사건
2013나2001042 손해배상(기)
원고항소인
1. FU
2. GW
3. JO
4. LM.
5. LN
피고피항소인
1. 에스케이커뮤니케이션즈 주식회사
2. 주식회사 이스트소프트
3. 대한민국
제1심판결
서울중앙지방법원 2012. 11. 23. 선고 2011가합129400 판결
변론종결
2013. 12. 24.
판결선고
2014. 2. 13.
주문
1. 원고들의 피고들에 대한 항소를 모두 기각한다. 2. 항소비용은 원고들이 부담한다.
청구취지및항소취지
청구취지
피고들은 각자 원고들에게 각 1,000,000원 및 이에 대한 2011. 7. 26.부터 이 사건 소장 부본 송달일까지는 연 5%, 그 다음 날부터 다 갚는 날까지는 연 20%의 각 비율에 의한 금원을 지급하라.
항소취지
제1심판결 중 아래에서 지급을 명하는 금원에 해당하는 원고들 패소부분을 취소한다.
피고들은 각자 원고들에게 각 500,000원 및 이에 대한 2011. 7. 26.부터 이 사건 소장 부본 송달일까지는 연 5%, 그 다음 날부터 다 갚는 날까지는 연 20%의 각 비율에 의한 금원을 지급하라.
이유
1. 사안의 개요와 전제된 사실관계
가. 사안의 개요
이 사건은 피고 에스케이커뮤니케이션즈 주식회사(이하 'SK컴즈'라 한다)가 운영하는 사이트의 회원들로서 피고 SK컴즈의 서버가 해킹되면서 개인정보를 유출당한 원고들이 피고들에 대하여, 피고 SK컴즈는 그 소속 직원이 보안에 취약한 공개용 압축 프로그램을 사용하는 것을 방치하였을 뿐 아니라 서비스 약관과 정보통신망법 등 관련 법령에서 정한 기술적·관리적 보호조치를 제대로 이행하지 아니하였고, 피고 주식회사 이스트소프트(이하 '이스트소프트'라 한다)는 자신이 제공하는 공개용 압축 프로그램의 보안 취약성을 인식하고 이를 방지하기 위한 조치를 취할 의무를 게을리 하였으며, 피고 대한민국은 정보보호 관리체계 인증을 받지 않은 피고 SK컴즈에게 정보보호 조치를 요구할 감독기관으로서의 의무와 해킹 방지를 위한 기술적 조치 등에 관한 고시를 제정할 법령상의 의무를 위반하였다고 주장하면서, 개인정보 유출로 입은 정신적 고통에 대한 손해배상을 구하는 사안이다. 제1심판결은 원고들의 피고들에 대한 청구를 모두 기각하였고, 이에 원고들이 불복하여 항소를 제기하였다.
나. 전제된 사실관계
이 법원이 이 부분에 관하여 설시할 이유는 제1심판결문 5면 3행 'S의'부터 4행 '원격접속하여 '까지를 'S의 컴퓨터(일반 직원 PC)에 원격접속하여 성명 미상의 DB 관리자 PC에 침입한 후 위 DB 관리자 PC를 통하여'로 고치는 외에는 제1심판결의 이유 중 제1항 기재와 같으므로, 민사소송법 제420조 본문에 따라 이를 그대로 인용한다.
2. 당사자들의 주장
가. 원고들의 주장
1) 피고 SK컴즈에 대한 주장
가) 피고 SK컴즈는 그 직원들이 유료로 제공되는 국내 기업용 알집 프로그램을 사용하도록 관리할 의무가 있음에도, 그 직원들이 개인 사용자에게 무료로 제공되는 업데이트 파일의 무결성 검증 및 디지털 서명 확인 등 보안장치가 갖추어 지지 않은 국내 공개용 알집 프로그램을 사용하는 것을 방치하였는데, 이는 저작권법 위반행위에 해당하고, 피고 SK컴즈의 직원들이 자동 광고 업데이트 기능이 포함되지 않은 국내 기업용 알집 프로그램을 사용하였더라면, 이 사건 해킹 사고가 발생하지 아니하였을 것이므로, 피고 SK컴즈가 그 직원들이 국내 공개용 알집 프로그램을 불법적으로 사용하는 것을 방치함으로써 이 사건 해킹 사고를 초래한 것으로 볼 수 있다.
나) 피고 SK컴즈는 다음과 같이 서비스 약관과 정보통신망법 등 관련 법령에서 정한 기술적·관리적 보호조치를 이행하지 아니하였다.
(1) 피고 SK컴즈는 전화번호, 주소, 주민등록번호, 혈액형 등 개인정보를 수집하였고, 특히 주민등록번호는 수집하지 않더라도 실명제 운영에 지장이 없음에도 이를 수집하였으므로, 피고 SK컴즈는 최소수집의무 등 개인정보 수집에 관한 주의의무를 위 반하였다.
(2) 국내 공개용 알집 프로그램은 자동 광고 업데이트 기능이 있어, 두터운 방화벽이 존재하더라도 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진입할 수 있는데, 피고 SK컴즈는 이러한 국내 공개용 알집 프로그램을 아무런 방비책 없이 사용하였으므로, 피고 SK컴즈는 정당한 권한 없는 자가 정보통신망에 접근 · 침입하는 것을 방지할 의무를 위반하였다.
(3) 이 사건 해커가 약 3,500만 명 회원의 개인정보를 유출시키는 동안 대규모 데이터 전송이 발생하였을 것이고, 피고 SK컴즈가 침입탐지시스템을 제대로 설치 · 운영하고 이상 징후를 실시간 모니터링하여 피고 SK컴즈의 개인정보처리시스템에 접속한 IP, 트래픽 등을 분석하였다면 개인정보 전부에 대한 복사명령, 전송명령이 이루어짐을 알 수 있어 개인정보 유출을 충분히 막을 수 있었을 것임에도 피고 SK컴즈는 이를 탐지하거나 방지하지 못하였으므로, 피고 SK컴즈는 정보의 불법 유출을 방지하기 위한 기술적 보호조치와 이를 위한 인력·조직 · 경비의 확보 및 관련 계획 수립 등 관리적 보호조치를 할 의무를 위반하였다.
(4) 사상 최대 규모의 이 사건 해킹 사고가 발생할 정도로 피고 SK컴즈의 보안시스템은 취약한 것으로 보이는데, 안전진단 수행기관으로부터 매년 정보보호지침에 따른 정보보호 안전진단을 받았는지 의문이고, 다른 대형 포털사이트들이 이미 정보보호 관리체계(ISMS, Information Security Management System) 인증을 받았음에도 피고 SK컴즈는 정보보호 관리체계 인증을 받지 않았으며, 오랜 기간 포털사이트를 운영해 왔음에도 2011. 초경에 이르러서야 개인정보보호 관리체계(PIMS, Personal Information Management System) 인증을 신청하는 등 정보통신망의 안전성을 확보할 의무를 이행하지 않았다.
(5) 악성 프로그램이 2011. 7. 18.경 피고 SK컴즈의 내부망에 침입하여 이 사건 해킹 사고가 발생할 때까지 피고 SK컴즈는 악성 프로그램을 발견하지 못하였으므로, 피고 SK컴즈는 악성 프로그램을 항시 점검 · 치료할 수 있는 백신 소프트웨어를 설치하고, 이를 주기적으로 갱신·점검할 의무를 위반하였다.
(6) 이 사건 해킹 사고가 발생하기까지 이미 수백 건 이상의 해킹 사고가 발생한 점, 이 사건 해킹 사고가 저작권법 위반행위로 인한 것인 점, 피고 SK컴즈가 악성 프로그램을 장기간 발견하지 못한 점에 비추어 보면, 피고 SK컴즈는 개인정보를 보호하기에 충분한 내부관리계획을 수립·시행할 의무를 위반한 것으로 볼 수 있다.
(7) 이 사건 해커가 데이터베이스 서버의 관리자 아이디와 비밀번호를 습득하였고, 직원의 컴퓨터로 데이터베이스 서버에 접속하여 개인정보를 유출하였다는 것은 피고 SK컴즈가 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하는 방법으로 인가받지 않은 접근을 제한하지 않은 것을 의미하므로, 피고 SK컴즈는 불법 접근을 탐지하거나 방지하기 위한 시스템을 설치·운영하지 않았다.
(8) 피고 SK컴즈는 정보통신망을 통해 외부 인터넷을 통한 개인정보시스템으로의 불법적인 접근을 원천적으로 불가능하도록 망분리 조치를 할 수 있었음에도 망분리를 하지 않았다.
(9) 피고 SK컴즈는 개인정보시스템 접속을 할 때 아이디, 비밀번호를 통한 개인정보취급자 인증과 더불어 공인인증서 등 추가적인 인증수단을 적용하여야 함에도 이러한 추가적인 인증수단을 도입하지 않았고, 그로 말미암아 이 사건 해커가 키로깅 방식으로 쉽게 해킹할 수 있었다.
