서울중앙지방법원 2020.10.29.선고 2016가합563586 판결

나. 방송통신위원회는 피고가 보관·관리하는 B의 회원정보가 인적사항을 알 수 없는 해커에 의하여 2016. 5. 3.경부터 2016. 5. 6.까지 지능형 지속가능 위협(APT) 공격 1)으로 유출되었다고 보아, 민관합동조사단을 구성하여 피고의 개인정보처리시스템 등에 남아있는 접속기록 등을 토대로 개인정보 처리·운영 실태를 조사하였다.다. 방송통신위원회는 민관합동조사단이 작성한 기술 분석 보고서 등을 토대로 2016. 5. 5.부터 2016. 5. 6.까지 사이에 다음과 같은 경로로 B 회원들의 개인정보가 유출된 것으로 판단하였다.

1. 감염단계해커는 2016. 5. 3. 이전 피고의 직원인 C의 D 이메일 계정의 아이디 및 비밀번호를피어 피싱2)의 방법으로 취득한 것으로 추정되며, 불법 취득한 C의 D 이메일 계정을 도용하여 D에 정상적으로 접속하였고, C가 D 클라우드에 저장·관리하고 있는 가족사진 등을 이용하여 악성코드인 'E.zip(E.abcd.scr)’ 파일을 생성하였다.해커는 불법 취득한 아이디와 비밀번호를 이용하여 C의 D 이메일 계정에 정상적으로 접속하여 C가 수발신한 이메일의 내용을 분석한 후, C의 동생이 표현하는 말투, 이모티콘 등을 바탕으로 이메일을 작성한 뒤, 2016, 5, 3. 16:38경 발신자 주소를 C 동생의 실제 D 이메일로 변조하여 “G”이라는 제목의 이메일에 악성코드인 E.zip 파일을 첨부하여 C의 D 이메일 주소로 전송하였다.2016, 5, 3, 17:15경 C는 동생의 이메일 주소 명의로 발송된 이메일을 피고 회사 내 자신의 업무용 PC에서 열람한 다음 첨부파일을 실행하였고, 이에 따라 가족사진이 포함된 화면보호기를 위장한 악성코드에 C PC가 최초 감염되었다. C는 사내 바이러스백신(H사 제품)을 이용하여 악성코드 감염 여부를 점검하였으나, 해당 백신은 악성코드를 탐지하지 못하였다.2. 내부 전파단계해커는 2016. 5. 3. 17:38경 악성코드에 감염된 C PC에서 피고의 직원들이 공용으로 사용하는 내부 업무용 프로그램 설치 등을 위한 파일공유서버(일명 'HERA’ 서버)에 네트워크공유를 이용해 관리자 계정(사전에 계정을 확보한 것으로 추정)으로 원격접속하고 2016. 5.3. 17:41경 악성코드를 파일공유서버(HERA)에 업로드 한 다음 이를 실행하였다.해커는 2016. 5. 3. 22:38경부터 파일공유서버(HERA)를 원격으로 조종하여 사전에 확보한 PC 공통 비밀번호로 내부망의 네트워크 공유 연결을 시도하여, 연결에 성공한 PC에 원격으로 접속하여 악성코드를 감염시켰다.3. 거점 확보단계해커는 2016. 5. 4. 22:30경 파일공유서버 (HERA)에서 피고의 DB서버 관리자인 | 대리(개인정보취급자)의 업무용 PC에 사전에 확보한 공용관리계정인 J'를 이용하여 원격데스크톱 방식으로 접속하였고, 2016. 5. 4. 23:04경에는 다시 파일공유서버(HERA)에서 | PC에개인정보취급자의 계정을 이용하여 원격데스크톱 방식으로 접속하였다.당시 | PC는 외부에서 VPN)으로 접속하여 장애처리 등의 업무를 수행하고자 켜놓은 상태로 망분리 프로그램인 미라지웍스 VDesk를 통해 업무망에 접속이 되어 있었고, 일명'STG Client'라는 서버접근제어 프로그램에 접속이 되어 있는(접속기록을 확인한 결과,vDesk는 2016. 5. 2. 08:05경부터 2016. 5. 9. 08:04경까지, STG Client는 2016. 5. 2.08:06경부터 2016. 5. 9. 08:04경까지 접속을 유지한 상태에 있었다) 취약한 상태에 놓여있었다. 해커는 2016. 5. 5. 02:10경 | PC를 통해 회원들의 개인정보가 저장된 DB서버(HQDB 서버)에 별도의 인증 없이4) 1차로 접속에 성공함으로써 정보유출의 거점을 마련하였다.4. 유출 단계해커는 2016. 5. 5. 11:20경 피고의 다른 직원인 K의 업무용 PC에서 I PC에 원격데스크톱 방식으로 접속하였고, 2016. 5. 5. 11:39| PC를 경유하여 회원정보가 저장되어 있는HQDB 서버에 별도의 인증 없이 2차로 접속하였으며, 2016. 5. 5. 12:08경부터 2016. 5.6. 00:06 경까지 HQDB 서버 내에 회원들의 개인정보를 백업한 DB 백업본을 웹서버5)와 공유하고 있는 공용 파티션 폴더에 16개의 파일로 분할하여 저장하였다.또한, 해커는 2016. 5. 5. 16:47경 웹 서버에 접속하여 2016. 5. 5. 17:22경부터 2016.5, 6. 01:05경 까지 공용 파티션 폴더에 분할되어 있는 개인정보 파일 16개를 다시 웹 서버경로에 저장하였고, 2016. 5. 5. 17:25경부터 2016. 5. 6. 01:06경까지는 웹서버에 저장된개인정보 파일 16개를 | PC로 다운로드하였고, 2016. 5. 5. 17:25경부터 2016. 5. 6.02:05경 이전까지 I PC에 다운로드 된 개인정보파일 16개를 K PC로 이동시킨 것으로 보인다.피고의 방화벽 로그를 분석한 결과, 해커는 2016. 5. 5. 17:54 경부터 2016. 5. 6. 02:05경까지 K PC에서 16개의 파일을 20여회에 걸쳐 외부의 수원 소재 PC방으로 전송하였다.경찰청으로부터 제공받은 PC방에 남아있는 1TB 용량의 이미지 파일을 분석한 결과, 이사건 해커가 K PC로부터 탈취한 다량의 개인정보 파일을 시스템/휴지통에 19개 파일로 제장(삭제)한 흔적을 확인하였다.

