beta
사건
2012가합101743 손해배상 ( 기 )
2012가합102449 ( 병합 ) 손해배상 ( 기 )
원고
별지 원고 명단 기재와 같다 .
원고 A , B , C , D을 제외한 나머지 원고들 소송대리인 법무법인 유
담당변호사 남광진
乙 주식회사
소송대리인 법무법인 내일
담당변호사 정갑생 , 최린아
변론종결
2014 . 7 . 22 .
판결선고
2014 . 8 . 14 .
주문
1 . 원고 A , B , C , D의 소를 각하한다 .
2 . 원고 A , B , C , D을 제외한 나머지 원고들의 청구를 모두 기각한다 .
3 . 소송비용은 원고들이 부담한다 .
청구취지
피고는 원고들에게 각 1 , 000 , 000원 및 이에 대하여 2011 . 7 . 26 . 부터 이 사건 소장 부 본 송달일까지는 연 5 % , 그 다음 날부터 다 갚는 날까지는 연 20 % 의 각 비율로 계산 한 돈을 지급하라 .
이유
1 . 기초 사실
가 . 당사자의 지위
1 ) 피고는 인터넷상에서 검색 , 커뮤니티 등을 기반으로 각종 정보를 제공하는 포털 서비스사업을 하는 회사로서 네이트 ( NATE ) , 네이트온 ( NateON ) , 싸이월드 ( CYWORLD ) 와 같은 온라인 서비스를 제공하고 있다 .
2 ) 원고들은 피고가 제공하는 네이트와 싸이월드의 한쪽 또는 양쪽 서비스에 가입 한 사람들로서 , 가입 당시 피고에게 아이디 , 비밀번호 , 주민등록번호 , 성명 , 생년월일 , 이메일 주소 , 전화번호 , 주소 등 개인정보를 제공하였다 .
나 . 해킹 사고의 발생
1 ) 중국에 거주하는 것으로 추정될 뿐 인적사항을 알 수 없는 해커 ( 이하 ' 이 사건 해커 ' 라 한다 ) 는 2011 . 7 . 21 . 00 : 40경 피고의 DB기술팀 직원인 E의 컴퓨터에 윈도우 예약작업을 이용하여 , 이 사건 해커가 미리 설정해놓은 임의의 도메인인 ' nateon . duamlive . com ' 에 역접 속을 시도하는 기능을 가진 악성프로그램을 유포하고 , 2011 . 7 . 26 . 부터 2011 . 7 . 27 . 까지 중국 내 불상지에서 자신의 컴퓨터로 E의 컴퓨터에 원격접속하여 피고의 정보통신망 에 침입하였으며 , 네이트 회원정보가 저장되어 있는 데이터베이스 서버 , 싸이월드 회원 정보가 저장되어 있는 데이터베이스 서버 , 중복 저장 회원정보가 저장되어 있는 데이 터베이스 서버에 침입하여 위 각 서버에서 처리 , 보관하고 있는 개인정보를 아이피 주 소 ' 211 . 115 . 112 . 36 ' 이 할당된 컴퓨터인 에듀티에스 서버 ( www . eduts . co . kr ) 로 전송 ( 이하 ' 이 사건 해킹 사고 ' 라 한다 ) 하였다 .
2 ) 이 사건 해킹 사고를 통하여 네이트 또는 싸이월드의 회원 중 34 , 954 , 887명의 개인정보가 유출되었는데 , 유출된 개인정보에는 아이디 , 비밀번호 , 주민등록번호 , 성명 , 생년월일 , 이메일 주소 , 전화번호 , 주소가 포함되어 있고 , 가입 당시 혈액형 , 닉네임 등 을 입력한 일부 회원들의 경우 위 혈액형 , 닉네임 등도 포함되어 있다 .
3 ) 피고는 2011 . 7 . 28 . 이 사건 해킹 사고를 경찰과 방송통신위원회에 신고하였 고 , 네이트와 싸이월드 회원들에게 이 사건 해킹 사고로 인한 개인정보 유출 사실을 공지하였다 .
다 . 경찰의 수사 결과
1 ) 경찰은 2011 . 7 . 28 . 이 사건 해킹 사고에 대한 수사에 착수하였는데 , 경찰의 수사 결과에 의하면 , 이 사건 해커는 다음과 같은 경로로 네이트와 싸이월드 회원들의 개인정보를 유출한 것으로 파악된다 .
가 ) 주식회사 이스트소프트 ( 이하 ' 이스트소프트 ' 라 한다 ) 는 압축 프로그램인 알집 중 국내 공개용의 경우 무료로 배포하는 대신 , 프로그램 실행시 프로그램 창의 일부에 광고가 게시되도록 하여 수익을 얻고 있는데 , 이스트소프트는 위 광고를 교체하기 위해 알집 업데이트 서버를 이용하여 알집 프로그램에 ' ALAD . dll ' 이라는 파일을 전송한다 .
나 ) 이 사건 해커는 정상적인 ALAD . dll 파일이 아닌 동일한 이름의 악성 프로그 램인 ALAD . dll 파일을 만들었고 , 이를 이스트소프트의 알집 업데이트를 통해 국내 공 개용 알집의 사용자 컴퓨터에 설치하기 위해 다음과 같이 이스트소프트의 알집 업데이 트 서버를 이용하였다 .
다 ) 이 사건 해커는 중국 내에 소재한 컴퓨터에 경유지를 설정하기 위한 목적으 로 자신의 ' Y ' 드라이브를 공유한 채 , 원격데스크톱 연결을 하였고 , ' Y ' 드라이브에 저 장되어 있던 ' \ Y \ myxxx \ sb \ dangqian \ stmpxml . dll 파일을 알집 업데이트 서버 중 하나에 최초 복사하여 알집 업데이트 웹사이트의 ISAPI 필터1 ) 에 stmpxml . dll 파일을 등록시켰으며 , 이를 다시 알집 업데이트 서버 중 다른 4개의 서버에 복사하여 같은 방 법으로 ISAPI 필터에 stmpxml . dll 파일을 등록하였다 .
라 ) stmpxml . dll 파일이 ISAPI 필터에 등록되면 , 피고 등 선별된 IP 주소에서 사 용되는 컴퓨터가 알집 업데이트를 요청하는 경우 , 이스트소프트가 설정한 본래의 다운 로드 경로인 ' http : / / aldn . altools . co . kr ' 이 아닌 , 이 사건 해커가 설정한 악성 프로그램 유포지인 ' http : / / inexon . softsforum . org ' 에서 악성 프로그램인 ALAD . dll 파일을 다운로 드받게 된다 . 악성 프로그램인 ALAD . dll 파일이 다운로드되면 , 위 파일은 악성 프로그 램인 ALAD . exe 파일을 생성 , 실행시키고 , 위 프로그램은 키로깅 ( keylogging ) 프로그램 인 nateon . exe 프로그램을 실행시켜 키보드 입력값이 컴퓨터에 파일로 저장되게 한다 .
마 ) 2011 . 7 . 18 . 08 : 58 : 27경 피고의 컴퓨터가 알집 업데이트 과정에서 ' http : / / inexon . softforum . org ' 에서 악성 프로그램인 ALAD . dll 파일을 최초로 다운로드 받았고 , 그 후인 2011 . 7 . 20 . 14 : 59경 피고의 직원인 E의 컴퓨터에 nateon . exe 파일이 생성되어 2011 . 7 . 21 . 02 : 02경 nateon . exe에 감염되었으며 , 2011 . 7 . 23 . 13 : 09경 E의 컴퓨터가 update . exe 파일과 windowsrpc . dll 파일을 실행하였다 .
바 ) 그 후 2011 . 7 . 26 . 02 : 07경 이 사건 해커가 사용한 컴퓨터가 E의 컴퓨터를 거쳐 피고의 DB 관리자인 F의 아이디로 게이트웨이 서버에 접속하였다 .
사 ) 이 사건 해커는 피고의 서버에 침입하여 개인정보를 덤프 ( dump ) 파일로 생 성하여 압축한 다음 , 이를 게이트웨이 서버에 내려받고 , 파일을 송수신하는 통신규약인 FTP ( File Transfer Protocol ) 를 이용하여 위 개인정보 파일을 게이트웨이에서 E의 컴퓨 터와 F의 컴퓨터로 내려받은 다음 , 이를 대한민국 내 경유지인 에듀티에스 사이트를 거쳐 중국으로 전송하였다 . 그 자세한 유출 경로는 다음과 같다 .
( 1 ) 네이트 회원의 개인정보 유출 경로
이 사건 해커는 , 2011 . 7 . 26 . 03 : 42경 custdb2 컴퓨터에서 리눅스 DB 백업 명령어인 exp 명령으로 네이트 회원 개인정보 DB를 ' / data / cust . dmp ' 라는 덤프 포맷 파일로 저장하였고 , 04 : 18경 pinfodb 컴퓨터에서 서로 다른 컴퓨터 사이에 파일을 복 사하는 명령어인 scp 명령으로 custdb2에 저장된 ' / data / cust . dmp ' 파일을 / BACKUP 경 로에 내려받았으며 , 04 : 25경 pinfodb 컴퓨터에서 ' / BACKUP / cus . dmp ' 파일을 '/ BACKUP / cus . dmp . bz2 ' 파일로 압축하였고 , 05 : 36경 pinfodb에 저장된 ' / BACKUP / cus . dmp . bz2 ' 파일을 게이트웨이 서버의 C : Wtemp에 내려받았으며 , 06 : 22경 E의 컴퓨터에서 게이트웨이 서버에 저장된 ' C : \ tempwcus . dmp . bz2 ' 파일을 내려 받았 고 , 06 : 33경 E의 컴퓨터에 저장된 ' cus . dmp . bz2 ' 파일을 에듀티에스 사이트로 전송하였 으며 , 10 : 03경 에듀티에스 사이트에서 중국으로 ' cus . dmp . bz2 ' 파일을 전송하였다 .