(10) 피고 SK컴즈는 MD5 방식을 사용하여 비밀번호를 암호화하였는데, 보안상 취약점이 지적되는 암호화 방식인 MD5 방식만으로는 안전한 보호조치가 이루어진 것으로 보기 어렵고, 피고 SK컴즈가 여기에 개별 이용자별로 별개의 값을 추가해서 해쉬 함수를 적용하여 변형된 암호화 방식을 사용하였다 하더라도, 피고 SK컴즈가 사용한 해쉬 함수는 이용자의 패스워드에 이용자의 아이디를 붙인 것에 불과하여 이 사건 해킹 사고로 이용자의 아이디가 유출된 이상 피고 SK컴즈가 암호화한 개인정보는 쉽게 해독 가능하며, AES 128비트 방식으로 암호화된 주민등록번호도 0에서 9까지의 조합이어서 쉽게 해독이 가능하므로, 피고 SK컴즈는 개인정보가 안전하게 저장 · 전송될 수 있는 암호화 기술을 사용할 의무를 위반하였다.
(11) 피고 SK컴즈는 2011. 7. 26. 이미 해킹 시도를 인지하였음에도, 2011. 7. 28. 오전에서야 비로소 개인정보 유출 사실을 확인하고 경찰에 신고하였는데, 만일 인지 직후에 경찰 등에 의뢰하여 보안강화조치를 하였다면 약 3,500만 명의 개인정보가 전부 유출되는 상황은 방지할 수 있었을 것이므로, 피고 SK컴즈는 사후 조치에 관한 주의의무를 위반하였다.
(12) 이 사건 해킹 사고가 발생하기 전날인 2011. 7. 25. 16:48경부터 17:29 경까지 DB 서버 관리자인 S의 PC로 DB 서버에 로그인하고 업무를 수행하였는데, 작업이 종료된 이후에도 로그아웃을 하지 아니하였다. 이 사건 해킹 사고 발생 당시 피고 SK컴즈가 운용하고 있던 DLP(Data Loss Prevention) 장비에 '관리자 로그인 제한시간 설정 기능'이 포함되어 있었음에도 피고 SK컴즈는 위와 같은 자동로그아웃 시간을 설정하지 않았다. 이로써 이 사건 해커는 DB 서버에 접속하기 위한 두 번째 단계의 인증, 즉 DB 서버 관리자의 이메일로 전송된 일회용 비밀번호(OTP, One Time Password)를 입력하지 않고 DB 서버에 접속하여 개인정보를 유출해 갈 수 있었다. (13) FTP(File Transfer Protocol)는 파일 전송을 위한 프로토콜로서 대량의 파일을 쉽게 송수신하는 역할을 수행하기 때문에 개인정보를 보관하는 DB 서버와 관련된 곳에서는 사용되어서는 안된다. FTP 방식 프로토콜이 설정되어 있는 곳에서는 해커가 빠른 시간에 대량의 정보를 빼내가는 것이 가능하고, 해킹에 걸리는 시간이 짧아 질수록 해킹의 탐지 및 적발이 어려워 해킹 사고 발생의 위험이 커진다. 이러한 FTP 방식 프로토콜의 취약점 때문에 피고 SK컴즈가 내부적으로 정한 '개인정보보호 업무지 침서' 제26조 제4항은 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하지 못하도록 규정하고 있다. 또한, 정보통신망법 제45조에 따라 방송통신위원회가 2010. 2. 3. 고시한 정보보호조치 및 안전진단 방법 · 절차 · 수수료에 관한 지침 [별표1]의 2.2.8.에 따르면, 피고 SK컴즈는 정보통신망의 안정성 등을 확보하기 위하여 게이트웨이 서버에서 불필요한 FTP를 제거할 의무가 있음에도 게이트웨이 서버와 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하였다. 이로써 이 사건 해커는 게이트웨이 서버와 DB 서버 관리자인 S, Z의 각 PC에 설정되어 있던 FTP 방식의 프로토콜을 이용하여 DB 서버로부터 개인정보를 유출해 갈 수 있었다.
(14) 이 사건 해킹 사고 발생 당시 피고 SK컴즈는 와이즈허브 시스템즈의 DLP 솔루션과 주니퍼 네트웍스의 'ISG2000 통합 보안 게이트웨이'라는 방화벽을 사용하고 있었는데, 이 사건 해커가 유출한 각 파일에는 암호화된 주민등록번호뿐만 아니라 이름, 주소, 이메일 주소, 전화번호 등 암호화되지 않은 개인정보들도 포함되어 있었기 때문에, 피고 SK컴즈가 설치한 DLP 솔루션이 정상적으로 작동하였다면 위 각 파일 안에 있는 암호화되지 않은 개인정보가 DLP 솔루션에 의하여 확인되었을 것이고, 트래픽이 많지 않은 심야시간에 2GB, 2GB, 6GB의 개인정보가 외부로 유출되는 것은 비정상적인 일이므로, 피고 SK컴즈가 이를 탐지하지 못한 것은 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적·관리적 보호조치를 위반한 것이다.
2) 피고 이스트소프트에 대한 주장
피고 이스트소프트의 국내 공개용 알집 프로그램은 자동 광고 업데이트 기능이 있어 두터운 방화벽이 존재하더라도 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진입할 수 있으므로, 피고 이스트소프트는 알집 프로그램이 언제든지 해킹 대상이 될 수 있음을 충분히 인식하여 ① 알집 프로그램과 광고 업데이트 서버에 외부의 침입이 있을 경우 위 침입을 탐지하여 이를 철저히 방지해야 하고, ② 내부에 바이러스 또는 악성코드가 유입된 경우 이를 항상 점검하여 치료할 수 있도록 해야 하며, ③ 알집 프로그램과 광고 업데이트 파일이 바이러스, 악성 코드에 감염되었을 경우 정상 파일인지를 항상 검사하여 감염된 파일이 홈페이지 또는 자동 업데이트 기능을 통해 외부로 유출되는 일이 절대로 발생하지 않도록 주의를 기울여야 하고, ④ 업데이 트시 업데이트 파일의 무결성 검증 및 디지털 서명 확인 등의 추가적인 보안조치를 할 의무가 있음에도 이러한 의무를 게을리하여 알집 업데이트 서버의 해킹을 방지하지 못하였으므로, 피고 이스트소프트는 이 사건 해킹으로 인해 원고들이 입은 손해를 배상할 책임이 있다.
3) 피고 대한민국에 대한 주장
가) 피고 SK컴즈에 대해 몇 년 전부터 매년 수백 건의 해킹 사고가 신고되었고, 피고 SK컴즈 보안시스템의 취약점이 지적됐으며, 피고 SK컴즈는 정보보호 관리체계와 개인정보보호 관리체계 등 공식적인 정보보호 관리체계 인증을 받은 사실이 없음에도 피고 대한민국 산하 방송통신위원회는 피고 SK컴즈에 정보보호조치를 하도록 할 의무를 이행하지 아니하여 감독기관으로서의 의무를 위반하였다.
나) 이 사건 해킹 사고 외에도 해킹 사고가 점차 빈번하게 발생하며 고도화되고 있음에도 방송통신위원회는 해킹을 유효하게 방지할 수준의 기술적 조치와 구체적인 기준을 정해 고시하지 아니하여 법령상의 의무를 위반하였다.
4) 원고들의 손해액에 대한 주장
피고들의 위법행위로 인해 원고들의 개인정보가 유출됨으로써 원고들은 사생활이 노출되어 불쾌감이 초래되거나 사회 활동에 지장이 초래될 위험에 노출되었고, 보이스 피싱, 메신저 피싱 및 명의 도용에 따른 경제적 손실을 입게 될 가능성도 있으며, 유출된 개인정보가 유괴·살인 등 범죄목적으로 활용될 수도 있고, 스팸메일 발송에 악용될 우려가 있는 등 개인정보를 제3자가 알게 되거나 이를 도용 또는 악용할지 모를 위험에 노출되었는바, 2차적 손해의 발생사실을 입증하지 않더라도 원고들이 이 사건 해킹 사고로 인해 정신적 고통을 입게 되었을 것임이 경험칙상 인정되므로, 피고들은 각자 원고들에게 청구취지 기재와 같은 돈을 지급할 의무가 있다.
나. 피고들의 주장
1) 피고 SK컴즈의 주장
피고 SK컴즈는 관련 법령에서 정한 기술적·관리적 보호조치를 모두 준수하였다. 따라서, 원고들의 개인정보가 유출되었다는 이유만으로 피고 SK컴즈에 책임을 묻는 것은 결과 책임을 묻는 것과 마찬가지이다. 또한, 원고들의 개인정보가 유출되었다는 사실만으로 원고들에게 실질적인 손해가 발생한 것으로 볼 수 없으며, 가사 원고들에게 손해가 발생하였다 하더라도 지적재산권을 보호하는 저작권법의 보호법익을 고려하면 피고 SK컴즈의 저작권법 위반행위와 원고들의 손해 발생 사이에는 상당인과관계가 없다. 그리고 국내 기업용 알집 프로그램의 업데이트 방식도 국내 공개용 알집 프로그램의 업데이트 방식과 동일한 이상 피고 SK컴즈가 국내 기업용 알집 프로그램을 사용하였다 하더라도 이 사건 해커의 침입 가능성을 배제할 수 없어 피고 SK컴즈의 국내 공개용 알집 프로그램 사용 여부가 이 사건과 인과관계가 있다고 할 수 없으며, 이 사건 해커는 국내 공개용 알집 프로그램 외에도 수많은 다른 경로를 통해 목표로 삼은 대상에 침투하는 것이 가능했을 것이다.
