에 의해 서로 일정한 정보를 송수신하는 사실은 앞서 본 바와 같고, 위 데이터베이스가 사용자의 의도와 무관하게 iOS에 의하여 기기 내에 생성되어 관리되는 사실은 당사자 사이에 다툼이 없다.

여기에 앞서 든 증거들 및 변론 전체의 취지(당심에서의 전문심리위원의 진술 포함)를 더하여 인정되는 다음과 같은 사정들, 즉 ① 위 데이터베이스는 사용자가 이 사건 기기를 사용하는 한 당초 iOS에서 자동으로 생성되어 데이터가 저장되는데, 이 사건 기기의 사용자가 전원을 끄는 것 외에는 이에 전혀 관여할 수 없는 점, ② 피고 애플이 사용자의 의도와 무관하게 iOS를 통하여 이 사건 기기들에 특정 정보를 생성하거나 삭제하는 등 관리하고 있다면, 그 정보가 피고 애플의 서버가 아니라 개인에게 판매된 이 사건 기기 내에 저장되었다고 하여 피고 애플이 이에 관여하지 않는다고 할 수 없는 점, ③ 이 사건 위치정보 서비스상 버그는 사용자가 위치서비스 기능을 “끔” 상태에 두었음에도 이를 무시하고 발생한 점 등을 종합하면, 이 사건 기기 내 데이터베이스(consolidated.db)는 피고 애플의 위치정보시스템 일부라고 봄이 타당하다.

따라서 피고들의 주장은 이유 없다.

라. 위치정보법 제16조 소정의 위치정보 보호조치 의무를 위반하였는지 여부

살피건대, 피고 애플이 2011. 5. 4. iOS 4.3.3.을 배포하여 이 사건 기기에 적용하기까지 이 사건 기기의 iOS가 주기적으로 위치정보를 생성하거나 피고 애플로부터 인근 통신기지국 등의 추정 위치값을 전송받아 계산한 위치정보를 기기 내 데이터베이스(consolidated.db)에 순서에 따라 암호화되지 않은 상태로 상당 기간 저장한 사실은 앞서 본 바와 같고, 여기에 앞선 증거들과 변론 전체의 취지를 더하여 인정되는 다음과 같은 사정들, 즉 ① 위 데이터베이스의 정보가 암호화되지 않은 채 이 사건 기기에 저장되면 이 사건 기기를 분실하거나 해킹을 당할 경우 사용자의 위치궤적이 타인에게 노출되어 프라이버시가 침해될 위험이 존재하는 점, ② iOS 4.3.3. 이전에는 이 사건 기기의 사용자는 통상적인 방법으로 위 데이터베이스에 접근할 수도 없었던 반면, 이 사건 기기에서 실행되는 위치기반서비스 애플리케이션들은 쉽게 위 데이터베이스로부터 위치정보를 획득할 수 있었던 점(피고 애플의 이용약관에 의하면 사용자가 제3자가 제공하는 위치기반서비스 애플리케이션을 이용할 경우 위치정보 사용에 관한 제3자의 약관 및 프라이버시 정책에 따른다면서 제3자가 접근할 수 있는 데이터베이스 정보의 범위를 스스로 제한하지 않았다), ③ 앞서 본 바와 같이 이 사건 기기 내 데이터베이스에 저장된 위치정보는 ‘개인위치정보’에 해당되는 점, ④ 이에 피고 애플은 iOS 4.3.3. 업데이트에서 이 사건 기기의 위치정보를 기기 내 데이터베이스(consolidated.db)에 저장하지 않고 임시파일인 cache.db에 저장되도록 하였고(기간도 7일로 제한됨), 기기의 위치서비스 기능이 “끔” 상태일 경우, cache.db에 저장된 위치정보를 모두 삭제하도록 변경하였던 점 등을 종합하면, 피고 애플은 2011. 5. 4. iOS 4.3.3.을 배포하기까지 이 사건 기기 내 데이터베이스에 저장된 위치정보의 누출, 변조, 훼손 등을 방지하기 위한 충분한 관리적·기술적 조처를 하지 않은 것으로 봄이 타당하다.

따라서 피고 애플은 구 위치정보법 제16조 제1항 (위치정보의 보호조치 등)을 위반하였다.

마. 손해배상책임의 발생 여부

1) 구 위치정보법 제27조 에 의하면, 이 사건 기기의 사용자는 위치정보사업자 등의 구 위치정보법 소정의 위반행위로 손해를 입은 경우에 그 위치정보사업자 등에 대하여 손해배상을 청구할 수 있고, 위치정보사업자 등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

2) 그러나 앞서 든 증거들 및 변론 전체의 취지를 더하여 인정되는 아래와 같은 사정들을 종합하면, 피고들이 앞서 본 바와 같은 구 위치정보법에 위반하는 행위를 하였다는 사정만으로는 원고들이 그 때문에 손해배상을 받을 만한 정신적 손해를 입었다고 보기 어렵고, 달리 이를 인정할 만한 증거가 없으므로, 원고들의 주장은 더 살필 것 없이 이유 없다.