( 2 ) 싸이월드 회원의 개인정보 유출 경로
이 사건 해커는 , 2011 . 7 . 26 . 04 : 37경 custdb1 컴퓨터에서 exp 명령으로 싸 이월드 회원 개인정보 DB를 ' / data / cymem . dmp ' 라는 덤프 포맷 파일로 저장하였고 , 05 : 08경 pinfodb 컴퓨터에서 scp 명령으로 custdbl에 저장된 ' / data / cymem . dmp ' 파일을 / BACKUP 경로에 내려받았으며 , 05 : 15경 pinfodb 컴퓨터에서 ' / BACKUP / cymem . dmp ' 파일을 ' / BACKUP / cymem . dmp . bz2 ' 파일로 압축하였고 , 05 : 36경 pinfodb에 저장된 ' / BACKUP / cymem . dmp . bz2 ' 파일을 게이트웨이 서버의 C : \ temp에 내려받았으며 , 06 : 21 경 E의 컴퓨터에서 게이트웨이 서버에 저장된 ' C : Wtempwcymem . dmp . bz2 파일을 내 려받았고 , 06 : 32경 E의 컴퓨터에 저장된 ' cymem . dmp . bz2 ' 파일을 에듀티에스 사이트로 전송하였으며 , 09 : 44경 에듀티에스 사이트에서 중국으로 ' cymem . dmp . bz2 ' 파일을 전송 하였다 .
( 3 ) 중복 저장 회원정보의 유출 경로
이 사건 해커는 , 2011 . 7 . 26 . 04 : 08경 custdb1 컴퓨터에서 exp 명령으로 싸 이월드 회원 개인정보 DB를 ' / tmp / pits . dmp ' 라는 덤프 포맷 파일로 저장하였고 , 04 : 24 경 pinfodb 컴퓨터에서 ' / tmp / pits . dmp ' 파일을 ' / tmp / pits . dmp . bz2 ' 파일로 압축하였으 며 , 05 : 41경 pinfodb에 저장된 ' / BACKUP / pits . dmp . bz2 ' 파일을 게이트웨이 서버의 C : Wtemp에 내려받았으며 , 2007 . 7 . 27 . 01 : 13경 F의 컴퓨터에서 게이트웨이 서버에 저 장된 ' C : Wtempwpits . dmp . bz2 ' 파일을 내려받았고 , 01 : 30경 F의 컴퓨터에 저장된 ' pits . dmp . bz2 ' 파일을 에듀티에스 사이트로 전송하였으며 , 06 : 30경 에듀티에스 사이트 에서 중국으로 ' pits . dmp . bz2 ' 파일을 전송하였다 .
아 ) 한편 , 이 사건 해커는 이 사건 해킹 사고 이전에 2010 . 7 . 7 . 경부터 30회에 걸쳐 이 사건 해커가 설정한 도메인에 역접속을 시도하는 기능을 가진 악성 프로그램 을 유포시켰고 , 2010 . 9 . 14 . 경부터 24회에 걸쳐 정당한 접근권한 없이 피고와 이스트 소프트의 각 정보통신망을 비롯한 수 개의 정보통신망에 침입하였다 .
2 ) 경찰은 2012 . 6 . 20 . 이 사건 해커에 대해 기소중지 의견으로 서울중앙지방검찰 청에 사건을 송치하였고 , 피고의 기술적 · 관리적 조치에 대해서는 관련 법령에서 정한 요건을 위반하지 않은 것으로 판단하였다 .
라 . 관련 법령
구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 2012 . 2 . 17 . 법률 제11322호 로 개정되기 전의 것 , 이하 ' 정보통신망법 ' 이라 한다 ) , 구 정보통신망법 시행령 ( 2011 . 8 . 29 . 대통령령 제23104호로 개정되기 전의 것 , 이하 ' 정보통신망법 시행령 ' 이라 한다 ) , 개인정보의 기술적 · 관리적 보호조치 기준 ( 2012 . 8 . 23 . 방송통신위원회 고시 제 2012 - 50호로 개정되기 전의 것 , 이하 ' 이 사건 고시 ' 라 한다 ) 중 이 사건과 관련된 규 정은 별지 관련 법령 기재와 같다 .
[ 인정 근거 ] 다툼 없는 사실 , 갑 제20 , 25호증 , 을 제30호증의 각 기재 , 변론 전체의 취지
2 . 원고 A , B , C , D의 피고에 대한 소의 적법 여부에 관한 판단
미성년자는 법정대리인에 의하여서만 소송행위를 할 수 있고 ( 민사소송법 제55조 ) , 법 정대리권이 있는 사실은 서면으로 증명하여야 하며 ( 민사소송법 제58조 제1항 ) , 친권은 부모가 혼인 중인 때에는 부모가 공동으로 행사하여야 한다 ( 민법 제909조 제2항 ) .
이 사건에 관하여 보건대 , 원고 A , B , C , D은 이 사건 변론종결일 현재 미성년자이다 . 그런데 ① 원고 A의 경우 그 모인 * * * 가 법정대리인으로서 소송대리인을 선임하였으나 , 그 부인 * * 가 법정대리인으로서 소송대리인을 선임하였다는 점을 인정할 증거가 없다 . ② 원고 B , C의 경우 각 소송위임장의 법정대리인 부분에 " 부 사망 , 모 * * * " 로 기재되어 있고 , 원고 D의 경우 소송위임장의 법정대리인 부분에 " 부 * * * , 모 * * * ' 으로 기재되어 있 으나 , 위 * * * , * * * , * * * 의 법정대리권을 인정할 아무런 증거가 없다 .
따라서 원고 A , B , C , D의 소송대리인은 적법한 소송대리권의 위임을 받지 못한 경 우에 해당하므로 , 위 원고들의 소송대리인이 피고에 대하여 제기한 이 사건 소는 부적 법하다 .
3 . 당사자들의 주장
가 . 원고들의 주장 요지
1 ) 불법행위를 원인으로 한 손해배상청구
피고는 아래와 같은 개인정보 수집 및 관리상의 주의의무 위반으로 이 사건 해커에 의해 원고들의 개인정보가 유출되도록 함으로써 원고들의 재산권 , 인격권 및 개인정보자기결정권을 침해하였으므로 , 불법행위를 원인으로 한 손해배상으로 원고들 에게 각 1 , 000 , 000원 및 이에 대한 청구취지 기재 지연손해금을 지급할 의무가 있다 .
가 ) 개인정보 수집에 관한 주의의무 위반
피고는 회원들의 전화번호 , 주소 , 주민등록번호 , 혈액형 등 과다한 개인정보를 수집함으로써 정보통신망법 제23조 제2항에서 정한 최소수집의무를 위반하였다 .
나 ) 개인정보 관리에 관한 주의의무 위반
( 1 ) 외부에서 개인정보처리시스템에 접속할 때에는 아이디 , 비밀번호를 통한
개인정보취급자 인증과 더불어 공인인증서 등 추가적인 인증수단을 적용하여야 하는 데 , 이러한 추가적인 인증수단을 도입하지 않아 , 이 사건 해커가 키로깅 ( keylogging ) 방 식으로 쉽게 해킹할 수 있었다 ( 이 사건 고시 제4조 제4항 ) .
( 2 ) 이 사건 해커는 네이트와 싸이월드 회원의 개인정보 DB에 대한 접근권한 이 없는 E의 컴퓨터 ( IP ) 에서 위 DB에 대한 접근권한이 있는 F의 DB 관리자 아이디와 비밀번호를 이용하여 위 DB에 접속하였는바 , 피고는 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한하여야 할 주의의무를 위 반하였다 ( 이 사건 고시 제4조 제5항 제1호 ) .
( 3 ) 피고의 DB 서버 관리자는 작업종료 후 로그아웃하지 않은 채 퇴근하였고 , 일정 시간 작업을 수행하지 않으면 자동으로 로그아웃되는 방식의 로그인 시간제한 설정을 하지 않았다 .
( 4 ) 피고가 내부적으로 정한 ' 개인정보보호 업무지침서 ' 제26조 제4항은 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하지 못하도록 규정하고 있다 . 또한 , 정보통신망법 제45조에 따라 방송통신위원회가 2010 . 2 . 3 . 고시한 정보보호조치 및 안 전진단 방법 · 절차 · 수수료에 관한 지침 [ 별표1 ] 의 2 . 2 . 8 . 은 정보통신망의 안정성 등을 확보하기 위하여 게이트웨이 서버에서 불필요한 FTP를 제거하도록 규정하고 있다 . 그 럼에도 피고는 게이트웨이 서버와 DB 서버 관리자의 컴퓨터에 FTP 방식의 프로토콜 을 설정하였고 , 이로 인해 이 사건 해커는 게이트웨이 서버와 DB 서버 관리자인 E과 F의 각 컴퓨터에 설정되어 있던 FTP 방식의 프로토콜을 이용하여 DB 서버로부터 개 인정보를 유출할 수 있었다 .
( 5 ) 이 사건 해커가 약 3 , 500만 명에 이르는 회원들의 개인정보를 유출하는 동안 대규모 데이터 전송이 발생하였을 것인바 , 당시 피고의 개인정보처리시스템에 접 속한 IP , 트래픽 등을 분석하였다면 개인정보에 대한 복사명령 , 전송명령이 이루어짐을 알 수 있었다 . 따라서 피고가 침입탐지시스템과 침입차단시스템을 제대로 설치 · 운영 하여 이상 징후를 실시간 감시하였더라면 개인정보 유출은 충분히 막을 수 있었다 .
( 6 ) 피고는 그 직원들이 유료로 제공되는 국내 기업용 알집 프로그램을 사용 하도록 관리할 의무가 있음에도 , 그 직원들이 개인 사용자에게 무료로 제공되는 국내 공개용 알집 프로그램을 사용하는 것을 방치하였는데 , 이는 저작권법 위반행위에 해당 한다 . 또한 , 국내 공개용 알집 프로그램은 자동 광고 업데이트 기능이 있어 , 두터운 방 화벽이 존재하더라도 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진 입할 수 있는데 , 피고는 이러한 국내 공개용 알집 프로그램을 아무런 방비책 없이 사 용하였는바 , 피고는 정당한 권한 없는 자가 정보통신망에 접근 · 침입하는 것을 방지할 의무를 위반하였다 .