2) 피고 이스트소프트의 주장
① 피고 이스트소프트는 관련 법령에서 요구하는 기술적·관리적 보호조치를 다하였고, 안전진단 결과 아무런 문제가 없음을 확인하였으며, ② 이 사건 해킹 사고 당시 피고 이스트소프트는 ISAPI 필터에 특별히 모듈 파일을 등록하지 않았고, 선별된 IP 주소에서의 접속 외에는 서비스 제공이 정상적으로 이루어졌으며, 이 사건 해킹 사고 전에 ISAPI 필터에 해커가 만든 모듈을 등록하는 방식으로 서버를 조작한다는 선례를 들어보지 못했기 때문에, 피고 이스트소프트로서는 ISAPI 필터를 별도로 점검할 이유가 없었으므로, 피고 이스트소프트가 이 사건 해킹 사고 무렵 ISAPI 필터에 stmpxml.dll 파일을 등록한 사실을 알지 못했다 하더라도, 이러한 사정만으로는 피고 이스트소프트에 알집 업데이트 서버에 대한 관리상 과실이 있는 것으로 볼 수 없고, ③ 가사 그렇지 않다 하더라도 피고 이스트소프트는 개인정보유출이라는 특별한 사정에 대해서 예견할 수 없었으며, (4) 피고 이스트소프트가 유료로 제공하는 국내 기업용 알집 프로그램은 ALAD.dll 파일을 사용하지 아니하고, 만일 피고 SK컴즈가 국내 기업용 알집을 사용하였더라면 이 사건 해킹 사고는 발생하지 않았을 것이므로, stmpxml.dll 파일 등록사실을 알지 못한 과실과 이 사건 해킹 사고 사이에는 상당인과관계가 인정될 수 없다.
3) 피고 대한민국의 주장
① 피고 대한민국 산하 방송통신위원회는 사업자가 제출한 정보보호 안전진단의 결과와 개선권고내용 및 처리결과에 따라 필요하면 개선명령을 할 수 있을 뿐인데, 피고 SK컴즈가 제출한 정보보호 안전진단 결과 개선권고사항이 없는 것으로 통지 · 보고 되었으므로, 방송통신위원회가 피고 SK컴즈에 정보보호조치 개선명령을 해야 한다고는 볼 수 없고, 정보보호 관리체계 인증은 권고사항에 해당하므로 방송통신위원회가 감독기관으로서의 의무를 불이행한 것으로 볼 수 없으며, ② 방송통신위원회는 이 사건 고시를 제정하여 시행하는 등 법령상의 의무를 성실히 이행하였고, ③ 방송통신위원회에 주의의무 위반이 있다 하더라도 그것이 객관적 정당성을 상실한 것으로 볼 수 없으므로, 피고 대한민국은 국가배상책임을 부담하지 아니한다.
3. 판단
가. 정보통신서비스 제공자의 해킹 사고 방지를 위한 주의의무의 정도 정보통신서비스 제공자가 정보통신서비스를 제공하기 위해 이용자로부터 수집한 개인정보를 해킹으로 인해 도난당하였을 때 정보통신서비스 제공자에게 이용자들에 대한 손해배상책임을 지우려면, 정보통신서비스 제공자가 해킹 사고를 방지하기 위해서, 선량한 관리자로서 취해야 할 기술적·관리적 조치 의무를 위반함으로써 해킹 사고를 예방하지 못한 경우여야 할 것이다.
그리고 정보통신서비스가 '개방성'을 특징으로 하는 인터넷을 통하여 이루어지고, 이를 위해 정보통신서비스 제공자가 구축하는 시스템 운영체제나 서버 프로그램은 취약점을 내포하고 있어 끊임없는 해킹 시도에 노출되고 있으며, 운영체제 등 소프트웨어 제조 업체나 보안 프로그램 개발 업체들은 새로운 해킹 기법을 방어하기 위한 보안기술을 사후적으로 보완하는 방식으로 해킹에 대응하고 있는 점 등을 고려하면, 정보통신서비스 제공자가 해킹 사고 방지를 위해 취해야 할 선량한 관리자로서의 주의의무를 위반하였는지는 ① 관련 법령이 정보통신서비스 제공자에게 요구하고 있는 기술적·관리적 보안 조치의 내용, ② 해킹 당시 당해 정보통신서비스 제공자가 취하고 있던 보안 조치의 내용, ③ 해킹 방지 기술의 발전 정도, ④ 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도, ⑤ 해커가 사용한 해킹 기술의 수준, 6 개인정보 유출로 인해 이용자가 입게 되는 피해의 정도 등을 종합적으로 고려하여 판단하여야 할 것이다.
나. 피고 SK컴즈에 대한 청구에 관한 판단
1) 국내 공개용 알집 프로그램 사용으로 인한 손해배상책임 발생 여부 가) 우선 피고 SK컴즈가 저작권법 위반행위로 인해 손해배상책임을 부담하는지에 관하여 살펴본다.
피고 이스트소프트의 라이선스 정책에 의하면, 피고 이스트소프트가 제공하는 국내 공개용 알집 프로그램은 국내의 개인 사용자에게 무료로 제공되는 프로그램이고, 영리기업은 유료로 제공되는 국내 기업용 알집 프로그램을 구매하여 사용하도록 하고 있는 사실은 원고들과 피고 SK컴즈 사이에 다툼이 없으며, 피고 SK컴즈가 영리기업임에도 그 직원들이 국내 공개용 알집 프로그램을 설치하여 사용한 사실은 앞서 인정한 바와 같다.
그런데 설령 피고 SK컴즈가 국내 공개용 알집 프로그램을 사용한 것이 저작권법 위반행위에 해당한다 하더라도, ① 저작권법의 입법취지는 저작자의 권리를 보호하고 저작물의 공정한 이용을 도모하고자 함이고, 저작자의 권리를 침해하는 방법으로 컴퓨터프로그램저작물을 이용하는 과정에서 제3자의 해킹으로 인하여 개인정보가 유출됨으로써 손해가 발생한 경우 그 손해를 입은 자들을 보호하고자 함이 아니라는 점, ② 피고 SK컴즈가 사용한 국내 공개용 알집 프로그램이 불법 복제된 소프트웨어로 보이지 않는 점, 13 이 사건 해커가 피고 이스트소프트의 업데이트 서버를 이용하여 피고 SK컴즈 직원의 컴퓨터에 악성 프로그램을 설치하도록 함으로써 원고들의 개인정보가 유출되었고, 피고 SK컴즈가 사용한 국내 공개용 알집 프로그램 자체에 악성 프로그램이 포함되어 있던 것으로 보이지 않는 점, 4 정보통신망법, 같은 법 시행령, 이 사건 고시 등 관련 법령에서 정보통신서비스 제공자 등에게 요구하는 기술적·관리적 조치에 국내 공개용 알집 프로그램과 같이 저작자가 개인 사용자에게만 사용할 권한을 부여한 컴퓨터프로그램저작물의 사용을 금지하거나 규제하는 내용은 포함되어 있지 않은 점 등을 종합하여 보면, 위 인정사실만으로는 피고 SK컴즈의 저작권법 위반행위와 원고들의 주장과 같은 손해 발생 사이에 상당인과관계가 있다고 보기에 부족하다. 따라서 이러한 상당인과관계를 전제로 한 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다.
나) 다음으로 피고 SK컴즈가 국내 기업용 알집 프로그램을 사용하였더라면, 이 사건 해킹 사고를 막을 수 있었는지에 관하여 살펴본다.이 사건 해커는 국내 공개용 알집 프로그램이 광고 업데이트를 할 때 다운로드 되는 정상적인 ALAD.dll 파일과 동일한 이름의 악성 프로그램을 만들어 해킹에 이용한 사실, 광고 업데이트는 무료로 제공되는 국내 공개용 알집 프로그램에 포함된 기능으로서 국내 공개용 알집 프로그램은 국내 기업용 알집 프로그램과 달리 광고 업데이트를 통하여 전송받은 파일이 수시로 로드되거나 실행되는 사실은 앞서 본 바와 같다.
그러나 한편, 이 사건 해커는 악성 프로그램이 목표로 한 컴퓨터에 설치되도록 하기 위해 먼저 피고 이스트소프트가 운영하는 알집 업데이트 웹사이트의 ISAPI 필터에 stmpxml.dll 파일을 등록한 사실, ISAPI 필터에 stmpxml.dll 파일이 등록되면, 피고 SK컴즈 등 선별된 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우 피고 이스트소프트가 설정한 본래의 다운로드 경로가 아니라 이 사건 해커가 설정한 악성 프로그램 유포지에서 악성 프로그램을 다운로드하게 되는 사실도 앞서 본 바와 같다.