① 피고들은 이 사건 기기의 사용자로부터 사전에 위치정보의 수집 및 이용에 관하여 포괄적인 동의를 받았고, 이 사건 위치정보시스템 구축상 버그 및 이 사건 위치정보 서비스상 버그는 예외적인 상황에서 비교적 긴 기간이 아닌 일시적으로 발생한 것이고, 위치기반서비스 기술의 개발 및 정착 단계에서 발생한 기술적 시행착오의 성격이 짙다.

② 피고들이 이 사건 위치정보시스템 구축상 버그 및 이 사건 위치정보 서비스상 버그를 통해 피고들에게 사용자의 위치정보나 개인위치정보를 침해할 의도가 없었던 것으로 보이고, 피고 애플은 위와 같은 문제점들이 제기되자 비교적 신속하게 이를 교정하는 등 나름의 노력을 기울였다.

③ 이 사건 기기와 피고 애플의 위치정보시스템 서버 사이에 송수신되는 정보는 통신기지국 등을 거치는 과정에서 위치정보를 수집한 기기를 특정할 수 있는 정보가 제외되어 단순 ‘위치정보’만 전송되도록 설계되어 있으므로 그 자체로 개인위치정보가 이 사건 기기 외부로 유출되는 것을 보호하는 기능이 있어, 그것이 해킹되더라도 사용자에게 직접적인 피해가 발생하지 않는다.

④ 이 사건 기기 내 데이터베이스가 해킹되어 개인위치정보가 권한 없이 유출된 사례가 없는 것으로 보이고, 이 사건 기기의 사용자가 개인 컴퓨터에 백업하는 과정에서 위 데이터베이스가 컴퓨터에 복사된다거나 기기를 분실함으로써 개인위치정보가 유출될 가능성이 커질 수는 있으나, 이는 사용자의 부주의가 문제가 될 뿐 피고들이 책임져야 하는 것으로 보기 어렵다.

4. 결론

그렇다면, 원고들의 이 사건 청구는 이유 없어 이를 모두 기각할 것인바, 제1심판결은 이와 결론을 같이 하여 정당하므로, 원고들의 항소는 이유 없어 이를 모두 기각하기로 하여 주문과 같이 판결한다.

[별지 생략]

주1) GPS가 지상 약 2만 ㎞ 상공의 정해진 궤도에 있는 24개의 위성을 기준점으로 하여 지상의 GPS 사용기기와 4개 위성과의 거리를 이용하여 해당 기기의 위치정보를 계산하는 방식을 사용하는 것과 유사하게 피고 애플의 위치정보시스템은 통신기지국이나 Wi-Fi AP 등의 고정 위치를 기준점으로 구축하고, 이 사건 기기와 기준점과의 거리를 이용하는 방식을 사용한 것이다.

주2) 피고 애플이 자체 장비나 인력으로 통신기지국 등의 위치정보 데이터베이스를 구축하지 않고 이 사건 기기를 구매하고 이용하는 소비자들을 통해 위치정보 데이터베이스를 구축한 것을 의미한다.

주3) 이 사건 기기가 현재 GPS 위치정보 값을 확보할 수 없을 때에 위와 같은 과정이 이루어지나, 기기의 GPS 수신 기능이 작동하여 위치정보 값이 확보되는 경우에도 계속해서 위와 같은 과정이 이루어지는지는 불분명하다.

주4) 독립적으로 운영되는 통신 네트워크를 인터넷상 서로 연결하는 정보 송수신 규칙인데, 연결된 해당 장치에 대해 네트워크상 주소(12자리 숫자)를 부여한다.

주5) 사설 또는 가상 IP라고 한다.

주6) 컴퓨터 프로그램이나 시스템의 착오, 또는 시스템 오동작의 원인이 되는 프로그램의 잘못을 지칭하는 용어임

주7) 이 같은 버그는 이 사건 기기 중 GPS 위치정보 수신기능이 없는 아이패드(iPad) Wi-Fi 모델의 경우 문제 되지 않는다.

주8) ‘이 사건 위치정보시스템 구축상 버그’와 달리 이 사건 기기 중 GPS 위치정보 수신기능이 없는 아이패드(iPad) Wi-Fi 모델에서 위치기반서비스 제공 애플리케이션을 실행할 경우에도 이와 같은 버그가 가능하다.