( 7 ) 피고는 MD5 방식을 사용하여 비밀번호를 암호화하였는데 , MD5 방식은 보 안상 취약점이 지적되는 암호화 방식으로 , 위 방식만으로는 안전한 보호조치가 이루어 진 것으로 보기 어렵다 . 피고가 여기에 개별 이용자별로 별개의 값을 추가해서 해쉬 함수를 적용하여 변형된 암호화 방식을 사용하였다 하더라도 , 피고가 사용한 해쉬 함 수는 이용자의 비밀번호에 이용자의 아이디를 붙인 것에 불과하여 , 이 사건 해킹 사고 로 이용자의 아이디가 유출된 이상 피고가 암호화한 개인정보는 쉽게 해독 가능하며 , AES 128비트 방식으로 암호화된 주민등록번호도 0에서 9까지의 조합이어서 쉽게 해독 할 수 있으므로 , 피고는 개인정보가 안전하게 저장 · 전송될 수 있는 암호화 기술을 사 용할 의무를 위반하였다 .
2 ) 채무불이행을 원인으로 한 손해배상청구
원고들은 네이트 또는 싸이월드에 회원가입을 하면서 서비스 이용약관 및 개인 정보취급방침에 동의하고 피고에게 이름 , 주민등록번호 등의 개인정보를 제공하였다 . 따라서 피고는 서비스 이용약관 제23조 제2항에 따라 개인정보를 보호하기 위한 보안 시스템을 구축하여 운영하고 , 개인정보를 취급함에 있어 안정성 확보에 필요한 기술적 및 관리적 대책을 수립 · 운영할 계약상 의무가 있다 . 그럼에도 피고는 위와 같은 계약상 의무를 불이행하여 원고들의 개인정보가 이 사건 해커에 의해 유출되게 함으로써 원고 들에게 재산적 · 정신적 손해를 입게 하였다 .
따라서 피고는 채무불이행을 원인으로 한 손해배상으로 원고들에게 각 1 , 000 , 000원 및 이에 대한 청구취지 기재 지연손해금을 지급할 의무가 있다 .
3 ) 정보통신망법 위반을 원인으로 한 손해배상청구
피고는 ① 원고들의 개인정보를 과다하게 수집하였고 ( 정보통신망법 제23조 제2 항 전단 ) , ② 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하지 않았으 며 ( 정보통신망법 제28조 제1항 , 같은 법 시행령 제15조 제6항 ) , ③ 불필요한 프로토콜 을 제거하지 않았고 ( 정보통신망법 제45조 제2항 , 같은 법 시행령 제39조 제2항 제4호 , 제5항 , 제40조 , 제42조 , 제43조 , 제46조 ) , ④ 침입탐지시스템 및 침입방지 ( 차단 ) 시스템 을 설치 · 운영하지 않거나 주기적인 점검 및 업데이트를 시행하지 않았으며 ( 정보통신망 법 제28조 제1항 제2호 , 같은 법 시행령 제15조 제2항 제2호 ) , ⑤ 비밀번호를 암호화 함에 있어 MD5 방식을 사용하였다 ( 정보통신망법 제28조 제1항 제4호 , 같은 법 시행령 제15조 제4항 제1호 ) , 피고는 위와 같은 정보통신망법 위반으로 원고들에게 재산적 · 정 신적 손해를 입게 하였으므로 , 정보통신망법 제32조에 따FMS 손해배상으로 원고들에 게 각 1 , 000 , 000원 및 이에 대한 청구취지 기재 지연손해금을 지급할 의무가 있다 .
나 . 피고의 주장 요지
피고는 다음과 같은 이유에서 원고들의 청구에 응할 수 없다고 주장한다 . ① 피고 는 관련 법령에서 정한 기술적 · 관리적 보호조치를 모두 준수하였다 . 따라서 원고들의 개인정보가 유출되었다는 이유만으로 피고에게 그 책임을 묻는 것은 결과책임을 묻는 것이다 . ② 원고들의 개인정보가 유출되었다는 사실만으로 원고들에게 실질적인 손해 가 발생한 것으로 볼 수 없으며 , 가사 원고들에게 손해가 발생하였다 하더라도 , 지적재 산권을 보호하는 저작권법의 보호법익을 고려하면 , 피고의 국내 공개용 알집 프로그램 사용에 따른 저작권법 위반행위와 원고들의 손해 발생 사이에는 상당인과관계가 없다 . 나아가 국내 기업용 알집 프로그램에도 ALAD . dll 파일이 존재하고 , 그 업데이트 방식 도 국내 공개용 알집 프로그램의 업데이트 방식과 같은 이상 피고가 국내 기업용 알집 프로그램을 사용하였다 하더라도 , 이 사건 해커의 침입이 가능하였다고 할 것이므로 , 피고의 국내 공개용 알집 프로그램 사용이 이 사건 해킹사고의 발생과 상당인과관계가 있다고 볼 수 없다 .
4 . 사건의 쟁점
원고들은 피고가 서비스 이용약관 및 관련 법령에서 정한 개인정보 수집 및 관리상 의 주의의무를 위반하였음을 전제로 피고에 대하여 불법행위와 채무불이행 및 정보통 신망법 제32조에 따른 손해배상을 선택적으로 구하고 있다 . 따라서 아래에서는 피고가 개인정보 유출 방지에 관한 보호조치를 제대로 이행하지 않음으로써 개인정보 수집 및 관리상의 주의의무를 위반한 잘못이 있는지를 중심으로 검토하기로 한다 . 다만 피고의 서비스 이용약관 제23조 제2항에 따른 기술적 · 관리적 보호조치 이행의무의 구체적인 내용은 , 결국 정보통신망법 등 관련 법령에서 정한 바에 따라 결정된다고 할 것이므로 , 피고의 위 서비스 이용약관 위반 여부 즉 , 채무불이행 여부는 정보통신망법 등 관련 법령에서 정한 의무 위반 여부에 관한 판단 부분에 포함하여 검토하기로 한다 .
5 . 판단
가 . 정보통신서비스 제공자의 해킹 사고 방지를 위한 주의의무의 정도
정보통신서비스 제공자가 정보통신서비스를 제공하기 위해 이용자로부터 수집한 개인정보가 해킹으로 도난을 당한 경우에 이용자들에 대한 정보통신서비스 제공자의 손해배상책임을 인정하기 위해서는 , 정보통신서비스 제공자가 해킹 사고를 방지하기 위하여 선량한 관리자로서 이행하여야 하는 기술적 · 관리적 보호조치 의무를 다하지 못 함으로써 해킹 사고를 예방하지 못한 경우여야 한다 .
그리고 정보통신서비스가 ' 개방성 ' 을 특징으로 하는 인터넷을 통하여 이루어지고 , 이를 위해 정보통신서비스 제공자가 구축하는 시스템 운영체제나 서버 프로그램은 취 약점을 내포하고 있어 끊임없는 해킹 시도에 노출되고 있으며 , 운영체제 등 소프트웨 어 제조 업체나 보안 프로그램 개발 업체들은 새로운 해킹 기법을 방어하기 위한 보안 기술을 사후적으로 보완하는 방식으로 해킹에 대응하고 있는 점 등을 고려하면 , 정보 통신서비스 제공자가 해킹 사고 방지를 위하여 이행해야 할 선량한 관리자로서의 주의 의무의 정도는 ① 관련 법령이 정보통신서비스 제공자에게 요구하고 있는 기술적 · 관 리적 보안 조치의 내용 , ② 해킹 당시 당해 정보통신서비스 제공자가 취하고 있던 보 안 조치의 내용 , ③ 해킹 방지 기술의 발전 정도 , ④ 해킹 방지 기술 도입을 위한 경제 적 비용 및 그 효용의 정도 , ⑤ 해커가 사용한 해킹 기술의 수준 , ⑥ 개인정보 유출로 인해 이용자가 입게 되는 피해의 정도 등을 종합적으로 고려하여 판단하여야 한다 .
나 . 피고의 개인정보 수집 및 관리상 주의의무 위반 여부
1 ) 개인정보 수집에 관한 주의의무 ( 최소수집의무 ) 위반 여부
현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 2012 . 2 . 17 . 법률 제 11322호로 개정된 것 ) 제23조의2 제1항은 원칙적으로 주민등록번호의 수집 · 이용을 금지하고 , 예외적인 경우에만 이를 수집 · 이용할 수 있는 것으로 개정되었는데 , 이 사 건 해킹 사고 당시 시행되던 정보통신망법 제23조의2 제1항에서는 정보통신서비스 제 공자로서 제공하는 정보통신서비스의 유형별 일일 평균 이용자 수가 대통령령으로 정 하는 기준에 해당하는 자는 이용자가 정보통신망을 통하여 회원으로 가입할 경우에 주 민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다 고 규정하고 있었고 , 제2항에서는 제1항에 해당하는 정보통신서비스 제공자는 주민등 록번호를 사용하는 회원가입 방법을 따로 제공하여 이용자가 회원가입 방법을 선택하 게 할 수 있다고 규정하고 있었다 . 따라서 이 사건 해킹 사고 이전에는 정보통신망법 에 따라 회원들로부터 주민등록번호를 수집하는 것이 가능하였다고 할 것인바 , 가사 피고가 주민등록번호 없이 실명제를 운용하는 것이 가능하였다 하더라도 , 이러한 사정 만으로는 피고가 이 사건 해킹 사고 이전에 회원들로부터 주민등록번호를 수집한 것이 최소수집의무를 위반한 것이라고 인정하기 어렵고 , 달리 이를 인정할 만한 증거가 없 다 . 나아가 피고가 회원들의 주민등록번호 외에 전화번호 , 주소 , 혈액형 등의 개인정보 를 수집하였다고 하더라도 , 이러한 사정만으로는 피고가 최소수집 의무를 위반하였다고 인정하기 어렵고 , 달리 이를 인정할 증거가 없다 . 따라서 원고들의 이 부분 주장은 이유 없다 .