라. 방송통신위원회는 2016. 12. 6. 피고가 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것, 이하 '구 정보통신망법'이라 한다) 제28조 제1항 제2호, 구 정보통신망법 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 같다) 제15조 제2항 제5호, 개인정보의 기술적·관리적 보호조치 기준(방송통신위원회 고시 제2015-3호, 이하 '이 사건 보호조치기준'이라 한다) 제4조 제10항을 위반하여 개인정보처리시스템에 최대접속시간 제한 조치 등 접근통제를 소홀히 하였고, 구 정보통신망법 제28조 제1항 제4호, 구 정보통신망법 시행령 제15조 제4항 제1호, 이 사건 보호조치기준 제6조 제1항을 위반하여 시스템 비밀번호 관리를 소홀히 하였다는 이유로, 구 정보통신망법 제64조의3 제1항 제6호에 따라 과징금 4,480,000,000원을 부과하는 등의 처분을 하였다.

마. 피고는 서울행정법원 2017 구합53156호로 방송통신위원회의 위 과징금 부과 처분등의 취소를 구하는 소를 제기하였으나, 2018. 7. 5. 청구를 기각하는 판결을 선고받았다. 이에 피고는 서울고등법원 2018누56291호로 항소하였으나 2019. 11. 1. 항소기각 판결을 선고받았고, 다시 대법원 2019두60851호로 상고하였으나 2020. 3. 12. 상고기각 판결을 선고받았다(이하 '관련 행정사건'이라 한다).

[인정근거] 다툼 없는 사실, 갑 제1, 4, 5, 6, 9호증, 을 제2호증의 각 기재, 변론 전체의 취지

2. 손해배상책임의 근거 규정

가. 관련 규정

구 정보통신망법제27조의3(개인정보 유출등의 통지·신고)(①) 정보통신서비스 제공자등은 개인정보의 분실·도난·유출(이하 "유출등"이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게 알리고 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터24시간을 경과하여 통지 · 신고해서는 아니 된다.1. 유출등이 된 개인정보 항목2. 유출등이 발생한 시점3. 이용자가 취할 수 있는 조치4. 정보통신서비스 제공자등의 대응 조치5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처제28조(개인정보의 보호조치)① 정보통신서비스 제공자 등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의설치·운영4. 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치제32조의2(법정손해배상의 청구)① 이용자는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정하는 기간 내에 정보통신서비스 제공자 등에게 제32조에 따른 손해배상을 청구하는 대신 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 정보통신서비스제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.1. 정보통신서비스 제공자 등이 고의 또는 과실로 이 장의 규정을 위반한 경우2. 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.제64조의3(과징금의 부과 등)① 방송통신위원회는 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을과징금으로 부과할 수 있다.6. 이용자의 개인정보를 분실·도난·유출·위조 · 변조 또는 훼손한 경우로서 제28조 제1항 제2호부터 제5호까지의 조치를 하지 아니한 경우구 정보통신망법 시행령제15조(개인정보의 보호조치)② 법 제28조 제1항 제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다.1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템"이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치④ 법 제28조 제1항 제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장 ·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다.1. 비밀번호의 일방향 암호화 저장2. 주민등록번호, 계좌정보 및 바이오정보 등 방송통신위원회가 정하여 고시하는 정보의암호화 저장3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버구축 등의 조치4. 그 밖에 암호화 기술을 이용한 보안조치⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.이 사건 보호조치기준제1조(목적)① 이 기준은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 "법"이라 한다)제28조 제1항 및 같은 법 시행령 제15조 제6항에 따라 정보통신서비스 제공자등(법 제67조에 따라 준용되는 자를 포함한다. 이하 같다)이 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출, 변조·훼손 등이 되지 아니하도록 안전성을 확보하기 위하여취하여야 하는 기술적·관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다.제2조(정의)2. "개인정보취급자”란 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는파기 등의 업무를 하는 자를 말한다.6. "비밀번호”라 함은 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.제4조(접근통제)⑧ 정보통신서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는비밀번호 작성 규칙을 수립하고, 이를 적용 · 운용하여야 한다.정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.10 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대접속시간 제한 등의 조치를 취하여야 한다.제6조(개인정보의 암호화)① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.