여기에 앞서 든 증거들과 갑 제4호증의 1, 2, 갑 제17호증의 3, 을가 제32, 38호,증의 각 기재 및 변론 전체의 취지에 의하여 인정할 수 있는 다음과 같은 사정, 즉 ① 국내 기업용 알집 프로그램에도 기능 향상이나 오류 수정 등을 위한 업데이트 기능이 포함되어 있는 점, 1② 국내 공개용 알집 프로그램의 업데이트 방식 및 주기(새 버전 존재 여부를 확인하는 주기, 이하 같다)는 국내 기업용 알집 프로그램의 업데이트 방식 및 주기(1일 1회)와 동일하며, 두 제품이 접속하는 업데이트 서버도 동일한 점, ③ 이 사건 해커가 만든 악성 프로그램의 파일 이름이 ALAD.dll로 국내 공개용 알집 프로그램의 업데이트 과정에서 다운로드되는 파일과 동일하기는 하나, 이는 정상적인 파일과 혼동되도록 그 파일 이름을 위와 같이 사용한 것으로 보이고, 위 악성 프로그램 자체는 키로깅 프로그램을 실행시키도록 하는 파일인 점, ④ 피고 이스트소프트는 2011. 8. 4. 및 2011. 8. 11. '이 사건 해커의 공격에 공개용 알집에서 사용하는 광고 업데이트 모듈과 관련한 보안 취약점이 악용된 것이다. 경찰은 해당 회사가 사용중인 IP대역의 업데이트 정보 요청에 대해 공개용 알집 업데이트 서버가 변조된 업데이트 정보를 내려준 것으로 보고 있다. 해당 취약점을 인지한 다음 날인 8. 4. 혹시 모를 추가 해킹을 예방하기 위해 보안 취약점 패치를 완료하였다. 아울러 이러한 유형의 사고를 원천차 단하기 위해 제품 업데이트시 업데이트할 파일이 정상 파일인지 확인하는 무결성 검증을 강화하고, 전송 과정에서의 데이터 변조를 방지하는 등 기존 알약 제품에 적용되어 있는 자가보호기능을 공개용 알툴즈 제품에도 적용할 예정이다.'는 취지로 인터넷 공지를 하였으나, 피고 이스트소프트가 2013. 7. 11.자 준비서면에서 '이 사건 해킹 사고 전까지 기업용 알집 프로그램과 공개용 알집 프로그램 모두 무결성 검증기능이 없었다'고 주장하였던 점에 비추어 해킹에 대한 안전성 측면에서 국내 기업용 알집 프로그램과 국내 공개용 알집 프로그램 사이에 차이가 있었다고 보기 어려울 뿐 아니라 위와 같은 자가 보호기능의 흠결을 피고 SK컴즈의 책임을 인정하는 근거로 삼기는 어려운 점, ⑤ 피고 이스트소프트가 2011. 12. 29.자 준비서면에서 국내 기업용 알집 프로그램은 ALAD.dll 파일을 사용하지 않는다는 이유로 피고 SK컴즈가 국내 기업용 알집 프로그램을 사용하였다면 이 사건 해킹 사고가 발생하지 않았을 것이라고 진술하였으나, 이는 이 사건 해킹 사고의 경위가 경찰의 최종 수사결과에 따라 밝혀지기 전에 이루어진 것으로서 피고 이스트소프트의 국내 공개용 알집 업데이트 서버를 해킹하여 감염시킬 대상을 지정하고 정상 업데이트 파일을 악성 파일로 바꿔치기 하는 수법으로 피고 SK컴즈의 컴퓨터를 감염시켰다는 경찰의 2011. 8. 11.자 보도자료에 기초하였던 것으로 보일 뿐 이를 피고 SK컴즈의 책임을 인정하는 근거로 삼기는 어려우며, 오히려 을가 제38호증의 기재에 의하면 국내 기업용 알집 프로그램도 업데이트시 업데이트 서버로부터 국내 공개용 알집 프로그램과 동일한 ALAD.dll 파일을 다운받는 사실을 인정할 수 있는 점 등을 종합하여 보면, 이 사건 해커가 사용한 것으로 보이는 해킹 기법으로는 피고 SK컴즈가 국내 기업용 알집 프로그램을 사용한 경우에도 국내 기업용 알집 프로그램의 업데이트 과정에서 위와 같은 방식으로 본래의 다운로드 경로가 아닌 악성프로그램 유포지에서 악성 프로그램을 내려받도록 피고 이스트소프트의 업데이트 웹사이트 ISAPI 필터를 조작하는 것이 가능하였을 것으로 보인다.
그렇다면 피고 SK컴즈가 국내 기업용 알집 프로그램을 사용하였더라도 이 사건 해킹 사고를 막을 수 없었을 가능성을 배제할 수 없으므로, 비록 국내 공개용 알집 프로그램이 수시로 광고 업데이트를 하고, 국내 기업용 알집 프로그램보다 그 이용자가 많아 이 사건 해커가 해킹에 이용하는 것이 보다 용이하였을 것으로 추측된다 하더라도, 위 인정사실만으로는 피고 SK컴즈의 국내 공개용 알집 프로그램 사용행위와 원고들 주장과 같은 손해 발생 사이에는 상당인과관계가 있는 것으로 보기에 부족하다. 따라서 이러한 상당인과관계를 전제로 한 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다.
2) 기술적․관리적 보호조치 위반으로 인한 손해배상책임 발생 여부
가) 서비스 약관에 따른 기술적.관리적 보호조치 위반 여부
갑 제10호증의 기재에 변론 전체의 취지를 종합하면, 피고 SK컴즈가 제공하는 서비스와 관련하여 피고 SK컴즈와 회원 사이에 서비스의 이용조건 및 절차, 피고 SK 컴즈와 회원 사이의 권리·의무 및 책임사항 기타 필요한 사항을 정한 서비스 약관 제23조 제2항이 '피고 SK컴즈는 회원의 회원정보를 보호하기 위해 보안시스템을 구축 운영하며, 개인정보취급방침을 공지하고 준수합니다. 또한, 피고 SK컴즈는 개인정보취급 방침에 따라 회원정보를 취급함에 있어 안정성 확보에 필요한 기술적 및 관리적 대책을 수립·운영합니다.'라고 규정하고 있는 사실을 인정할 수 있다.
나) 정보통신망법 등 관련 법령에서 정한 기술적.관리적 보호조치 위반 여부 (1) 최소수집의무 위반 여부
현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률제11322호로 개정된 것) 제23조의2 제1항은 원칙적으로 주민등록번호의 수집·이용을 금지하고, 예외적인 경우에만 이를 수집 · 이용할 수 있는 것으로 개정되었는데, 이 사건 해킹 사고 당시 시행되던 정보통신망법 제23조의2 제1항에서는 정보통신서비스 제공자로서 제공하는 정보통신서비스의 유형별 일일 평균 이용자 수가 대통령령으로 정하는 기준에 해당하는 자는 이용자가 정보통신망을 통하여 회원으로 가입할 경우에 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다고 규정하고 있었고, 제2항에서는 제1항에 해당하는 정보통신서비스 제공자는 주민등록번호를 사용하는 회원가입 방법을 따로 제공하여 이용자가 회원가입 방법을 선택하게 할 수 있다고 규정하고 있었다.
여기에 원고들이 이 사건 해킹 사고 이전에 네이트 또는 싸이월드에 가입한 회원들이라는 점을 더하여 보면, 적어도 이 사건 해킹 사고 이전에는 정보통신망법에 따라 회원들로부터 주민등록번호를 수집하는 것이 가능하였다고 보인다. 따라서 설령 피고 SK컴즈가 주민등록번호 없이 실명제를 운영하는 것이 가능하였다 하더라도, 이러한 사정만으로는 피고 SK컴즈가 이 사건 해킹 사고 이전에 회원들로부터 주민등록번호를 수집한 것이 최소수집의무를 위반한 것이라는 원고들의 주장을 인정하기에 부족하다.
나아가 피고 SK컴즈가 회원들의 전화번호, 주소, 혈액형 등 개인정보를 수집하였다는 사정만으로는 피고 SK컴즈가 개인정보 수집에 관한 의무를 위반하였다는 원고들의 주장을 인정하기에 부족하다.
(2) 정당한 권한 없는 자의 정보통신망 접근. 침입 방지 관련 보호조치 위반 여부원고들은 국내 공개용 알집 프로그램에 자동 광고 업데이트 기능이 있어 이를 사용할 경우 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진입할 수 있다고 주장하나, 이를 인정할 증거가 없다. 따라서 이를 전제로 피고 SK컴즈가 정당한 권한 없는 자가 정보통신망에 접근 · 침입하는 것을 방지하지 아니하였다는 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다.