2 ) 개인정보 관리에 관한 주의의무 위반 여부
가 ) 공인인증서 등 추가적인 인증 수단 관련 보호조치 위반 여부
원고들은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템 에 접속할 필요가 있는 때에는 아이디 , 비밀번호를 통한 개인정보취급자 인증과 함께 공인인증서 등 안전한 인증 수단이 추가로 마련되어야 함에도 ( 이 사건 고시 제4조 제4 항 ) , 피고가 이러한 의무를 위반하여 이 사건 해커로 하여금 쉽게 개인정보를 유출할 수 있도록 하였다고 주장한다 .
그러나 이 사건 해커는 외부에서 피고의 개인정보처리시스템에 접속한 것이 아니라 , 피고의 내부로 침입한 후 내부 직원인 E의 컴퓨터에서 개인정보처리시스템에 접속하였고 , 이 사건 해킹 사고 당시 피고는 내부에서 개인정보처리시스템에 접속하는 경우 추가적인 인증수단을 적용하지는 않았던 것으로 보인다 ( 이 사건 고시 제4조 제4 항은 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안전한 인증수단을 적용할 의무를 규정하고 있으나 , 내부에서 개인정보처리시스템에 접속하는 경우 추가적인 인증수단을 적용할 의무를 규정하고 있지는 않다 ) . 따라서 외부에서 개 인정보처리시스템에 접속하는 경우를 전제로 공인인증서 등 추가적인 인증수단을 마련 하지 않아 피고가 기술적 · 관리적 보호조치를 위반하였다는 원고들의 이 부분 주장은 이유 없다 .
나 ) 개인정보처리시스템에 대한 접속 권한을 P 주소 등으로 제한할 의무 위반 여부
피고가 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위하여 개인정 보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 차 단하는 시스템을 설치 · 운영하여야 할 의무 ( 이 사건 고시 제4조 제5항 제1호 ) 를 위반하 였는지 보건대 , 을 제30호증의 기재에 의하면 , 이 사건 해커가 네이트와 싸이월드의 DB 서버에 대한 접근권한이 없는 E의 IP 주소로 VPN 서버와 게이트웨이 서버에 접속 한 다음 위 DB 서버에 대한 접근권한이 있는 F의 DB 관리자 아이디와 비밀번호를 이 용하여 위 DB 서버에 접속한 사실이 인정된다 . 한편 을 제43호증의 기재 및 변론 전 체의 취지를 종합하면 , E은 피고의 ' 이글루스 ' 라는 블로그 서비스의 DB 서버 관리자로 서 E에게 부여된 IP 주소로 피고의 VPN 서버와 게이트웨이 서버에 접속할 권한이 있 었던 사실을 인정할 수 있는바 , 이에 의하면 이 사건 해커가 접속이 허용되지 않은 불 특정 IP 주소로 피고의 VPN 서버와 게이트웨이 서버에 접속한 것이 아니라 , 접속이 허용된 E의 IP 주소로 피고의 VPN 서버와 게이트웨이 서버에 접속한 다음 F의 DB 관 리자 아이디와 비밀번호를 이용하여 네이트와 싸이월드의 DB 서버에 접속하였음을 알 수 있으므로 , 비록 E이 네이트와 싸이월드의 DB 서버에 접근할 권한은 없었더라도 피 고의 VPN 서버와 게이트웨이 서버에 접속할 권한이 있었던 이상 ( E의 IP 주소로 네이 트와 싸이월드의 DB 서버에 접속할 수 있었던 것은 이 사건 해커가 F의 DB 관리자 아이디와 비밀번호를 도용하였기 때문이다 ) , 피고가 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여야 할 의무를 위반하였다고 단정할 수 없고 , 달리 이를 인정할 증거가 없다 .
오히려 을 제30 , 40 내지 45호증의 각 기재 및 변론 전체의 취지를 종합하면 , DB 서버를 관리하는 피고의 담당자가 그 DB 서버에 접속하기 위해서는 ① 담당자 컴퓨터 에서 아이디 , 비밀번호로 로그인하고 , ② 웹 브라우저를 실행한 뒤 ' sslvpn . skcomms . co . kr ' 에 접속한 후 , ③ SSL - VPN에 아이디 , 비밀번호 입력하고 , ④ VPN 네트워크 인터페이스가 활성화되어 VPN 아이피 주소가 자동 할당되면 , ⑤ 원격데스크탑을 실행해서 게이트웨이 에 아이피 주소를 입력하여 접속하고 , ⑥ 또 다른 아이디 , 비밀번호로 로그인하여 , ⑦ 오 라클 ( Oracle ) DB 서버에 접속하는 프로그램인 오렌지 ( Orange ) 를 실행해서 또 다른 아이 디 , 비밀번호를 입력하여야 하는 절차를 거쳐야 하는 사실을 인정할 수 있고 , 이에 비추어 보면 , 피고는 DB 서버 담당자에게 부여된 한정된 IP 주소로만 VPN 서버와 게이트웨이 서버를 거쳐 DB 서버에 접속할 수 있도록 함으로써 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 차단할 의무를 이행하였다고 판단된다 . 따라서 원고들의 이 부분 주장은 이유 없다 .
다 ) DB 서버 관리자가 작업종료 후 로그아웃하지 않았고 , 자동 로그아웃 시간을 설정하지 않은 행위 관련 보호조치 위반 여부
피고의 DB 서버 관리자가 이 사건 해킹 사고 발생 전날인 2011 . 7 . 25 . 16 : 48 경부터 17 : 29경까지 자신의 PC로 서버에 접속하여 업무를 수행하다가 작업이 종료된 이후에도 로그아웃하지 않은 사실 , 이 사건 해킹 사고 발생 당시 피고가 운용하고 있 던 DLP 솔루션 보호기능에 ' 관리자 로그인 제한시간 설정 ' 기능이 포함되어 있었던 사 실은 당사자 사이에 다툼이 없거나 갑 제16호증의 기재에 의하여 이를 인정할 수 있 다 . 그러나 을 제30 , 40호증의 각 기재에 변론 전체의 취지를 종합하여 알 수 있는 다 음과 같은 사정들 , 즉 ① 이 사건 해킹 사고 발생 당시 DB 서버 관리자가 작업종료 후 로그아웃하거나 , 자동 로그아웃 시간을 설정하는 것이 법령상 의무는 아니었던 점 , ② DB 서버에 접속하는 경우 이메일로 전송된 일회용 비밀번호 ( OTP ) 입력을 통한 인증은 피고의 ' 외부 고객센터 소속 종사자 ' 가 외부에서 DB 서버에 접속하는 경우에 관한 것 이고 , 이 사건 해커와 같이 ' DB 서버 관리자 PC ' 를 통하여 내부에서 DB 서버에 접속 하는 경우 일회용 비밀번호 ( OTP ) 를 입력하는 구간은 존재하지 않았던 점 , ③ 이 사건 해커는 2011 . 7 . 26 . 오전 시간 동안 수차례 관리자의 아이디와 비밀번호를 새로 입력 하고 로그인하였던 점 등을 종합하여 볼 때 , 이 사건 해커가 DB 서버 관리자의 아이디 와 비밀번호를 이미 파악하였던 이상 , DB 서버 관리자의 로그아웃 여부와 무관하게 DB 서버에 접속할 수 있었을 것으로 보이고 , 내부에서 DB 서버에 접속하는 경우 일회 용 비밀번호 ( OTP ) 를 입력하는 구간은 존재하지 않았으므로 , 앞서 인정한 사실만으로는 이 사건 해킹 사고 발생 전날 DB 서버 관리자가 작업종료 후 로그아웃하지 않았고 이 사건 해킹 사고 발생 당시 피고가 자동 로그아웃 시간을 설정하지 않았던 행위와 원고 들 주장과 같은 손해 발생 사이에 상당인과관계가 있다고 보기에 부족하고 , 달리 이를 인정할 증거가 없다 . 따라서 이와 다른 전제에 선 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다 .
라 ) 게이트웨이 서버와 DB 서버 관리자 컴퓨터에 FTP 방식의 프로토콜을 설정 한 행위 관련 보호조치 위반 여부
을 제5호증의 기재에 의하면 , 피고가 내부적으로 정한 개인정보보호 업무지침 서 제26조 제4항이 ' 개인정보 접근 PC에 대한 NULL session 접근이 불가능하도록 보 안설정을 하고 , telnet 및 ftp 서비스 등 보안상 취약한 서비스는 제공하지 않도록 한 다 . ' 라고 규정하고 있는 사실은 인정된다 . 그러나 앞서 든 증거들에 변론 전체의 취지 를 종합하여 인정되는 다음과 같은 사정들 , 즉 ① 피고의 게이트웨이 서버는 정보통신 망법 제45조에 따라 방송통신위원회가 2010 . 2 . 3 . 고시한 정보보호조치 및 안전진단 방법 · 절차 · 수수료에 관한 지침 [ 별표1 ] 2 . 2 . 5 . 의 라우터가 아니라 윈도우 OS로 작동 하는 서버이고 , 위 지침 [ 별표1 ] 의 2 . 2 . 8 . 이 규정한 ' 라우터에서 불필요한 프로토콜을 제거하는 것 ' 은 위 지침 [ 별표3 ] 의 라 . 군에 해당하는 피고에게 적용되는 의무가 아닌 점 , ② DB 서버 관리자의 컴퓨터에서 FTP 프로토콜을 삭제하는 것은 법령상 의무가 아니고 , 피고가 내부적으로 정한 개인정보보호 업무지침서 제26조 제4항은 개인정보 접근 컴퓨터를 FTP 서버로 이용할 때 ( 즉 , FTP 서비스를 제공하는 경우 ) 에는 클라이언 트로 이용할 때와는 전혀 다른 보안 문제가 발생하기 때문에 개인정보 접근 컴퓨터를 FTP 서버로 설정하는 행위 ( 즉 개인정보 접근 컴퓨터에서 파일 공유를 열어주는 방식 을 통해 타 컴퓨터로의 접속 및 파일 전송을 가능하게 만드는 기능 ) 를 금지하는 취지 인데 , 이 사건 해킹 사고는 개인정보 접근 컴퓨터를 FTP 서버로 설정함으로써 발생한 것이 아니라 이 사건 해커가 개인정보 접근 컴퓨터를 FTP 클라이언트로 사용하여 개 인정보를 전송한 것이므로 , 이 사건 해킹 사고와 관련하여 위 업무지침서 위반사항은 존재하지 않는 점 , ③ 피고의 게이트웨이 서버의 FTP 프로토콜과 DB 서버 관리자 컴 퓨터의 FTP 클라이언트 기능은 평소 업무에 필요하였던 점 , ④ 피고의 게이트웨이 서 버와 DB 서버 관리자 컴퓨터에 FTP 방식의 프로토콜이 설치되어 있지 않았다고 하더 라도 , 이 사건 해커가 개인정보를 외부로 유출할 수 있는 수단은 메신저 프로그램 , 대 용량 메일 서비스 등 여러 가지가 있는 점 등을 종합하여 볼 때 , 피고가 DB 서버의 게 이트웨이 서버와 DB 서버 관리자의 컴퓨터에 FTP 방식의 프로토콜을 설정하였다는 사정만으로는 피고가 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적 · 관리적 보호조치를 위반하였다거나 , 피고가 DB 서버의 게이트웨이 서버와 DB 서버 관리자의 컴퓨터에 FTP 방식의 프로토콜을 설정하였던 행위와 이 사건 해킹 사고 사이에 상당 인과관계가 있다고 볼 수 없고 , 달리 이를 인정할 만한 증거가 없다 . 따라서 원고들의 이 부분 주장은 이유 없다 .