나. 이 사건에 적용될 근거 규정

구 정보통신망법 제32조의2 제1항은 정보통신서비스 제공자가 고의 또는 과실로 구 정보통신망법 제4장(제22조 내지 제32조의 3)의 규정을 위반한 경우로서 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 이용자가 정보통신서비스 제공자 등에게 3,000,000원 이하의 범위에서 손해배상을 청구할 수 있다고 규정하고 있다.

그런데 개인정보 보호에 관한 관련 법령이 개인정보 보호법으로 통합되면서 구 정보통신망법 제32조의2 등 구 정보통신망법의 개인정보 보호에 관한 규정은 2020. 2. 4. 법률 제16955호 개정으로 삭제되었다. 개인정보 보호법 제39조의2는 구 정보통신망법 제32조의2와 유사하게 개인정보의 유출로 인한 법정손해배상책임을 규정하고 있는데, 구 정보통신망법 규정과는 달리 '개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우' 정보주체가 개인정보처리자에게 3,000,000원 이하의 범위에서 손해배상을 청구할 수 있다고 정하여, 개인정보처리자의고의 또는 과실과 개인정보의 분실·도난·유출 등과 사이의 인과관계를 명시적으로 요구하고 있다.

다만 개정된 정보통신망법 및 개인정보 보호법의 부칙은 구 정보통신망법 제32조의2의 적용에 관한 별도의 경과규정을 두지 않고 있으므로, 이 사건에는 이 사건 개인정보 유출 사건 발생 당시 발효 중이던 구 정보통신망법 제32조의2가 적용되어야 한다.

3. 구 정보통신망법 제32조의2에 따른 손해배상책임의 발생가 구 정보통신망법 제4장 규정의 위반 여부

1) 제28조 제1항 제2호 위반

가) 구 정보통신망법 제28조 제1항은 "정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다"고 규정하고 있고, 제2호에서 "개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영"을 규정하고 있다.

구 정보통신망법 시행령 제15조 제2항 본문은 "법 제28조 제1항 제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다"고 규정하고 있고, 제5호에서 "그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치"를 규정하고 있다. 구 정보통신망법 시행령 제15조 제6항의 위임에 따라 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정한 이 사건 보호조치기준 제4조 제10항은 "정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대접속시간 제한 등의 조치

를 취하여야 한다"고 규정하고 있다.

나) 앞서 든 증거들에 변론 전체의 취지를 보태어 인정되는 다음과 같은 사정들을 종합하면, 피고는 구 정보통신망법 제28조 제1항 제2호, 구 정보통신망법 시행령 제15조 제2항 제5호, 이 사건 보호조치기준 제4조 제10항에서 정한 최대접속시간 제한조치를 취하지 않은 것으로 봄이 상당하다.

① 피고의 망분리 프로그램(미라지웍스 VDesk) 및 서버 접근제어 프로그램(STG Client) 자체는 회원들의 개인정보를 처리하지 않으나, 망분리 프로그램 및 서버 접근제어 프로그램의 인증이 유지되고 있는 이상 개인정보가 저장되어 있는 HQDB 서버 접속을 위한 로그인 절차를 통과한 상태가 지속된다. 이와 같이 망분리 프로그램 및 서버접근제어 프로그램은 HQDB 서버에 접근하기 위한 인증 역할을 담당하고 있어 개인정보처리시스템에 접속하기 위한 보조적 역할을 하는 인증 프로그램에 해당한다. 따라

서 망분리 프로그램 및 서버 접근제어 프로그램 자체가 '개인정보처리시스템'에 해당하는지 여부와는 무관하게 이 사건 보호조치기준 제4조 제10항의 준수 여부는 개인정보 취급자가 개인정보처리시스템에 접속한 후 최대접속시간이 경과하면 접속이 실제로 종료되는지를 기준으로 판단해야 한다. 접속의 종료란 위 규정의 취지상 '완전한 접속종 료'를 의미하므로, 개인정보취급자가 '최초' 접속한 것과 동일한 방법으로 개인정보처리 시스템에 접속하도록 조치가 취해졌는지를 기준으로 판단하여야 한다.

피고의 DB서버 관리자인 I의 업무용 PC는 2016. 5. 2. 08:06 서버 접근제어 프로그램에 접속한 이후 2016. 5. 9. 08:04까지 약 7일 동안 서버 접근제어 프로그램에 접속이 유지된 상태로 있었는바, 해커는 위 기간 중 언제라도 HQDB 서버에 추가적인 인증을 하지 않고도 접근할 수 있는 상태였다.