(3) 정보의 불법 유출 탐지와 방지를 위한 기술적.관리적 보호조치 위반 여부 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적·관리적 보호조치에 관해서는 정보통신망법 제28조 제1항 제2, 3호, 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4, 5조에서 규정하고 있다. 그런데 이러한 규정에서 정한 기술적. 관리적 보호조치에 개인정보처리시스템에서 대량으로 유출되는 정보를 실시간으로 모니터링하는 보호조치가 포함되어 있다고는 보기 어렵다.
나아가 을가 제6, 15 내지 21, 31호증(각 가지번호 포함)의 각 기재에 변론 전체의 취지를 종합하면, ①) 피고 SK컴즈가 작성한 개인정보보호 업무지침서에서는 개인정보관리책임자의 허가를 얻어 개인정보 접근권한이 부여될 수 있도록 하고(제22조), 개인정보 접근권한 대장과 관련 기록을 작성하여 보관하도록 규정하면서(제23조), 업무 특성에 따른 접근권한 부여 기준(제24조), 접근권한의 변경과 말소에 대한 기준(제25 조), 접근권한 프로그램의 보안을 위한 비밀번호의 작성 규칙(제26조), 개인정보 접근로그 저장, 로그의 보관·관리, 로그에 대한 확인·감독을 통한 불법적인 접근 · 사용모니터링(제29조) 등에 대하여 정하고 있는 사실, ② 피고 SK컴즈는 개인정보취급자가 외부에서 개인정보관리시스템에 접근하는 경우 가설사설망(VPN)을 통해 접근하도록하고 있는 사실, ③ 피고 SK컴즈는 주식회사 안철수연구소, 인포섹 주식회사 등과 개인정보시스템에 대한 침입차단시스템 또는 침입탐지시스템 설치, 유지보수, 증설계약 등을 체결하여 침입차단시스템과 침입탐지시스템을 설치·운영하고 있는 사실을 인정할 수 있다.
위 인정사실에 비추어 볼 때, 피고 SK컴즈는 정보통신망법 제28조 제1항 제2, 3호, 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4, 5조에서 정한 기술적·관리적 보호조치를 이행하고 있다고 보이며, 여기에 앞서 본 바와 같이 이 사건 해커는 이 사건 해킹 사고 발생 1년 전부터 이미 해킹을 위한 도메인을 만들어 놓고 수 개의 정보통신망에 대해 오랜 기간 지속적으로 해킹을 시도해 왔으며, 피고 SK컴즈 등 선별된 특정 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우에만 다운로드 경로를 변경하도록 조작하여 그 탐지가 쉽지 않은 방법을 사용하는 등 이 사건 해커가 사용한 해킹의 수법, 해킹 방지 기술의 한계, 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등을 종합하여 보면, 피고 SK컴즈가 이 사건 해킹 사고 당시 대량의 정보가 유출되는 이상 징후를 감지하지 못하였다는 사정만으로는 피고 SK컴즈가 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적·관리적 보호조치를 위반하였다는 원고들의 주장을 인정하기에 부족하다.
(4) 정보보호 안전진단 및 정보보호 관리체계 인증 등 정보통신망의 안전성 확보 관련 보호조치 위반 여부
먼저 피고 SK컴즈가 정보보호 안전진단과 관련하여 정보통신망의 안전성 확보 관련 보호조치를 이행하지 아니하였다는 원고들의 주장은 이를 인정할 증거가 없다. 오히려 을가 제28, 30호증의 각 1, 2의 각 기재에 변론 전체의 취지를 종합하면, 피고 SK컴즈는 정보통신망법 제46조의3에 따라 2009. 10, 12.부터 2009. 10. 16.까지 주식회사 에이쓰리시큐리티로부터, 2010. 8. 23.부터 2010. 9. 3.까지 주식회사 안철수 연구소로부터 각 정보보호 안전진단을 받은 사실, 각 정보보호 안전진단 결과 정보보호조치를 양호하게 또는 적절히 이행하고 있다는 확인을 받은 사실을 인정할 수 있다.
다음으로 이 사건 해킹 사고 당시 피고 SK컴즈가 정보통신망법이 정한 정보보호 관리체계 인증을 받지 않은 사실은 원고들과 피고 SK컴즈 사이에 다툼이 없다.
그러나 한편, 정보통신망법 제47조는 정보보호 관리체계가 방송통신위원회가 고시한 기준에 적합한지에 관하여 방송통신위원회나 한국인터넷진흥원이 지정하는 기관으로부터 인증을 받을 수 있다고 규정하고 있는 점에 비추어 보면, 이 사건 해킹 사고 당시에는 정보통신망법에 따른 정보보호 관리체계 인증이 정보통신서비스 제공자의 의무사항에 해당하는 것으로 보기 어렵다. 따라서 피고 SK컴즈가 정보통신망법에 따른 정보보호 관리체계 인증을 받지 않은 사정만으로는 정보통신망의 안전성 확보 관련 보호조치를 위반하였다는 원고들의 주장을 인정하기에 부족하다.
(5) 백신소프트웨어 설치 등 보호조치 위반 여부
백신소프트웨어의 설치·운영에 관해서는 정보통신망법 제28조 제1항 제5호, 정보통신망법 시행령 제15조 제5항 및 이 사건 고시 제7조에서 규정하고 있다. 그런데 을가 제25, 26, 27, 31호증(각 가지번호 포함)의 각 기재에 변론 전체의 취지를 종합하면, 피고 SK컴즈는 Symantec Corporation의 백신소프트웨어를 개인용 컴퓨터와 서버에 설치하여 악성 프로그램의 침투 여부를 점검하고 있는 사실, 이 사건 해킹 사고 당시 피고 SK컴즈의 직원 S, Z의 컴퓨터에도 위 백신소프트웨어가 설치되어 있었던 사실, 이 사건 해킹 사고 직전과 직후에도 피고 SK컴즈에서는 위 백신소프트웨어의 업데이트를 하였던 사실, Symantec Corporation은 세계적인 보안업체 중 하나인 사실을 인정할 수 있다.
위 인정사실에 비추어 볼 때, 피고 SK컴즈가 사용하고 있는 위 백신소프트 웨어가 이 사건 해커가 만든 악성 프로그램의 침투 사실을 탐지하지 못하였다는 사정만으로는 피고 SK컴즈가 백신소프트웨어를 설치하고 주기적으로 갱신·점검하지 아니하였다는 원고들의 주장을 인정하기에 부족하다.
(6) 개인정보보호 내부관리계획의 수립시행 관련 보호조치 위반 여부
개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행에 관해서는 정보통신망법 제28조 제1항 제1호, 정보통신망법 시행령 제15조 제1항 및 이 사건 고시 제3조에서 규정하고 있다. 그런데 을가 제6 내지 14호증의 각 기재에 변론 전체의 취지를 종합하면, ① 피고 SK컴즈는 2002. 12. 28. 개인정보에 대한 정보보호활동을 위한 기반조직의 구성, 운영, 관련 사항을 규정함으로써 피고 SK컴즈의 정보보호활동이 지속적으로 이루어지도록 하기 위한 목적으로 개인정보보호 업무지침서를 마련하여 이를 시행해온 사실, ② 개인정보보호 업무지침서에서는 개인정보취급조직의 구성과 운영, 개인정보취급 교육의 계획, 횟수, 대상 및 내용 등에 대하여 규정하고 있는 사실, ② 피고 SK컴즈는 정보보호활동 이행 여부를 점검하고 이를 개선하기 위해 보안감사 기준과 절차를 정하고, 피고 SK컴즈와 협력사에 대한 보안감사를 실시하고 있는 사실, ③ 피고 SK컴즈는 개인정보취급자들에 대해 정기적으로 개인정보 관련 교육을 실시하고 있는 사실, ④ 피고 SK컴즈는 2010. 7. 13. 개인정보사고대응 · 징계규정을 제정하여 개인정보 유출· 도용, 관리 소홀 등의 사유로 개인정보와 관련한 사고가 발생하는 경우 이에 대한 대응 및 처리절차와 임직원에 대한 징계에 관한 사항을 규정하고 있는 사실, 5피고 SK컴즈는 개인정보관리책임자의 변경시 업무인수인계서와 개인정보보완 서약서를 작성하게 하고 있는 사실을 인정할 수 있다.
위 인정사실에 비추어 볼 때, 피고 SK컴즈는 정보통신망법 제28조 제1항 제1호, 같은 법 시행령 제15조 제1항 및 이 사건 고시 제3조에서 정한 내부관리계획을 수립하여 시행하고 있다 할 것이다. 따라서 설령 이 사건 해킹 사고 발생 전에 네이트온을 통한 메신저 피싱으로 인한 피해 사례가 발생하였고, 피고 SK컴즈가 저작권법 위반행위를 하였으며, 피고 SK컴즈 직원의 컴퓨터에 악성 프로그램이 다운로드된 후 이 사건 해킹 사고 발생시까지 그 악성 프로그램을 발견하지 못하였다 하더라도, 이러한 사정만으로는 피고 SK컴즈가 개인정보를 안전하게 취급하기 위한 내부관리계획을 수립·시행하지 아니하였다는 원고들의 주장을 인정하기에 부족하다.