마 ) 개인정보의 불법 유출 탐지와 방지를 위한 기술적 · 관리적 보호조치 위반 여부
정보통신망법 제28조 제1항 제2 , 3호 , 같은 법 시행령 제15조 제2항 및 이 사건 고시 제4 , 5조는 개인정보에 대한 불법적 접근을 차단하기 위한 기술적 · 관리적 보호조치 에 관하여 규정하고 있다 .
그러므로 피고가 위와 같은 기술적 · 관리적 보호조치 의무를 위반하였는지 보 건대 , 을 제5 , 17 , 30 , 41호증 ( 가지번호 포함 ) 의 각 기재 및 변론 전체의 취지를 종합하 면 , 피고가 작성한 개인정보보호 업무지침서에서는 개인정보관리책임자의 허가를 받아 개인정보 접근권한이 부여될 수 있도록 하고 있고 ( 제22조 ) , 개인정보 접근권한 대장과 관련 기록을 작성하여 보관하도록 규정하면서 ( 제23조 ) , 업무 특성에 따른 접근권한 부 여 기준 ( 제24조 ) , 접근권한의 변경과 말소에 대한 기준 ( 제25조 ) , 접근권한 프로그램의 보안을 위한 비밀번호의 작성 규정 ( 제27조 ) , 개인정보 접근 로그 저장 , 로그의 보관 · 관리 , 로그에 대한 확인 · 감독을 통한 불법적인 접근 · 사용 감시 ( 제29조 ) 등에 대하여 정하고 있는 사실 , 피고는 개인정보취급자가 외부에서 개인정보관리시스템에 접근하는 경우 가설사설망 ( VPN ) 을 통해 접근하도록 하고 있는 사실 , 피고는 주식회사 안철수연 구소 , 인포섹 주식회사 등과 개인정보시스템에 대한 침입차단시스템 또는 침입탐지시 스템 설치 , 유지보수 , 증설계약 등을 체결하여 침입차단시스템과 침입탐지시스템을 설 치 · 운영하고 있는 사실 , 피고는 개인정보처리시스템에 아이디와 비밀번호를 입력한 후 계속해서 2차 로그인을 위해 이메일로 OTP 번호를 발송하여 로그인하도록 하고 , 개인 정보처리시스템에 대한 접속 권한을 아이피 주소 등으로 제한하여 인가받지 않은 접근 을 제한하는 방화벽을 설치하는 방법으로 침입차단시스템을 설치 · 운영하고 있는 사 실 , 피고는 침입 차단 시 개인정보처리시스템에 접속한 아이피 주소 등을 재분석하여 불법적인 개인정보 유출시도를 탐지하도록 하는 침입탐지시스템을 설치 · 운영하고 있 는 사실을 인정할 수 있는바 , 이에 비추어 보면 , 피고는 이 사건 해킹 당시 정보통신망 법 제28조 제1항 제2 , 3호 , 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4 , 5조에서 정한 기술적 · 관리적 보호조치를 이행하고 있었던 것으로 보이고 , 여기에 이 사건 해커가 사용한 해킹의 수법 , 해킹 방지 기술의 한계 , 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등을 종합하여 보면 , 피고가 이 사건 해킹 사고 당시 대량의 정보가 유출되는 이상 징후를 감지하지 못하였다 하더라도 , 이러한 사정만으로 는 피고가 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적 · 관리적 보호조치 를 위반하였다고 인정하기에 부족하고 , 달리 이를 인정할 증거가 없다 . 따라서 원고들 의 이 부분 주장은 이유 없다 .
바 ) DB 서버 접속내역 및 접속하여 수행하는 업무내역을 실시간 감시하지 않은 행위 관련 보호조치 위반 여부
을 제30 , 35 , 46 , 47호증 ( 가지번호 포함 ) 의 각 기재 및 변론 전체의 취지를 종 합하면 , 이 사건 해킹 사고 발생 당시 피고는 와이즈허브 시스템즈의 DLP 솔루션과 주니퍼 네트웍스의 ' ISG2000 통합 보안 게이트웨이 ' 라는 방화벽을 사용하고 있었던 사 실 , 위 DLP 솔루션은 사용자 컴퓨터에 저장된 전자문서 및 데이터가 외부로 유출되는 것을 탐지 또는 차단 , 로그를 생산하여 자료의 유출을 방지하고 감시 및 추적 기능을 제공하는 자료유출방지시스템으로서 , 이름 , 주소 , 전화번호 , 이메일 주소 , 주민등록번호 , 계좌번호 등 특정 패턴의 정보가 들어 있는 파일을 식별할 수 있고 , 이들 정보가 특정 건수 이상 유출될 경우에는 관리자에게 경고를 발송하거나 , 위 유출을 차단하거나 , 일 시 차단 후 상급자가 승인하여야 위 차단이 해제되는 기능이 있었던 사실 , 이 사건 해 킹 사고 당시 DLP 솔루션이 암호화되지 않은 이름 , 주소 , 전화번호 , 이메일 주소 등의 개인정보 유출을 탐지하지 못한 사실을 인정할 수 있다 . 그러나 앞서 든 증거들에 변 론 전체의 취지를 종합하여 인정되는 다음과 같은 사정들 , 즉 ① 이 사건 해킹 사고 발생 당시 관련 법령에서 정한 기술적 · 관리적 보호조치에 개인정보처리시스템에서 대 량으로 유출되는 정보를 실시간으로 감시하는 보호조치가 포함된 보기 어려운 점 , ② 이 사건 해킹 사고 당시 DLP 솔루션의 설치는 피고와 동종업계 사업자들 사이에서 보 편적으로 사용되던 기술적 조치가 아니었던 점 , ③ 피고가 사용한 DLP 솔루션은 PC에 서 외부로 전송되는 내역만을 탐지 대상으로 삼을 수 있었을 뿐 , 유닉스 서버인 DB 서 버에서 게이트웨이 서버로 전송되는 내역 및 윈도우 서버 운영체제를 사용하는 게이트 웨이 서버에서 직원 컴퓨터로 전송되는 내역을 탐지할 수는 없었고 , 암호화된 비밀번 호와 주민등록번호를 탐지할 수는 없었던 점 , ④ 이 사건 해킹 사고 당시 이 사건 해 커가 사용한 방식인 command 상태 ( 일명 DOS창 ) 에서 FTP 명령을 실행하여 파일을 전 송할 경우 DLP 솔루션이 이름 , 주소 , 전화번호 , 이메일 주소 등 개인정보 유출을 탐지 하지 못하는 프로그램 오류 ( bug ) 가 존재하여 , 위와 같은 개인정보 유출이 탐지된 내역 이 없었던 점 , ⑤ 피고와 보안관제계약을 체결한 주식회사 안철수연구소의 모니터링은 ' 네트워크 장비의 정상 작동 ' 여부를 위한 것이었으므로 그 임계치를 심야 시간과 업무 시간으로 나누어 설정할 이유가 없었던 점 , ⑥ DLP 솔루션에는 파일 용량을 기준으로 정보 유출을 차단하는 기능이 없었을 뿐 아니라 , 평소 트래픽에 비하여 이 사건 해커 가 2GB , 2GB , 6GB로 나누어 외부로 유출한 파일로 인하여 발생한 트래픽이 이상 징 후로 판단하여야 할 정도의 대용량이라고 보기는 어려운 점 등에 비추어 보면 , 피고가 DLP 솔루션을 갖추고 있었음에도 2011 . 7 . 26 . 새벽부터 2011 . 7 . 27 . 새벽까지 이틀에 걸쳐 대량의 개인정보가 유출되는 이상 징후를 감지하지 못하였다고 하더라도 , 이러한 사정만으로 피고가 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적 · 관리적 보호조치를 위반하였다고 인정하기에 부족하고 , 달리 이를 인정할 증거가 없다 . 따라서 원고들의 이 부분 주장도 이유 없다 .
사 ) 국내 공개용 알집 프로그램 사용 관련 보호조치 위반 여부
( 1 ) 저작권법 위반에 관하여
원고들은 , 피고가 영리기업임에도 저작권법을 위반하여 국내의 개인 사용자 에게 무료로 제공되는 알집 프로그램을 사용한 잘못이 있으므로 , 피고는 원고들에게 이 사건 해킹 사고로 인한 손해를 배상할 책임이 있다고 주장한다 .