③ 피고는 HQDB 서버에 'tcp_keepidle = 14400'이라는 명령어를 사용하여 접속한 한 후 2시간이 경과하면 자동적으로 연결이 종료되는 상태였다고 주장한다. 그러나 피고직원 M의 접속기록을 보면 2016. 5. 9. 07:57경부터 2016. 5. 11. 17:49경까지 약 2일 19시간 동안 HQDB 서버에 접속이 이루어졌음에도 접속제한이 이루어지지 않았을 뿐만 아니라 2016. 5. 9. 11:17경 명령어를 입력한 뒤 2016. 5. 10. 11:26경 재차 명령어를 입력하기까지 약 1일이 경과되었음에도 접속제한이 이루어지지 않는 등 HQDB 서버에서 완전한 접속종료가 이루어지지 않았다. 결국 피고가 주장하는 위와 같은 기능이 작동한 것으로 보이지 않고, 피고 직원 N도 경찰조사에서 "로그상으로는 접속시간에 따라 접속이 끊겼다는 증거를 찾지 못하였다"고 진술하기도 하였다.

(4) 피고는 개인정보취급자인 의 PC에 10분이 경과하면 자동으로 잠금상태가 되는 설정을 하였으므로 최대접속시간 제한조치를 한 것이라고 주장하나, PC의 자동잠금 상태만으로는 잠금 상태가 발생하기 전 이루어진 접속까지 차단되는 것은 아니어서 HQDB 서버 접속이 종료된 것으로 볼 수 없으므로 이를 최대접속시간 제한 조치를 한 것이라고 보기는 어렵다.

2) 제28조 제1항 제4호 위반

가) 구 정보통신망법 제28조 제1항 제4호는 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 "개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치"를 하여야 한다고 규정하고 있고, 구 정보통신망법 시행령 제15조 제4항 제1호는 구 정보통신망법 제28조 제1항 제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 "비밀번호의 일방향 암호화 저장" 조치를 하여야 한다고 규정하고 있으며, 구 정보통신망법 시행령 제15조 제6항의 위임에 따른 이 사건 보호조치기준 제6조 제1항은 "정보 통신서비스 제공자등은 비밀번호는 복호화되지 아니하도록 일방향 암호화하여 저장한 다"고 규정하고 있다. 한편, 이 사건 보호조치기준 제2조 제6호는 비밀번호라 함은 "이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다"고 규정하고 있다.

나) 앞서 든 증거들에 변론 전체의 취지를 종합하면, 최초로 감염된 C PC에는 내부 서버 및 업무용 PC 등에 접속할 수 있는 공용관리 계정의 비밀번호를 평문으로 기록한 파일(파일명 '계정.txt')이 저장되어 있었던 사실, 피고의 NAS6) 공유서버에 패스워 드관리대장 엑셀 파일이 저장되어 있었는데, 엑셀 파일에 암호가 설정되어 있기는 하였으나 같은 서버에 엑셀 파일의 암호가 평문으로 기록된 파일(파일명 '시스템운영팀 문서비밀번호.txt)이 함께 저장되어 있었고, 엑셀 파일에는 개인정보취급자 등이 DB서버, 웹 서버 등에 접속할 때 필요한 비밀번호가 기록되어 있었던 사실을 인정할 수 있다.

피고는 개인정보취급자 등의 비밀번호에 관하여 이 사건 보호조치기준 제6조 제1항에서 정한 일방향 암호화 보안조치를 취하지 않았다 할 것이고, 이는 구 정보통신망법 제28조 제1항 제4호 위반에 해당한다.

다) 이에 대하여 피고는, 구 정보통신망법 제28조 제1항 제4호, 구 정보통신망법 시행령 제15조 제4항이 비밀번호 암호화조치 대상을 '개인정보'에 한정하고 있음에도 이 사건 보호조치기준 제2조 제6호는 개인정보취급자 등의 비밀번호까지 이 사건 보호, 조치기준에서 정하는 비밀번호의 범위에 포함시켜 결과적으로 개인정보취급자 등의 비밀번호까지 암호화 보안조치의 대상으로 규정하였으므로, 헌법상 법률유보 원칙과 포괄위임금지 원칙을 위반하여 무효라고 주장한다.

그러나 다음과 같은 사정에 비추어 보면, 이 사건 보호조치기준 제2조 제6호에서 개인정보취급자 등의 비밀번호를 포함한 것이 법률유보 원칙이나 포괄위임금지 원칙을 위반한 것이라고 볼 수 없다. 피고의 위 주장은 받아들일 수 없다.

① 구 정보통신망법 제28조 제1항 제4호는 대통령령으로 정하는 기준에 따라 '개인 정보를 안전하게 저장·전송할 수 있는' 암호화기술 등을 이용한 보안조치를 취할 것을 규정하고 있다. 구 정보통신망법 시행령 제15조 제4항 각 호는 '개인정보가 안전하게 저장 · 전송될 수 있도록' 비밀번호의 일방향 암호화 저장, 주민등록번호 등의 암호화 저장, 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등 구체적인 조치를 규정하고 있다. 이와 같이 비밀번호에 관한 암호화조치의 목적은 '개인정보의 안전한 저장·전송'이므로, 이러한 목적을 달성하기 위하여 개인정보를 다루는 개인정보취급자에 대한 보안조치 역시 요구된다.이 사건 보호조치기준 제4조 제8항은 "정보통신서비스 제공자등은 개인정보취급자를 대상으로 비밀번호 작성규칙을 수립하고 이를 적용·운용하여야 한다"고 규정하고 있고, 제9항은 "정보통신서비스 제공자등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다"고 규정하고 있다. 이러한 규정은 이용자의 정보를 효과적으로 관리하기 위해 이를 다루는 개인정보취급자의 정보 또한 외부에 유출되지 않도록 요구하는 것이다.