(7) 불법 접근 탐지.방지를 위한 시스템 설치.운영 관련 보호조치 위반 여부 피고 SK컴즈가 침입차단시스템 등 접근 통제장치를 설치·운영하는 등 정보통신망법 제28조 제1항 제2, 3호, 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4, 5조에서 정한 기술적·관리적 보호조치를 이행하고 있는 점은 앞서 본 바와 같다. 그리고 을가 제31호증의 1, 2의 각 기재 및 변론 전체의 취지를 종합하면, 피고 SK컴즈는 개인정보처리시스템에 아이디와 비밀번호를 입력한 후 계속해서 2차 로그인을 위해 이메일로 OTP 번호를 발송하여 로그인하도록 하고, 개인정보처리시스템에 대한 접속 권한을 아이피 주소 등으로 제한하여 인가받지 않은 접근을 제한하는 방화벽을 설치하는 방법으로 침입차단시스템을 설치 · 운영하고 있는 사실, 피고 SK컴즈는 침입 차단시 개인정보처리시스템에 접속한 아이피 주소 등을 재분석하여 불법적인 개인정보 유출시도를 탐지하도록 하는 침입탐지시스템을 설치·운영하고 있는 사실, 개인정보 데이터베이스에 접속하기 위한 절차는, 피고 SK컴즈의 담당자 컴퓨터에서 접속한다고 가정하면, 순차적으로 i) 아이디, 비밀번호로 로그인, ii) 웹 브라우저를 실행한 뒤 'AQ'에 접속, iii) SSL-VPN에 아이디, 비밀번호 입력, iv) VPN 네트워크 인터페이스가 활성화되어 VPN 아이피 주소가 자동 할당, v) 원격데스크탑을 실행해서 게이트 웨이에 아이피 주소를 입력하여 접속, vi) 다른 아이디, 비밀번호로 로그인, vii) 오라클 데이터베이스에 접속하는 프로그램인 오렌지(Orange)를 실행해서 다른 아이디, 비밀번호를 입력하면, 데이터베이스에 질문을 보내고 결과를 내보내도록 함으로써 데이터베이스에 대한 접근을 통제하고 있는 사실을 인정할 수 있다.
위 인정사실에 비추어 볼 때, 피고 SK컴즈는 정보통신망법 제28조 제1항 제2, 3호, 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4, 5조에서 정한 기술적·관리적 보호조치를 이행하고 있다고 봄이 타당하고, 이러한 사정에 이 사건 해커가 사용한 해킹 수법, 해킹 방지 기술의 한계, 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등을 종합하여 보면, 이 사건 해커가 해킹을 통해 피고 SK컴즈의 데이터베이스 서버의 관리자 아이디와 비밀번호를 습득하였다는 사정만으로는 피고 SK컴즈가 불법 접근을 탐지 방지하기 위한 시스템 설치·운영 관련 보호조치를 위반하였다는 원고들의 주장을 인정하기에 부족하다.
(8) 망분리 조치 위반 여부
현행 개인정보의 기술적·관리적 보호조치 기준(2012. 8. 23. 방송통신위원회 고시 제2012-50호로 개정된 것) 제4조 제6항은 정보통신서비스 제공자 등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리하여야 한다고 규정하고 있으나, 이 사건 해킹 사고 당시의 이 사건 고시는 개인정보취급자 컴퓨터 등의 망분리 의무를 별도로 규정하고 있지 않았다.
이러한 사정에 비추어 볼 때, 설령 피고 SK컴즈가 담당 직원의 컴퓨터를 외부 인터넷망과 분리하여 망 차단조치를 한 경우 이 사건 해킹 사고를 막을 수 있었다. 하더라도, 위와 같은 망분리가 정보통신망법 등 관련 규정에서 정한 기술적·관리적 보호조치에 포함되지 않았던 이상 피고 SK컴즈가 위와 같은 망분리 조치를 하지 않았다는 사정만으로는 피고 SK컴즈가 기술적·관리적 보호조치를 위반하였다는 원고들의 주장을 인정하기에 부족하다.
(9) 공인인증서 등 추가적인 인증수단 적용 관련 보호조치 위반 여부 앞서 인정한 사실관계에 의하면, 이 사건 해커는 외부에서 직접 개인정보처 리시스템에 접속한 것이 아니라, 피고 SK컴즈의 내부로 침입한 후 직원의 컴퓨터에서 개인정보처리시스템에 접속하였고, 이 사건 해킹 사고 당시 피고 SK컴즈는 내부에서 개인정보처리시스템에 접속하는 경우 추가적인 인증수단을 적용하지는 아니하였다.
그런데 이 사건 해킹 사고 당시 이 사건 고시 제4조는 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안전한 인증수단을 적용할 의무를 규정하고 있었으나, 내부에서 개인정보처리시스템에 접속하는 경우 추가적인 인증수단 적용은 정보통신망법 등 관련 규정에서 정한 기술적·관리적 보호조치에 포함되지 않았다. 따라
서 이 사건 해킹 사고 당시 피고 SK컴즈가 내부에서 개인정보처리시스템에 접속하는 경우 공인인증서 등 추가적인 인증수단을 강구하지 않아 기술적·관리적 보호조치를 위반하였다는 원고들의 이 부분 주장은 받아들이기 어렵다.
(10) 암호화 기술 사용 관련 보호조치 위반 여부
암호화 기술 등을 이용한 보안조치에 관해서는 정보통신망법 제28조 제1항 제4호, 정보통신망법 시행령 제15조 제4항 및 이 사건 고시 제6조에서 규정하고 있다.
그런데 을가 제6, 22호증, 을가 제23호증의 1, 2의 각 기재에 변론 전체의 취지를 종합하면, 피고 SK컴즈는 이용자의 비밀번호를 일방향 암호화하고, 주민등록번호도 별도로 암호화하여 저장·관리하고 있는 사실, 피고 SK컴즈는 개인정보처리시스템 외의 시스템으로 개인정보를 전송하거나 저장할 때 암호화하도록 하고 있고, 개인정보를 전송할 때에는 개인정보의 추출요청자, 추출항목, 사용목적, 추출대상자, 자료활용기간, 자료보 관방법, 파기책임자 및 파기 예정일 등을 특정하여 관리하고 있는 사실을 인정할 수 있다. 위 인정사실에 의하면, 피고 SK컴즈는 정보통신망법 제28조 제1항 제4호, 정보통신망법 시행령 제15조 제4항 및 이 사건 고시 제6조에서 정한 암호화기술 등을 이용한 보안조치를 이행하고 있다고 봄이 타당하다.
한편 원고들의 주장과 같이 이용자가 네이트온의 자동 로그인 기능을 사용하는 경우 윈도우 레지스트리에 생성되는 UserID와 UserKey가 생성된다 하더라도, 이러한 사정만으로 위 UserKey가 바로 MD5 방식으로 암호화된 해쉬값으로서 피고 SK컴 즈가 이용자의 비밀번호에 이용자의 아이디를 추가하여 MD5 방식으로 암호화한 것으로 단정하기에 부족하다. 또한, 설령 피고의 암호화 방식이 MD5 방식이라고 하더라도 그 해독이 법령 등에 의하여 요구되는 기준보다도 쉽게 될 것이라고 볼 만한 증거도 없다. 나아가 앞서 본 바와 같이 피고 SK컴즈가 정보통신망법 등 관련 법령에서 정한 기술적·관리적 보호조치를 이행하였고, 피고 SK컴즈의 저작권법 위반행위와 원고들의 주장과 같은 손해 발생 사이에 상당인과관계가 인정되지 않는 이상, 설령 피고 SK컴즈가 사용한 암호화 방식이 구식이어서 상대적으로 해독 가능성이 크다고 하더라도 이러한 사정과 갑 제16, 19호증의 각 1, 2의 각 기재만으로는 피고 SK컴즈가 암호화 기술사용 관련 기술적·관리적 보호조치를 위반하였다는 원고의 주장을 인정하기에 부족하다.
(11) 사후 조치에 관한 주의의무 위반 여부
을가 제31호증의 1,2의 각 기재에 변론 전체의 취지를 종합하면, 피고 SK 컴즈는 2011. 7. 27. 13:40경 S이 컴퓨터 cmd창에서 FTP 작업내용을 최초 발견한 후 2011. 7. 28. 07:00~08:00경 유출된 자료가 회원들의 개인정보임을 최종 확인한 사실을 인정할 수 있다.
위 인정사실에 의하면, 피고 SK컴즈가 이 사건 해킹 사고를 인지하였을 때에는 이미 이 사건 해커에 의해 회원들의 개인정보가 모두 유출된 후이므로, 인지 직후 경찰 등에 신고하였더라도 원고들의 주장과 같이 개인정보가 유출되는 상황을 방지할 수 있었다고는 볼 수 없다. 따라서 개인정보 전부의 유출을 방지할 수 있었음을 전제로 피고 SK컴즈가 사후 조치에 관한 주의의무를 위반하였다는 원고들의 이 부분 주장은 받아들이기 어렵다.