이스트소프트의 라이센스 정책에 의하면 , 이스트소프트가 제공하는 국내 공 개용 알집 프로그램은 국내의 개인 사용자에게 무료로 제공되는 프로그램이고 , 영리기 업은 유료로 제공되는 국내 기업용 알집 프로그램을 구매하여 사용하도록 하고 있는 사실은 원고들과 피고 사이에 다툼이 없고 , 피고가 영리기업임에도 피고의 직원들이 국내 공개용 알집 프로그램을 설치하여 사용한 사실은 앞서 본 바와 같다 . 그러나 피 고가 국내 공개용 알집 프로그램을 사용한 것이 저작권법 위반행위에 해당한다고 하더 라도 , 저작권법의 입법 취지는 저작자의 권리를 보호하고 저작물의 공정한 이용을 도 모하고자 함에 있는 것이지 , 저작자의 권리를 침해하는 방법으로 컴퓨터프로그램저작 물을 이용하는 과정에서 제3자의 해킹으로 개인정보가 유출됨으로써 손해가 발생한 경 우 그 손해를 입은 자들까지 보호하고자 함에 있는 것은 아닌 점 , 피고가 사용한 국내 공개용 알집 프로그램이 불법 복제된 소프트웨어로 보이지는 않는 점 , 이 사건 해커가 이스트소프트의 업데이트 서버를 이용하여 피고 직원의 컴퓨터에 악성 프로그램을 설 치하도록 함으로써 원고들의 개인정보가 유출되었던 것이지 , 피고가 사용한 국내 공개 용 알집 프로그램 자체에 악성 프로그램이 포함되어 있던 것은 아닌 점 , 정보통신망법 등 관련 법령에서 정보통신서비스 제공자 등에게 요구하는 기술적 · 관리적 조치에 국내 공개용 알집 프로그램과 같이 저작자가 개인 사용자에게만 사용할 권한을 부여한 컴퓨 터프로그램저작물의 사용을 금지하거나 규제하는 내용이 포함되어 있지는 않은 점 등 을 종합하여 보면 , 앞서 인정한 사실만으로는 피고의 저작권법 위반행위와 이 사건 해 킹 사고로 인한 원고들의 손해 발생 사이에 상당인과관계가 있다고 볼 수 없고 , 달리 이를 인정할 증거가 없다 . 따라서 이와 다른 전제에 선 원고들의 이 부분 주장은 더 나아가 살펴볼 필요 없이 이유 없다 .
( 2 ) 국내 공개용 알집 프로그램 사용과 이 사건 해킹 사고 사이에 상당인과관계가 존재하는지 여부
피고가 국내 기업용 알집 프로그램이 아닌 국내 공개용 알집 프로그램을 사 용하였기 때문에 이 사건 해킹 사고를 막을 수 없었던 것인지 보건대 , 을 제30 , 49 , 50 호증의 각 기재 및 변론 전체의 취지를 종합하면 , 이 사건 해커는 국내 공개용 알집 프로그램이 광고 업데이트를 할 때 다운로드되는 정상적인 ALAD . dll 파일과 같은 이름 의 악성 프로그램을 만들어 해킹에 이용한 사실 , 광고 업데이트는 무료로 제공되는 국 내 공개용 알집 프로그램에만 포함된 기능인 사실은 인정된다 .
그러나 이 사건 해커는 악성 프로그램이 목표로 한 컴퓨터에 설치되도록 하기 위하여 먼저 이스트소프트가 운영하는 알집 업데이트 웹사이트의 ISAPI 필터에 stmpxml . dll 파일을 등록한 사실 , ISAPI 필터에 stmpxml mla . dll 파일이 등록되면 , 피고 등 선별된 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우 이스트소프트 가 설정한 본래의 다운로드 경로가 아닌 , 이 사건 해커가 설정한 악성 프로그램 유포 지에서 악성 프로그램을 다운로드하게 되는 사실은 앞서 인정한 바와 같고 , 여기에 앞 서 든 증거에 변론 전체의 취지를 더하여 인정할 수 있는 다음과 같은 사정들 , 즉 국 내 기업용 알집 프로그램에도 기능 향상이나 오류 수정 등을 위한 업데이트 기능이 포 함되어 있는 점 , 이 사건 해커가 만든 악성 프로그램의 파일 이름이 ALAD . dll로 국내 공개용 알집 프로그램의 광고 업데이트 과정에서 다운로드되는 파일과 같기는 하나 , 이는 정상적인 파일과 혼동되도록 그 파일 이름을 위와 같이 사용한 것으로 보이고 , 위 악성 프로그램 자체는 키로깅 프로그램을 실행시키도록 하는 파일인 점 등을 종합 하여 볼 때 , 이 사건 해커가 사용한 것으로 보이는 해킹 기법에 따르면 , 피고가 국내 기업용 알집 프로그램을 사용한 경우에도 국내 기업용 알집 프로그램의 업데이트 과정 에서 위와 같은 방식으로 본래의 다운로드 경로가 아닌 악성 프로그램 유포지에서 악 성 프로그램을 다운로드 받도록 이스트소프트의 업데이트 웹사이트 ISAPI 필터를 조작 하는 것이 가능하였을 것으로 보인다 . 따라서 피고가 국내 기업용 알집 프로그램을 사 용하였더라도 이 사건 해킹 사고를 막을 수 없었을 가능성이 있으므로 , 비록 국내 공 개용 알집 프로그램이 수시로 광고 업데이트를 하고 , 국내 기업용 알집 프로그램보다 그 이용자가 많아 이 사건 해커가 해킹에 이용하는 것이 더 용이하였을 것으로 추측된 다 하더라도 , 위에서 인정한 사실만으로는 피고의 국내 공개용 알집 프로그램 사용행 위와 이 사건 해킹 사고로 인한 원고들의 손해 발생 사이에 상당인과관계가 있다고 인 정하기에 부족하고 , 달리 이를 인정할 증거가 없다 . 따라서 이와 다른 전제에 선 원고 들의 이 부분 주장은 더 나아가 살펴볼 필요 없이 이유 없다 .
아 ) 암호화 기술 사용 관련 보호조치 위반 여부
암호화 기술 등을 이용한 보안조치에 관하여는 정보통신망법 제28조 제1항 제 4호 , 정보통신망법 시행령 제15조 제4항 및 이 사건 고시 제6조에서 규정하고 있는데 , 을 제30호증의 기재에 변론 전체의 취지를 종합하면 , 피고는 이용자의 비밀번호를 일 방향 암호화하고 , 주민등록번호도 별도로 암호화하여 저장 · 관리하고 있는 사실 , 또한 피고는 개인정보처리시스템 외의 시스템으로 개인정보를 전송하거나 저장할 때 암호화 하도록 하고 있고 , 개인정보를 전송할 때에는 개인정보의 추출요청자 , 추출항목 , 사용 목적 , 추출대상자 , 자료활용기간 , 자료보관방법 , 파기책임자 및 파기 예정일 등을 특정하 여 관리하고 있는 사실을 인정할 수 있는바 , 이에 비추어 보면 , 피고는 정보통신망법 제28조 제1항 제4호 , 정보통신망법 시행령 제15조 제4항 및 이 사건 고시 제6조에서 정한 암호화 기술 등을 이용한 보안조치를 이행하고 있는 것으로 보인다 . 가사 피고가 사용한 MD5 암호화 방식이 상대적으로 해독 가능성이 크다고 하더라도 , 이러한 사정 만으로는 피고가 암호화 기술 사용 관련 기술적 · 관리적 보호조치를 위반하였다고 인정 하기에 부족하고 , 달리 이를 인정할 증거가 없다 . 따라서 원고들의 이 부분 주장은 이 유 없다 .
다 . 소결론
따라서 이 사건 해킹 사고 당시 정보통신망법 등 관련 법령에서 정한 기술적 · 관리 적 보호조치의 내용 , 피고가 이행한 기술적 · 관리적 보호조치의 수준 , 이 사건 해커가 사 용한 해킹의 수법 , 해킹 방지 기술의 한계 , 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등 앞서 검토한 내용을 종합하여 보면 , 피고가 개인정보 유출 방지에 관한 기술적 · 관리적 보호조치를 이행하지 않아 이 사건 해킹 사고를 막지 못한 것으로 보기 어려우므로 , 피고가 서비스 이용약관 및 관련 법령에서 정한 개인정보 수집 및 관 리상의 주의의무를 위반하였음을 전제로 한 원고들의 이 사건 청구는 모두 이유 없다 .
6 . 결론
그렇다면 , 원고 A , B , C , D의 소는 부적법하여 각하하고 , 나머지 원고들의 청구는 이유 없어 이를 모두 기각하기로 하여 , 주문과 같이 판결한다 .
판사
재판장 판사 장성관
판사 김미경
판사 김병훈
주석
1 ) ISAPI 필터는 인터넷 정보 서버의 앞단에 위치하면서 인터넷 정보 서버로 들어온 모든 요청에 대해 가장 먼저 처리할 권한과
인터넷 정보 서버가 생성한 응답을 클라이언트에 보내주기 전에 가공할 수 있는 권한을 가진다 .
별지
원고명단 생략
관련 법령
제23조 ( 개인정보의 수집 제한 등 )
① 정보통신서비스 제공자는 사상 , 신념 , 과거의 병력 등 개인의 권리 · 이익이나 사생활을
뚜렷하게 침해할 우려가 있는 개인정보를 수집하여서는 아니 된다 . 다만 , 제22조 제1항에
따른 이용자의 동의를 받거나 다른 법률에 따라 특별히 수집 대상 개인정보로 허용된 경
우에는 그 개인정보를 수집할 수 있다 .
② 정보통신서비스 제공자는 이용자의 개인정보를 수집하는 경우에는 정보통신서비스의
제공을 위하여 필요한 최소한의 정보를 수집하여야 하며 , 필요한 최소한의 정보 외의 개인
정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니 된다 .
제23조의2 ( 주민등록번호 외의 회원가입 방법 )
① 정보통신서비스 제공자로서 제공하는 정보통신서비스의 유형별 일일 평균 이용자 수가
대통령령으로 정하는 기준에 해당하는 자는 이용자가 정보통신망을 통하여 회원으로 가입
할 경우에 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법 ( 이하 " 대체
수단 " 이라 한다 ) 을 제공하여야 한다 .