③ 이 사건 보호조치기준 제2조 제6호가 이용자의 비밀번호뿐만 아니라 개인정보취 급자의 비밀번호까지 포함하여 규정한 것은, 개인정보취급자에 대한 보안조치의 필요성과 중요성에 기인한 것으로 위임규정에서 사용한 비밀번호라는 용어의 문언적 한계를 벗어나지 않을 뿐만 아니라 위임규정의 목적을 달성하기 위한 것으로서 합리적인 이유가 있다.

라) 또한 피고는, 이 사건 보호조치기준 제2조 제6호의 비밀번호는 모든 시스템 또는 정보통신망이 아니라 개인정보처리시스템 및 그에 접속하기 위한 정보통신망에 접속할 때 이용되는 비밀번호에 한정되는데, C PC 및 NAS 공유서버에 저장되어 있던 비밀번호 중 개인정보처리시스템 및 그에 접속하기 위한 정보통신망과 관련된 것은 없었으므로, 구 정보통신망법 제28조 제1항 제4호를 위반한 것으로 볼 수 없다고 주장한다.

그러나 다음과 같은 사정에 비추어 보면, 이 사건 보호조치기준 제2조 제6호의 비밀번호가 개인정보처리시스템 및 그에 접속하기 위한 정보통신망에 접속할 때 이용되는 비밀번호에 한정된다고 보기 어렵다. 이를 전제로 하는 피고의 위 주장도 받아들일 수 없다.

① 이 사건 보호조치기준 제2조 제6호는 비밀번호의 범위를 개인정보처리시스템 및 그에 접속하기 위한 정보통신망에 접속할 때 사용하는 비밀번호로 한정하지 않고 있다.

② 구 정보통신망법 제28조 제1항 제2호에 따라 개인정보에 대한 불법적인 접근을 차단하기 위한 조치를 규정한 구 정보통신망법 시행령 제15조 제2항의 제1, 2호는 "개 인정보처리시스템에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행"(제1호), "개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영"(제2 호)을 규정하여 개인정보처리시스템에 대한 특정한 조치를 규정하고 있으나, 제4호는 개인정보처리시스템에 대한 수식어 없이 "비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영"을 규정하고 있다.

③ 개인정보를 보호하기 위해서는 개인정보처리시스템만 보호하면 되는 것이 아니라 연관된 모든 장치 및 사항들을 종합적으로 보호할 필요가 있다.

3) 제27조의3 제1항 위반

구 정보통신망법 제27조의3 제1항에 따르면, 정보통신서비스 제공자가 개인정보가 유출된 사실을 안 때에는 그때로부터 24시간 이내에 유출된 개인정보 항목, 유출이 발생한 시점 등을 해당 이용자에게 알려야 한다.

갑 제2호증 1, 2의 각 기재에 변론 전체의 취지를 종합하면, 피고가 늦어도 2016. 7. 11. 회원들의 개인정보가 유출된 사실을 알게 된 사실, 그런데 피고는 2016. 7. 25. 비로소 원고들에게 개인정보 유출 사실을 통지한 사실을 인정할 수 있다. 피고는 구 정보통신망법 제27조의3을 위반하였다.

나. 개인정보 유출

앞서 든 증거들에 변론 전체의 취지를 보태어 인정되는 다음과 같은 사정을 종합하면, 해커는 피고의 HQDB 서버에 저장되어 있던 원고들을 포함한 B 회원들의 개인정보 파일을 웹서버에 16개로 분할하여 복사한 뒤 IPC와 K PC를 거쳐 PC방으로 이동시켰으므로 원고들의 개인정보가 유출되었다고 봄이 상당하다.

① 해커는 개인정보취급자인 I PC를 통하여 HQDB 서버로 접속하였고, B 회원들의 개인정보가 저장되어 있던 덤프 파일을 1,500 메가바이트나 1,000 메가바이트로 나누는 등의 명령어를 사용하였다. 또한, 해커가 백업된 개인정보 파일을 웹 서버 등으로 복사하거나 웹 서버에서 I PC를 경유하여 개인정보 파일을 다운받은 기록 등이 존재하고, NAS와 웹 서버에 위 개인정보 파일과 동일한 크기의 파일에 대한 기록도 존재한 ② 웹서버 PC와 K PC→외부(PC방) 사이에는 방화벽이 설치되어 있었는데, 웹서버 PC의 방화벽에는 개인정보 파일과 유사한 크기의 파일들이 전송된 기록이 존재한다. 또한 K PC → 외부(PC방)의 방화벽에는 약 9.4 기가바이트가 전송된 기록이 있다.

③ PC방에서는 약 540 메가바이트 파일 24개, 약 380 메가바이트 파일, 약 200 메가바이트 파일, 약 120 메가바이트 파일 각 1개의 삭제 혼적이 발견되었는바, 그 파일 크기의 합은 약 13.2 기가바이트로 개인정보 파일의 크기인 약 12.8 기가바이트와 크기가 유사하다.