(12) DB 서버 관리자가 작업종료 후 로그아웃하지 않았고, 자동로그아웃 시간을 설정하지 않은 행위 관련 보호조치 위반 여부
갑 제18호증의 1, 2의 각 기재에 의하면, 이 사건 해킹 사고 발생 전날인 2011. 7. 25. 16:48경부터 17:29경까지 S의 PC로 서버에 접속하여 업무를 수행하였는데, 작업이 종료된 이후에도 로그아웃을 하지 아니하였던 사실, 이 사건 해킹 사고 발생 당시 피고 SK컴즈가 운용하고 있던 DLP 솔루션 보호기능에 '관리자 로그인 제한시간 설정' 기능이 포함되어 있었던 사실을 인정할 수 있다.
그러나 을가 제31호증의 2의 기재만으로는 이 사건 해커가 사용한 방법처럼 'DB 관리자가 내부에서 DB 서버에 접속하는 경우 두 번째 단계의 인증으로 DB 관리자의 이메일로 전송된 일회용 비밀번호(OTP)를 입력하는 구간이 존재한다는 원고들의 주장을 인정하기에 부족하다.
오히려 을가 제34호증, 을가 제39호증의 1 내지 4의 각 기재에 변론 전체의 취지를 종합하여 인정할 수 있는 다음과 같은 사정, 즉 이 사건 해킹 사고 발생 당시 DB 서버 관리자가 작업종료 후 로그아웃하거나, 자동로그아웃 시간을 설정하는 것은 법령상 의무가 아니었던 점, DB 서버에 접속하는 경우 이메일로 전송된 일회용 비밀번 호(OTP) 입력을 통한 인증은 피고 SK컴즈의 '외부 고객센터 소속 종사자'가 외부에서 DB 서버에 접속하는 경우에 관한 것이고, 이 사건 해커와 같이 'DB 서버 관리자 PC"를 통하여 내부에서 DB 서버에 접속하는 경우 일회용 비밀번호(OTP)를 입력하는 구간은 존재하지 않았던 점, 이 사건 해커는 2011. 7. 26. 오전 시간 동안 수차례 관리자의 아이디와 비밀번호를 새로 입력하고 로그인하였던 점 등을 종합하여 볼 때, 이 사건 해커가 관리자의 아이디와 비밀번호를 이미 파악한 이상 DB 서버 관리자의 로그아웃 여부와 무관하게 DB 서버에 접속할 수 있었을 것으로 보인다.
위와 같은 사정에 비추어 볼 때, 위 인정사실만으로는 이 사건 해킹 사고 발생 전날 DB 서버 관리자가 작업종료 후 로그아웃하지 않았고 이 사건 해킹 사고 발생 당시 피고 SK컴즈가 자동로그아웃 시간을 설정하지 않았던 행위와 원고들 주장과 같은 손해 발생 사이에 상당인과관계가 있다고 인정하기에 부족하다. 따라서 이러한 상당인과관계를 전제로 한 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다.
(13) 게이트웨이 서버와 DB 서버 관리자 PC에 FTP 방식의 프로토콜을 설정한 행위 관련 보호조치 위반 여부
을가 제6호증의 기재에 의하면, 피고가 내부적으로 정한 '개인정보보호 업무지침서' 제26조 제4항이 '개인정보 접근 PC에 대한 NULL session 접근이 불가능하도록 보안설정을 하고, telnet 및 ftp 서비스 등 보안상 취약한 서비스는 제공하지 않도록 한다.'라고 규정하고 있는 사실은 인정된다.
그러나 을가 제31호증의 기재에 변론 전체의 취지를 종합하여 인정되는 다음과 같은 사정, 즉 ① 피고 SK컴즈의 게이트웨이 서버는 정보통신망법 제45조에 따라
방송통신위원회가 2010. 2. 3. 고시한 정보보호조치 및 안전진단 방법 · 절차 · 수수료에 관한 지침 [별표1] 2.2.5.의 라우터가 아니라 윈도우 OS로 작동하는 서버이고, 위 지침 [별표1]의 2.2.8.이 규정한 '라우터에서 불필요한 프로토콜을 제거하는 것'은 위 지침 [별표3]의 라.군에 해당하는 피고 SK컴즈에게 적용되는 의무가 아닌 점, ② DB 서버 관리자의 PC에서 FTP 프로토콜을 삭제하는 것은 법령상 의무가 아니고, 피고가 내부적으로 정한 '개인정보보호 업무지침서' 제26조 제4항은 개인정보 접근 PC를 FTP 서버로 이용할 때(즉, FTP 서비스를 제공하는 경우)에는 클라이언트로 이용할 때와는 전혀 다른 보안 문제가 발생하기 때문에 개인정보 접근 PC를 FTP 서버로 설정하는 행위(즉 개인정보 접근 PC에서 파일 공유를 열어주는 방식을 통해 타 컴퓨터로의 접속 및 파일 전송이 가능하게 만드는 기능)를 금지하는 취지인데, 이 사건 해킹 사고는 개인정보 접근 PC를 FTP 서버로 설정함으로써 발생한 것이 아니라 해커가 개인정보 접근PC를 FTP 클라이언트로 사용하여 개인정보를 전송한 것이므로, 이 사건 해킹 사고와 관련하여 위 업무지침서 위반사항은 존재하지 않는 점, ③ 피고 SK컴즈의 게이트웨이 서버의 FTP 프로토콜과 DB 서버 관리자 PC의 FTP 클라이언트 기능은 평소 업무에 필요한 것이었던 점, ④ 피고 SK컴즈 게이트웨이 서버와 DB 서버 관리자 PC에 FTP 방식의 프로토콜이 설치되어 있지 않았다고 하더라도, 이 사건 해커가 개인정보를 외부로 유출할 수 있는 수단은 메신저 프로그램, 대용량 메일 서비스 등 여러 가지가 있는 점 등을 종합하여 보면, 갑 제17호증의 2의 기재와 피고 SK컴즈가 DB 서버의 게이 트웨이 서버와 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하였다는 사정만으로는 피고 SK컴즈가 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적·관리적 보호조치를 위반하였다거나, 피고 SK컴즈가 DB 서버의 게이트웨이 서버와 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하였던 행위와 이 사건 해킹 사고 사이에 상당인과관계가 있다고 볼 수 없다.
(14) DB 서버 접속내역 및 접속하여 수행하는 업무내역을 제대로 실시간 모니 터링하지 않은 행위 관련 보호조치 위반 여부
갑 제18호증의 1 내지 4, 갑 제24호증의 1, 2, 을가 제11호증의 8, 을가 제18호증의 3의 각 기재에 변론 전체의 취지를 종합하면, 이 사건 해킹 사고 발생 당시 피고 SK컴즈는 와이즈허브 시스템즈의 DLP 솔루션과 주니퍼 네트웍스의 'ISG2000 통합 보안 게이트웨이'라는 방화벽을 사용하고 있었던 사실, 위 DLP 솔루션은 사용자 PC에 저장된 전자문서 및 데이터가 외부로 유출되는 것을 탐지 또는 차단, 로그를 생산하여 자료의 유출을 방지하고 감시 및 추적 기능을 제공하는 자료유출방지시스템으
로서, 이름, 주소, 전화번호, 이메일주소, 주민등록번호, 계좌번호 등 특정 패턴의 정보가 들어 있는 파일을 식별할 수 있고, 이들 정보가 특정 건수 이상 유출될 경우에는 관리자에게 경고를 발송하거나, 유출을 차단시키거나 또는 일시 차단 후 상급자가 승인해야 차단이 해제되는 기능이 있었던 사실, 이 사건 해킹 사고 당시 DLP 솔루션이 암호화되지 않은 이름, 주소, 전화번호, 이메일 주소 등의 개인정보 유출을 탐지하지 못한 사실을 인정할 수 있다.