② 제1항에 해당하는 정보통신서비스 제공자는 주민등록번호를 사용하는 회원가입 방법을
따로 제공하여 이용자가 회원가입 방법을 선택하게 할 수 있다 .
제27조 ( 개인정보 관리책임자의 지정 )
① 정보통신서비스 제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자
의 고충을 처리하기 위하여 개인정보 관리책임자를 지정하여야 한다 . 다만 , 종업원 수 , 이
용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자등의 경우에는
지정하지 아니할 수 있다 .
② 제1항 단서에 따른 정보통신서비스 제공자등이 개인정보 관리책임자를 지정하지 아니
하는 경우에는 그 사업주 또는 대표자가 개인정보 관리책임자가 된다 .
③ 개인정보 관리책임자의 자격요건과 그 밖의 지정에 필요한 사항은 대통령령으로 정한
다
제28조 ( 개인정보의 보호조치 )
① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실 · 도난 · 누출 ·
변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술
적 · 관리적 조치를 하여야 한다 .
1 . 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립 · 시행
2 . 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의
설치 · 운영
3 . 접속기록의 위조 · 변조 방지를 위한 조치
4 . 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치
5 . 백신 소프트웨어의 설치 · 운영 등 컴퓨터 바이러스에 의한 침해 방지조치
6 . 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
② 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여
야 한다 .
제32조 ( 손해배상 )
이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정
보통신서비스 제공자등에게 손해배상을 청구할 수 있다 . 이 경우 해당 정보통신서비스 제
공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다 .
제45조 ( 정보통신망의 안정성 확보 등 )
② 방송통신위원회는 제1항에 따른 보호조치의 구체적 내용을 정한 정보보호조치 및 안전
진단의 방법 · 절차 · 수수료에 관한 지침 ( 이하 ' 정보보호지침 ' 이라 한다 ) 을 정하여 고시하고
정보통신서비스 제공자에게 이를 지키도록 권고할 수 있다 .
제46조의3 ( 정보보호 안전진단 )
① 다음 각 호의 어느 하나에 해당하는 자는 방송통신위원회가 안전진단을 수행할 수 있
다고 인정한 자 ( 이하 " 안전진단 수행기관 " 이라 한다 ) 로부터 자신의 정보통신망 또는 집적
정보통신시설에 대하여 매년 정보보호지침에 따른 정보보호 안전진단을 받아야 한다 . 이
경우 안전진단 수행기관은 15명 이상의 정보보호 기술인력을 보유하고 최근 3년 이내에
정보보호컨설팅을 수행한 실적이 있는 법인이어야 한다 .
1 . 전기통신사업법 제2조 제8호에 따른 전기통신사업자로서 전국적으로 정보통신망서비
스를 제공하는 자 ( 이하 " 주요정보통신서비스 제공자 " 라 한다 )
2 . 집적정보통신시설 사업자
3 . 정보통신서비스 제공자로서 매출액 , 이용자 수 등이 대통령령으로 정하는 기준에 해
당하는 자
② 제1항에 따라 정보보호 안전진단을 받는 사업자는 관련 정보의 제공 및 시설 · 장소에
의 출입 허용 등 안전진단 수행기관의 정보보호 안전진단 업무에 협력하고 , 대통령령으로
정하는 바에 따라 정보보호 안전진단의 결과를 방송통신위원회에 제출하여야 한다 .
③ 제1항에 따라 정보보호 안전진단을 받아야 하는 사업자가 정보통신기반 보호법 제9조
에 따라 취약점의 분석 · 평가를 받거나 제47조에 따른 정보보호 관리체계의 인증을 받으
면 그 분석 · 평가를 받거나 인증을 받은 해당 연도에는 제1항에 따른 정보보호 안전진단
을 받은 것으로 본다 .
④ 안전진단 수행기관은 제1항에 따른 정보보호 안전진단을 받은 사업자에게 안전진단의
결과에 따라 정보보호조치의 개선을 권고할 수 있다 .
⑤ 안전진단 수행기관은 제4항에 따라 정보보호조치의 개선을 권고하였으면 그 권고내용
및 처리 결과를 방송통신위원회에 통보하여야 한다 .
⑥ 방송통신위원회는 제2항에 따라 제출된 정보보호 안전진단의 결과와 제5항에 따른 통
보내용에 따라 필요하면 정보보호 안전진단을 받은 사업자에게 정보보호조치에 관한 개선
명령을 할 수 있다 .
⑦ 제1항에 따른 정보보호 안전진단의 방법 · 절차 · 수수료 , 안전진단 수행기관의 인정절
차 , 정보보호 기술인력의 자격기준 , 정보보호컨설팅 수행실적 , 그 밖에 필요한 사항은 대통
령령으로 정한다 .
⑧ 방송통신위원회는 제1항 제3호의 요건에 해당하는지를 확인하기 위하여 필요하면 관계
행정기관 , 관련 자료 보유기관 또는 정보통신서비스 제공자에 대하여 필요한 자료의 제공
또는 사실의 확인을 요청할 수 있다 .
제47조 ( 정보보호 관리체계의 인증 )
① 정보통신망의 안정성 및 신뢰성을 확보하기 위하여 기술적 · 물리적 보호조치를 포함한
종합적 관리체계 ( 이하 " 정보보호 관리체계 " 라 한다 ) 를 수립 · 운영하고 있는 자는 정보보호
관리체계가 제2항에 따라 방송통신위원회가 고시한 기준에 적합한지에 관하여 방송통신위
원회나 한국인터넷진흥원이 지정하는 기관 ( 이하 " 정보보호 관리체계 인증기관 " 이라 한다 )
으로부터 인증을 받을 수 있다 .
② 방송통신위원회는 제1항에 따른 인증에 관한 정보보호 관리기준 등 필요한 기준을 정
하여 고시할 수 있다 .
③ 제1항에 따라 정보보호 관리체계의 인증을 받은 자는 대통령령으로 정하는 바에 따라
인증의 내용을 표시하거나 홍보할 수 있다 .
④ 제1항에 따른 인증의 방법 · 절차와 그 밖에 필요한 사항은 대통령령으로 정한다 .
⑤ 정보보호 관리체계 인증기관 지정의 기준 · 절차 · 유효기간 등에 필요한 사항은 대통령
령으로 정한다 .
제15조 ( 개인정보의 보호조치 )
① 법 제28조 제1항 제1호에 따라 정보통신서비스 제공자등은 개인정보의 안전한 취급을
위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립 · 시행하여야 한다 .
1 . 개인정보 관리책임자의 지정 등 개인정보보호 조직의 구성 · 운영에 관한 사항
2 . 개인정보취급자의 교육에 관한 사항
3 . 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항
② 법 제28조 제1항 제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인
접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다 .
1 . 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템 ( 이하 " 개인정보처
리시스템 " 이라 한다 ) 에 대한 접근권한의 부여 · 변경 · 말소 등에 관한 기준의 수립 · 시행
2 . 개인정보처리시스템에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 및 침입
탐지시스템의 설치 · 운영
3 . 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영
4 . 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치
③ 법 제28조 제1항 제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조 · 변조 방
지를 위하여 다음 각 호의 조치를 하여야 한다 .
1 . 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시 ,
처리내역 등의 저장 및 이의 확인 · 감독
2 . 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관
④ 법 제28조 제1항 제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저
장 · 전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다 .
1 . 비밀번호 및 바이오정보 ( 지문 , 홍채 , 음성 , 필적 등 개인을 식별할 수 있는 신체적 또
는 행동적 특징에 관한 정보를 말한다 ) 의 일방향 암호화 저장
2 . 주민등록번호 및 계좌정보 등 금융정보의 암호화 저장
3 . 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신 · 수신하는 경우 보안서
버 구축 등의 조치
4 . 그 밖에 암호화 기술을 이용한 보안조치
⑤ 법 제28조 제1항 제5호에 따라 정보통신서비스 제공자등은 개인정보처리시스템 및 개
인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터 바이러스 , 스파이웨어 등 악
성프로그램의 침투 여부를 항시 점검 · 치료할 수 있도록 백신소프트웨어를 설치하여야 하
며 , 이를 주기적으로 갱신 · 점검하여야 한다 .
⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호
에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을
정하여 고시하여야 한다 .
제39조 ( 정보보호 안전진단의 방법 및 절차 등 )
② 법 제46조의3 제1항에 따라 안전진단을 받아야 하는 자 ( 이하 ' 안전진단대상자 ' 라 한다 )
는 정보보호 안전진단에 필요한 다음 각 호의 사항을 준비하여야 한다 .
4 . 그 밖에 정보보호 안전진단에 필요한 서류로서 방송통신위원회가 정하여 고시한 서류
⑤ 정보보호 안전진단의 방법 및 절차에 관한 구체적인 기준은 방송통신위원회가 정하여
고시한다 .
제40조 ( 정보보호 안전진단의 수수료 )
방송통신위원회는 다음 각 호의 사항을 고려하여 정보보호 안전진단 수수료 산정을 위한 구
체적인 기준을 정하여 고시하여야 한다 .
1 . 정보보호 안전진단을 받는 정보통신설비 및 시설의 규모
2 . 정보보호 안전진단에 참가하는 자의 전문성
3 . 정보보호 안전진단 기간
제42조 ( 정보보호 안전진단 확인증의 발급 )
정보통신망법 제46조의3 제1항에 따른 안전진단수행기관 ( 이하 " 안전진단수행기관 " 이라 한
다 ) 은 정보보호 안전진단을 실시한 결과 법 제45조 제2항에 따른 정보보호조치 및 안전진
단 방법 · 절차 · 수수료에 관한 지침 ( 이하 " 정보보호지침 " 이라 한다 ) 을 준수하는 자에 대하
여는 방송통신위원회가 정하여 고시하는 정보보호 안전진단 확인증을 발급하여야 한다 .