① 해커는 2016. 7. 11. 피고의 직원 이에게 유출된 개인정보를 화면에 띄운 동영상을 전송하였고, 위 동영상에는 B 회원들의 개인정보가 존재한다.

⑥ 피고는 2016. 7. 25. 원고들에게 해킹으로 이름, 생년월일, 휴대폰번호, 이메일, 주소 등이 유출되었다고 안내하였다.

다. 인과관계의 요부

피고는 구 정보통신망법 제32조의2에 의한 손해배상책임이 인정되기 위해서는 정보통신서비스 제공자의 위 법률 규정 위반행위와 개인정보의 유출 사이에 인과관계가 인정되어야 하는데, 앞서 본 피고의 각 구 정보통신망법 위반행위와 원고들의 개인정보 유출 사이에 인과관계가 인정되지 않는다고 주장한다.

그러나 앞서 든 증거들에 변론 전체의 취지를 보태어 인정되는 다음과 같은 사정 등에 비추어 보면, 정보통신서비스 제공자가 고의 또는 과실로 구 정보통신망법 제22조 내지 제32조의3을 위반하고, 개인정보가 분실·도난·유출·위조·변조 또는 훼손되었다는 사정이 발생하기만 하면 위 법률규정의 위반행위와 개인정보의 분실·도난·유출 등과의 인과관계가 있는지 여부와 관계없이 정보통신서비스 제공자에게 구 정보통신망법 제32조의2에 의한 손해배상책임이 인정된다고 해석함이 타당하다. 피고의 위 주장은 인과관계의 존부에 관하여 더 나아가 살펴볼 필요 없이 이유 없다.

① 구 정보통신망법 제32조의2는 손해배상책임의 발생요건으로 정보통신서비스 제공자 등의 고의 또는 과실로 인한 구 정보통신망법 제22조 내지 제32조의3 위반과 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 병렬적으로 나열하면서, 위 두 가지에 모두 해당하는 경우라고 규정하고 있을 뿐이다. 위 두 가지 조건 사이의 인과관계 등 관계에 관해서는 아무런 내용을 두지 않고 있다.

1② 구 정보통신망법 제32조의2와 같은 법정손해배상책임은 2014. 5. 28. 법률개정으로 도입되었는데, 개정이유는 "최근 은행, 카드사 등에서 1억 건이 넘는 개인정보가 유출되는 사건이 발생하는 등 개인정보 누출사고가 지속적으로 발생하고 있고, 특히 정보통신망을 통한 개인정보 유출은 그 피해 정도가 지대하며, 유출된 개인정보는 2차 피해 발생 가능성도 높아 사전에 개인정보가 유출되지 못하도록 법적·제도적 장치를 마련할 필요성이 크므로, 개인정보보호조치를 강화함과 동시에 동 법상의 의무위반에 대한 정보통신서비스 제공자의 처벌을 엄격히 하고, 법정 손해배상제도를 도입하는 등 이용자 권리구제 수단을 보완 하기 위한 것이었다(정보통신망법 제12681호 개정 이유 참조).

③ 관련 행정사건에서 피고는 방송통신위원회가 구 정보통신망법 제64조의3 제1항 제6호에 따라 과징금을 부과하려면 구 정보통신망법 제28조 제1항 제2, 4호 위반과 개인정보 유출 사이에 인과관계가 필요하다고 주장하였고, 구 정보통신망법 제64조의 3 제1항 제6호는 제32조의2 제1항과 유사하게 이용자의 개인정보를 분실·도난·유출·위조· 변조 또는 훼손한 경우로서 제28조제1항 제2호부터 제5호까지의 조치를 하지 아니한 경우 방송통신위원회가 과징금을 부과할 수 있다고 정하고 있다. 관련 행정사건의 1심 및 2심 법원은 모두 위 규정의 형식과 내용, 개정이유 등에 비추어 구 정보통신망법 위반과 개인정보의 유출 사이에 인과관계가 요구되지 않는다고 판단했고, 피고는 이와 같은 판단을 포함하고 있는 항소심 판결에 대하여 상고하였으나 상고기각 판결을 선고 받았다.

라. 고의·과실

1) 정보통신서비스 제공자인 피고가 회원들의 개인정보를 보호하기 위해 구 정보통신망법 등 관련 법령상 어떠한 조치를 해야 하는지 확인하고 이를 이행할 의무가 있음에도 이를 게을리 하여 최대접속시간 제한 조치 및 비밀번호의 암호화를 위한 조치를 취하지 않았고, 개인정보 유출을 안 때로부터 24시간 이내에 원고들에게 이를 알리지 않았으므로, 피고에게 구 정보통신망법 제28조 제1항 제2, 4호 및 제27조의3 제1항을 위반한 과실이 인정된다.

2) 이에 대하여 피고는, 이 사건 보호조치기준 제4조 제10항은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대접속시간 제한 등의 조치를 취하여야 한다고 규정하고 있어, '개인정보처리시스템' 자체에만 최대접속시간 제한 등의 조치를 취하면 족하다고 해석하고 HQDB 서버의 최대 접속시간을 2시간으로 제한하고, I PC에 자동잠금 설정을 하였으므로, 구 정보통신망법 제28조 제1항 제2호를 위반한 데에 고의, 과실이 없다고 주장한다.