그러나 앞서 인정한 사실관계와 을가 제35, 36, 42호증의 각 기재에 변론 전체의 취지를 종합하여 인정되는 다음과 같은 사정, 즉 ① 이 사건 해킹 사고 발생 당시 관련 법령에서 정한 기술적·관리적 보호조치에 개인정보처리시스템에서 대량으로 유출되는 정보를 실시간으로 모니터링하는 보호조치가 포함되어 있는 것으로 보기 어려운 점, ② 이 사건 해킹 사고 당시 DLP 솔루션의 설치는 피고 SK컴즈와 동종업계 사업자들 사이에서 보편적으로 사용되던 기술적 조치가 아니었던 점, ③ 피고 SK컴즈가 사용한 DLP 솔루션은 PC에서 외부로 전송되는 내역만을 탐지 대상으로 삼을 수 있었을 뿐, 유닉스 서버인 DB 서버에서 게이트웨이 서버로 전송되는 내역 및 윈도우 서버 운영체제를 사용하는 게이트웨이 서버에서 직원 PC로 전송되는 내역을 탐지할 수는 없었고, 암호화된 비밀번호와 주민등록번호를 탐지할 수는 없었던 사실, ④ 이 사건 해킹 사고 당시 이 사건 해커가 사용한 방식인 command 상태(일명 DOS 창)에서 FTP 명령을 실행하여 파일을 전송할 경우 DLP 솔루션이 이름, 주소, 전화번호, 이메일 주소 등 개인정보 유출을 탐지하지 못하는 프로그램 오류(bug)가 존재하여, 위와 같은 개인정보 유출이 탐지된 내역이 없었던 사실, ⑤ 피고 SK컴즈와 보안관제계약을 체결한 안랩의 모니터링은 '네트워크 장비의 정상 작동' 여부를 위한 것이었으므로 그 임계치를 심야시간과 업무시간을 나누어 설정할 이유가 없었던 점, ⑥ DLP 솔루션에는 파일 용량을 기준으로 정보 유출을 차단하는 기능이 없었을 뿐 아니라, 평소 트래픽에 비하여 이 사건 해커가 2GB, 2GB, 6GB로 나누어 외부로 유출한 파일로 인하여 발생한 트래픽이 이상 징후로 판단하여야 할 정도의 대용량이라고 보기는 어려운 점 등을 종합하여 보면, 피고 SK컴즈가 DLP 솔루션을 구비하고 있었음에도 2011. 7. 26. 새벽부터 2011. 7. 27. 새벽까지 이틀에 걸쳐 대량의 개인정보가 유출되는 이상 징후를 감지하지 못하였다는 사정만으로는 피고 SK컴즈가 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적·관리적 보호조치를 위반하였다는 원고들의 주장을 인정하기에 부족하다.
(15) 소결론
앞서 본 바와 같은 이 사건 해킹 사고 당시 정보통신망법 등 관련 법령에서 정한 기술적·관리적 보호조치의 내용, 피고 SK컴즈가 이행한 기술적·관리적 보호조치의 수준, 이 사건 해커가 사용한 해킹의 수법, 해킹 방지 기술의 한계, 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등을 종합적으로 고려하면, 피고 SK컴 즈가 개인정보 유출 방지에 관한 보호조치를 이행하지 않아 이 사건 해킹 사고를 막지 못한 것으로 보기 어렵고, 따라서 피고 SK컴즈가 계약상 또는 법령상 의무를 위반하였다는 원고들의 주장 사실을 인정할 수 없으므로, 이를 전제로 한 원고들의 위 주장은 더 나아가 살필 필요 없이 이유 없다(정보통신망법 제32조 전문에 의하면, 피고 SK컴 즈의 정보통신망법 제28조 등 위반행위, 즉 피고 SK컴즈의 개인정보보호에 관한 기술적·관리적 보호조치 등 위반행위는 원고들이 입증하여야 하는 것으로 보인다. 가사 정보통신망법 제32조 후문에 따라 피고 SK컴즈가 그 고의 또는 과실 없음을 입증해야 하는 경우로 보더라도, 앞서 살핀 제반 사정 등에 비추어 보면, 피고 SK컴즈에게 원고들 주장과 같은 손해 발생에 대한 고의 또는 과실이 없었던 것으로 인정된다. 한편 피고 SK컴즈가 정보통신망법 등 관련 법령에서 정한 기술적·관리적 보호조치를 이행한 것으로 볼 수 있고, 여기에 해킹 방지 기술에도 일정한 한계가 있는 점, 해킹 방지 기술 도입을 위해서는 경제적 비용 및 그 효용의 정도를 비교하여 판단해야 하는 점 등을 종합하면, 이 사건에서 피고 SK컴즈가 민사상 불법행위책임을 부담하는 것으로 보기도 어렵다).
다. 피고 이스트소프트에 대한 청구에 관한 판단
1) 원고들은, 국내 공개용 알집 프로그램에는 자동 광고 업데이트 기능이 있어, 이를 사용할 경우 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진입할 수 있다고 주장하나, 이를 인정할 증거가 없음은 앞서 본 바와 같다. 그리고 을나 제1, 2호증의 각 1, 2의 각 기재에 변론 전체의 취지를 종합하면, 정보통신망법 제46조의 3에 따라 피고 이스트소프트는 2010. 10. 4.부터 2010. 10. 8.까지, 2011. 7. 18.부터 2011. 7. 22.까지 주식회사 씨에이에스로부터 정보보호 안전진단을 받은 사실, 위 각 진단 결과 정보보호지침의 이행을 확인받았으며, 별도의 개선권고사항이 없었던 사실을 인정할 수 있다. 위 인정사실에 앞서 본 바와 같은 이 사건 해커의 해킹 수법, 해킹 방지 기술의 한계, 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등을 종합하여 보면, 설령 이 사건 해커가 피고 이스트소프트가 운영하는 알집 업데이트 웹사이트의 ISAPI 필터에 stmpxml.dll 파일을 등록하여 알집 업데이트의 다운로드 경로를 변경하였고, 피고 이스트소프트가 국내 공개용 알집 프로그램 업데이트 파일에 무결성 검증 및 디지털 서명 확인 등 보안장치를 갖추지 않은 사정만으로 피고 이스트소프트가 해킹 방지와 관련된 주의의무를 위반하였다는 원고들의 주장을 인정하기에 부족하다. 따라서 이를 전제로 한 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다.
2) 설령 피고 이스트소프트가 이 사건 해킹 사고 당시 알집 업데이트 웹사이트의 ISAPI 필터에 stmpxml.dll 파일이 등록된 사실을 탐지하지 못하고 국내 공개용 알집 프로그램 업데이트 파일에 무결성 검증 및 디지털 서명 확인 등 보안장치를 갖추지 않았던 것이 피고 이스트소프트의 주의의무 위반에 해당하는 것으로 인정된다 하더라도, 피고 이스트소프트가 원고들의 개인정보를 수집하여 보관하는 주체에 해당하지 않는 이상, 특별한 사정이 없는 한 피고 이스트소프트로서는 피고 SK컴즈 회원들의 개인정보가 유출될 수 있다는 점을 예견할 수 없었다고 할 것이다. 따라서 위와 같은 주의의무 위반과 원고들의 개인정보 유출로 인한 손해 발생 사이에는 상당인과관계가 있다고 볼 수 없으므로, 이러한 상당인과관계를 전제로 한 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다.
라. 피고 대한민국에 대한 청구에 관한 판단
1) 감독기관으로서의 의무 위반 여부
정보통신망법 제46조의3 제6항은, 방송통신위원회는 제2항에 따라 제출된 정보보호 안전진단의 결과와 제5항에 따른 통보 내용에 따라 필요하면 정보보호 안전진단을 받은 사업자에게 정보보호조치에 관한 개선명령을 할 수 있다고 규정하고 있다. 그런데 피고 SK컴즈에 대한 안전진단 수행기관인 주식회사 안철수연구소가 2010. 실시한 정보보호 안전진단 결과 피고 SK컴즈가 정보보호조치를 양호하게 이행하고 있는 것으로 확인된 사실은 앞서 본 바와 같으므로, 방송통신위원회가 피고 SK컴즈에 대해 정보보호조치 개선명령을 해야 한다고는 볼 수 없다. 나아가 이 사건 해킹 사고 당시 정보통신망법에 따른 정보보호 관리체계 인증이 정보통신서비스 제공자의 의무사항에 해당하는 것으로 보기 어려운 점은 앞서 본 바와 같다. 따라서 피고 대한민국 산하 방송통신위원회가 피고 SK컴즈에 정보보호조치를 하도록 할 의무를 이행하지 않았다는 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다.
2) 법령상의 의무 위반 여부
피고 대한민국 산하 방송통신위원회가 정보통신망법과 정보통신망법 시행령에 따라 이 사건 고시를 제정하여 고시한 사실은 앞서 본 바와 같고, 점차 고도화, 지능화 되고 있는 해킹을 유효하게 방지할 수 있는 모든 기술적 조치와 구체적인 기준을 사전에 마련하는 것이 현실적으로 어려운 것으로 보이는 점, 이 사건 고시에서 정한 기술적·관리적 조치를 모두 이행하였음에도 이 사건 해킹 사고를 방지하지 못하였다는 결과만으로 이 사건 고시의 내용이 당시 기술적 수준에 비추어 개인정보보호에 현저히 적합하지 않은 것으로 단정할 수 없는 점 등을 종합하여 보면, 해킹을 유효하게 방지할 수 있는 모든 기술적 조치와 구체적인 기준을 고시하지 않아 피고 대한민국이 법령상 의무를 위반하였다는 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다.
4. 결론
그렇다면 원고들의 피고들에 대한 청구는 모두 이유 없다. 제1심판결 중 원고들에 대한 부분은 이와 결론을 같이하여 정당하므로, 원고들의 피고들에 대한 항소는 이유 없어 이를 모두 기각한다.
판사
재판장판사허부열
판사신숙희
판사박선준