제43조 ( 정보보호 안전진단 결과의 제출 )
① 안전진단대상자가 정보통신망법 제46조의3 제2항에 따라 정보보호 안전진단 결과를 방
송통신위원회에 제출하는 경우에는 안전진단수행기관으로부터 정보보호 안전진단 결과를
통보받은 날부터 15일 이내에 정보보호안전진단결과통지서를 제출하여야 한다 .
② 안전진단수행기관이 법 제46조의3 제5항에 따라 정보보호조치의 개선 권고내용 및 처
리결과를 방송통신위원회에 통보하는 경우에는 그 권고를 하거나 처리가 완료된 후 15일
이내에 정보보호 조치의 개선권고 내용 및 처리결과 통보서를 제출하여야 한다 .
제46조 ( 안전진단수행기관의 인정절차 등 )
① 법 제46조의3제1항 및 제7항에 따라 안전진단수행기관으로 인정받으려는 자는 안전진단
수행기관인정신청서 ( 전자문서로 된 신청서를 포함한다 ) 에 다음 각 호의 서류 ( 전자문서를
포함한다 ) 를 첨부하여 방송통신위원회에 제출하여야 한다 .
1 . 법인의 정관
2 . 정보보호기술인력 보유현황과 이를 증명할 수 있는 서류
3 . 정보보호컨설팅 수행실적 명세서와 이를 증명할 수 있는 서류
② 제1항에 따른 안전진단수행기관인정신청서를 받은 방송통신위원회는 「 전자정부법 」 제36
조제1항에 따른 행정정보의 공동이용을 통하여 법인 등기사항증명서를 확인하여야 한다 .
③ 방송통신위원회는 제1항에 따른 인정신청을 받은 경우에는 제44조 및 416 제45조에 . 따른 정
보보호 기술인력의 자격기준 및 정보보호컨설팅 수행실적의 충족여부를 심사하여 신청을
받은 날부터 30일 이내에 그 결과를 신청인에게 통지하고 , 안전진단수행기관으로 인정하
는 경우에는 신청인에게 안전진단수행기관인정서를 발급하여야 한다 .
④ 제3항에 따라 안전진단 수행기관으로 인정받은 자는 제44조 및 제45조에 따른 정보보호기
술인력의 자격기준 및 정보보호컨설팅 수행실적을 충족하지 못하는 경우에는 방송통신위
원회에 안전진단수행기관인정서를 반납하여야 한다 .
[ 이 사건 고시 ]
제1조 ( 목적 ) 이 기준은 정보통신망법 제28조 제1항 및 정보통신망법 시행령 제15조 제6항에
따라 정보통신서비스 제공자등이 이용자의 개인정보를 취급함에 있어서 개인정보가 분
실 · 도난 · 누출 · 변조 · 훼손 등이 되지 아니하도록 안전성을 확보하기 위하여 취하여야
하는 기술적 · 관리적 보호조치의 구체적인 기준을 정하는 것을 목적으로 한다 .
제2조 ( 정의 ) 이 기준에서 사용하는 용어의 뜻은 다음과 같다 .
1 . “ 개인정보관리책임자 ” 라 함은 정보통신서비스 제공자의 사업장 내에서 이용자의 개인정
보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다 .
2 . “ 개인정보취급자 ” 라 함은 정보통신서비스 제공자의 사업장 내에서 이용자의 개인정보를
수집 , 보관 , 처리 , 이용 , 제공 , 관리 또는 파기 등의 업무를 하는 자를 말한다 .
2의2 . “ 내부관리계획 ” 이라 함은 정보통신서비스 제공자등이 개인정보의 안전한 취급을 위
하여 개인정보보호 조직의 구성 , 개인정보취급자의 교육 , 개인정보 보호조치 등을 규정한
계획을 말한다 .
3 . “ 개인정보처리시스템 ” 이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이
터베이스시스템을 말한다 .
4 . “ 비밀번호 ” 라 함은 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할
때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스
템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다 .
5 . “ 접속기록 ” 이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여
수행한 업무 내역에 대하여 식별자 , 접속일시 , 접속지를 알 수 있는 정보 , 수행업무 등 접
속한 사실을 전자적으로 기록한 것을 말한다 .
6 . “ 바이오정보 ” 라 함은 지문 , 얼굴 , 홍채 , 정맥 , 음성 , 필적 등 개인을 식별할 수 있는 신
체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다 .
7 . P2P ( Peer to Peer ) ” 라 함은 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접
연결되어 파일을 공유하는 것을 말한다 .
8 . “ 공유설정 ” 이라 함은 컴퓨터 소유자의 파일을 타인이 조회 · 변경 · 복사 등을 할 수 있도록
설정하는 것을 말한다 .
9 . “ 보안서버 ” 라 함은 정보통신망에서 송 · 수신하는 정보를 암호화하여 전송하는 웹서버를
말한다 .
10 . “ 인증정보 ” 라 함은 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구
한 식별자의 신원을 검증하는데 사용되는 정보를 말한다 .
제3조 ( 내부관리계획의 수립 · 시행 )
① 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호 조직을 구성 ·
운영하여야 한다 .
1 . 개인정보관리책임자의 자격요건 및 지정에 관한 사항
2 . 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
3 . 개인정보 내부관리계획의 수립 및 승인에 관한 사항
4 . 개인정보의 기술적 · 관리적 보호조치 이행 여부의 내부 점검에 관한 사항
5 . 그 밖에 개인정보보호를 위해 필요한 사항
② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보관리책임자 및 개인
정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 한다 .
1 . 교육목적 및 대상
2 . 교육 내용
3 . 교육 일정 및 방법
③ 정보통신서비스 제공자등은 제1항 및 제2항에 대한 세부 계획 , 제4조부터 제8조까지의
보호조치 이행을 위한 세부적인 추진방안을 포함한 내부관리계획을 수립 · 시행하여야 한
다 .
제4조 ( 접근통제 )
① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위
하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다 .
② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가
변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다 .
③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 , 변경 또는 말소에 대한
내역을 기록하고 , 그 기록을 최소 5년간 보관한다 .
④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처
리시스템에 접속이 필요한 경우에는 공인인증서 등 안전한 인증 수단을 적용하여야 한다 .
⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위
해 다음 각 호의 기능을 포함한 시스템을 설치 · 운영하여야 한다 .
1 . 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근
을 제한
2 . 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도
를 탐지
⑥ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호
작성규칙을 수립하고 , 이행한다 .
① 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는
비밀번호 작성규칙을 수립하고 , 이를 적용 · 운용하여야 한다 .
1 . 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이
상을 조합하여 최소 8자리 이상의 길이로 구성
가 . 영문 대문자 ( 26개 )
나 , 영문 소문자 ( 26개 )
다 . 숫자 ( 10개 )
라 . 특수문자 ( 32개 )
2 . 연속적인 숫자나 생일 , 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비
밀번호는 사용하지 않는 것을 권고
3 . 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
⑧ 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지 , P2P , 공유설정 등
을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스
템 및 개인정보취급자의 컴퓨터에 조치를 취하여야 한다 .
제5조 ( 접속기록의 위 · 변조방지 )
① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월
1회 이상 정기적으로 확인 · 감독하여야 하며 , 시스템 이상 유무의 확인 등을 위해 최소
6개월 이상 접속기록을 보존 · 관리하여야 한다 .
② 단 , 제1항의 규정에도 불구하고 전기통신사업법 제5조의 규정에 따른 기간통신사업자
의 경우에는 보존 · 관리해야할 최소 기간을 2년으로 한다 .
③ 정보통신서비스 제공자등은 개인정보취급자의 접속기록이 위 · 변조되지 않도록 별도의
물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다 .
제6조 ( 개인정보의 암호화 )
① 정보통신서비스 제공자등은 비밀번호 및 바이오정보는 복호화 되지 아니하도록 일방
향 암호화하여 저장한다 .
② 정보통신서비스 제공자등은 주민등록번호 , 신용카드번호 및 계좌번호에 대해서는 안전
한 암호알고리듬으로 암호화하여 저장한다 .
③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송 ·
수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다 . 보안서버
는 다음 각 호 중 하나의 기능을 갖추어야 한다 .
1 . 웹서버에 SSL ( Secure Socket Layer ) 인증서를 설치하여 전송하는 정보를 암호화하여
송 · 수신하는 기능
2 . 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송 · 수신하는
기능
④ 정보통신서비스 제공자등은 이용자의 개인정보를 개인용컴퓨터 ( PC ) 에 저장할 때에는
이를 암호화해야 한다 .
제7조 ( 악성 프로그램 방지 ) 정보통신서비스 제공자등은 백신 소프트웨어를 월 1회 이상 주기
적으로 갱신 · 점검하고 , 악성 프로그램관련 경보가 발령된 경우 및 백신 소프트웨어 또는
운영체제 제작업체에서 업데이트 공지가 있는 경우에는 응용프로그램과 정합성을 고려하
여 최신 소프트웨어로 갱신 · 점검하여야 한다 .
제8조 ( 출력 · 복사시 보호조치 )
① 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보의 출력시 ( 인쇄 , 화면표
시 , 파일생성 등 ) 용도를 특정하여야 하며 , 용도에 따라 출력 항목을 최소화 한다 .
② 정보통신서비스 제공자등은 개인정보가 포함된 종이 인쇄물 , 개인정보가 복사된 외부
저장매체 등 개인정보의 출력 · 복사물을 안전하게 관리하기 위해 출력 · 복사 기록 등 필
요한 보호조치를 갖추어야 한다 .
제9조 ( 개인정보 표시 제한 보호조치 ) 정보통신서비스 제공자 등은 개인정보 업무처리를 목적
으로 개인정보의 조회 , 출력 등의 업무를 수행하는 과정에서 개인정보보호를 위하여 개인
정보를 마스킹하여 표시제한 조치를 취하는 경우에는 다음의 원칙으로 적용할 수 있다 .
1 . 성명 중 이름의 첫 번째 글자 이상
2 . 생년월일
3 . 전화번호 또는 휴대폰 전화번호의 국번
4 . 주소의 읍 · 면 · 동
5 . 인터넷주소는 버전 4의 경우 17 ~ 24비트 영역 , 버전 6의 경우 113 ~ 128비트 영역 . 끝 .