그러나 앞서 본 바와 같이 HQDB 서버의 최대접속시간을 2시간으로 제한하는 기능이 제대로 작동하지 않았고 IPC의 자동잠금 상태 설정만으로는 HQDB 서버 접속이 종료된 것으로 볼 수 없다. 그밖에 피고가 제출한 증거들만으로는 피고가 최대접속시간 제한 기능이 제대로 작동하고 있는지 여부를 확인하거나 이를 개선하기 위한 조치

를 취하였음을 인정하기 부족하다. 따라서 피고의 위 주장은 이유 없다.

3) 또한 피고는, 이 사건 보호조치기준 제2조 제6호의 비밀번호는 모든 시스템 또는 정보통신망이 아니라 개인정보처리시스템 및 그에 접속하기 위한 정보통신망에 접속할 때 이용되는 비밀번호에 한정되는데, C PC 및 NAS 공유서버에 저장되어 있던 비밀번호 중 개인정보처리시스템 및 그에 접속하기 위한 정보통신망과 관련된 것은 없었으므로 위 비밀번호에 대한 암호화 처리를 하지 않았다고 하더라도 구 정보통신망법 제28조 제1항 제4호를 위반한 것으로 볼 수 없고, 따라서 피고에게 위 규정 위반에 대한 고의, 과실이 없다고 주장한다.

그러나 이 사건 보호조치기준 제2조 제6호의 비밀번호는 개인정보처리시스템 및 그에 접속하기 위한 정보통신망에 접속할 때 이용하는 비밀번호에 한정되지 않고, C PC 및 NAS 공유서버에 저장되어 있던 비밀번호 역시 이 사건 보호조치기준 제6조 제1항 에 따라 암호화처리가 필요한 비밀번호에 해당함은 앞서 본 바와 같다.

따라서 피고의 위 주장 역시 이유 없다.

마. 소결

피고는 과실로 구 정보통신망법 제28조 제1항 제2, 4호 및 제27조의2 제1항을 위반하였고 원고들의 개인정보가 유출되었으므로, 피고는 원고들에게 구 정보통신망법 제32조의2 제1항에 따라 3,000,000원 이하의 범위에서 손해를 배상할 의무가 있다(피고에게 정보통신망법 제32조의2 제1항에 의한 손해배상책임을 인정하는 이상, 피고의 책임발생에 관한 원고들의 나머지 주장은 별도로 판단하지 아니한다).

4. 손해배상책임의 범위

가. 이 사건에서 유출된 원고들의 개인정보에는 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소의 전부 또는 일부가 포함되어 있고, 이는 모두 원고들 개인을 식별할 수 있을 뿐만 아니라 사생활과 밀접한 관련이 있는 것이며, 이를 도용한 2 차 피해 발생과 확대의 가능성을 배제하기 어렵다. 또한, 피고는 2016. 7. 11.경 원고들의 개인정보가 유출되었음을 인지하였음에도 그로부터 14일 후인 2016. 7. 25.에야 비로소 원고들에게 이를 통지하여, 원고들이 개인정보 유출에 신속히 대응할 수 있는 기회를 상실케 하였다.

나. 다만 유출된 원고들의 개인정보 중 비밀번호는 이 사건 보호조치기준 제6조 제1 항에 따라 일방향 암호화된 것으로 보이고, 현재까지 원고들의 개인정보가 불특정 다수인에게 공개 또는 열람할 수 있는 상태에 놓였다거나 원고들의 명의가 도용되는 등으로 원고들에게 개인정보의 유출로 인한 추가 법익침해가 발생하였다고 볼 자료는 제출되지 않았다. 또한, 해커가 피고의 내부 전산망에 침입하여 사전에 확보한 공용관리 계정을 통해 개인정보취급자인 I PC에 원격데스크톱 방식에 의한 접속에 성공한 이상 독자적인 방법으로 I PC에서 망분리 프로그램 및 서버 접근제어 프로그램에 로그인하기 위한 계정정보, 비밀번호 등을 취득하여 HQDB 서버에 접속하였을 가능성이 높으므로, 피고가 HQDB 서버의 최대접속시간 제한 조치를 취하였다거나 C PC 및 NAS 서버에 저장되어 있던 비밀번호에 대한 일방향 암호화 조치를 하였더라도 일시적 효과는 있을 수 있었겠으나 궁극적으로 개인정보 유출을 막았을 것이라고 단정하기도 어렵다. 뿐만 아니라 파일형태로 보관 · 처리되는 개인정보의 유출방지가 기술적으로 완벽할 것을 기대하기는 어려운 반면, 기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객의 일정한 개인정보를 수집·보관하는 것이 필요한 현실적인 제약이 있다.

다. 이와 같은 사정에 피고의 개인정보 관리 실태와 유출의 구체적인 경위 등 이 사건 변론과 증거조사에 나타난 여러 사정들을 종합적으로 고려하면, 피고가 원고들에게 배상하여야 할 손해액은 각 100,000원으로 정함이 상당하다.

따라서 피고는 원고들에게 각 100,000원 및 이에 대하여 개인정보가 유출된 날 이후로 원고들이 구하는 이 사건 소장 부본 송달 다음날인 2016. 11. 9.부터 피고가 이행의무의 존재 여부나 범위에 관하여 항쟁하는 것이 타당하다고 인정되는 이 사건 판결 선고일인 2020. 10. 29.까지는 민법이 정한 연 5%, 그 다음날부터 다 갚는 날까지는 소송촉진 등에 관한 특례법이 정한 연 12%의 각 비율로 계산한 지연손해금을 지급할 의무가 있다.

5. 결론

원고들의 청구는 각 위 인정범위 내에서 이유 있으므로 인용하고 나머지 청구는 이유 없으므로 기각하기로 하여 주문과 같이 판결한다.

판사

재판장판사한성수

판사박미선

판사안지열

주석

1) APT(Advanced Persistent Threat) 공격이란, 해커가 다양한 보안 위협을 만들어 특정 기업이나 조직의 네트워크에 지속적으로 가하는 공격을 뜻한다. 지능형 지속 공격이라 한다. 특정 조직 내부 직원의 PC를 장악한 뒤 그 PC를 통해 내부 서버나 데이터베이스에 접근한 뒤 기밀정보 등을 빼오거나 파괴하는 것이 APT 공격 수법으로, 불특정 다수보다는 특정 기업이나 조직 대상으로 한트렌드 지식사전 2(F), APT (Advanced Persistent Threat), 네이버 지식백과, https://terms.naver.com/entry.nhn?docld-2718628&cid=55571&categoryId=55571(2014. 523.)]. 2)격스피어성공률피싱을(Spear높이기위해Phishing)공격이란,대상에특정한대한개인정보들이나를수집회사를하고대상이를으로분석한하여피싱(피싱phishing공격)을공격수행을하는말하며형태,이다공격자(두산가백과사전,에스피공어 피싱, 네이버지식백과, https://terms.naver.com/entry.nhn?docId=3434661&cid=40942&categoryId=32828(2020. 10. 26. 화인)].

3) VPN(Virtual Private Network)이란, 공중 또는 공용 IP(Internet protocol) 인프라 내에 구축된 사설망. 인트라넷(intranet) 와부에서 가상의 선로를 만들어 인트라넷에 접속하는 것을 의미하며, 인트라넷을 외부에 개방하지 않고도 필요한 사용자에게 인트라넷에 접근할 있도록 허용하는 것이다[컴퓨터인터넷IT용어대사전, 가상 사설망, 네이버지식백과, 4)위망분리프로그램(미라지웍스Desk)및https://terms.naver.com/entry.nhn?docld=841238&cid=42344&categoryId=42344(2011서버접근제어프로그램(STGClient)계정.은1.개인20.)].정보취급자인DB서버관리자가사 내에서 정상적으로 DB서버에 접근하기 위해서는 ①) 윈도우 접속, ② 업무땅 접속, ③ 서버접근제어 프로그램 접속 순으로 3단계 사용자 인증절차를 반드시 거쳐야 하나, 사고당시 접속이 유지된 상태였으므로, 해커는 별도의 인증절차를 거치지 않아도 서버망(HQDB 서버, 웹 서버)에 직접 접속이 가능하였다.

5) 웹 서버(Web Server)란, 콘텐츠를 저장하거나 처리하는 컴퓨터 또는 소프트웨어. 일반적으로 웹 서버가 되는 컴퓨터에 설치되는 소프트웨어를 말한다. 웹 서버 소프트웨어는 HTTP 프로토콜을 통해 클라이언트(웹 브라우저)의 요청 정보를 받아 처리하고 그 결과를 다시 클라이언트에 보낸다. 클라이언트가 요청하는 자원(리소스)을 URL(Uniform Resource Locator) 형태로 받아 내부 파일 시스템과 매핑하여 처리하거나, URL과 입력 값(예: 로그인 화면의 아이디, 패스워드 등)을 함께 받으면 사전에 약속된 처리를 한 후 그 결과를 클라이언트에 전달한다 IT용어사전(L협회), 웹 서버, 네이버지식백과, https://terms.naver.com/entry.nhn?docld-855038&cid=42346&categoryId=42346(2018. 8. 24.)]. 6) NAS(Network Attached Storage, 네트워크 결합 스토리지 시스템)란, 네트워크에 연결된 파일 수준의 데이터 저장 서버로, 네트워크 상의 다른 기기들에게 파일 기반 데이터 저장 서비스를 제공한다(두산백과, NAS, 네이버지식백과, https://terms.naver.com/entry.nhn?docld=2807120&cid=40942&categoryId=32832(2020. 10, 26. 확인)].

참조조문

-정보통신망 이용촉진 및 정보보호 등에 관한 법률

-정보통신망 이용촉진 및 정보보호 등에 관한 법률 제22조

-정보통신망 이용촉진 및 정보보호 등에 관한 법률 제27조의2 제1항

-정보통신망 이용촉진 및 정보보호 등에 관한 법률 제27조의3

-정보통신망 이용촉진 및 정보보호 등에 관한 법률 제27조의3 제1항

-정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조 제1항