2014가합101508 손해배상(기)

별지1 원고 명단 기재와 같다.

원고들 소송대리인 법무법인 평강

담당변호사 양혜인

1. A 주식회사

소송대리인 변호사 김성욱, 이정석

2. B 주식회사

소송대리인 법무법인 광장

담당변호사 송은희, 정원진, 채휘진

2016. 12. 13.

2017. 2. 16.

1. 피고 A 주식회사는 별지 2 원고 명단 기재 각 원고들에게 각 100,000원 및 이에 대하여 2014. 5. 1.부터 2017. 2. 16.까지는 연 5%, 그 다음날부터 다 갚는 날까지는 연 15%의 각 비율로 계산한 돈을 지급하라.

2. 별지 2 원고 명단 기재 각 원고들의 피고 A 주식회사에 대한 나머지 청구 및 피고 B 주식회사에 대한 청구, 별지 3 원고 명단 기재 각 원고들의 피고들에 대한 청구를 각 기각한다.

3. 소송비용 중,

가. 별지 3 각 원고 명단 기재 각 원고들과 피고들 사이에 생긴 부분은 위 원고들이 부담하고,

나. 별지 2 원고 명단 기재 각 원고들과 피고 A 주식회사 사이에 생긴 부분의 2/3은 위 원고들이, 나머지는 위 피고가 각 부담하고, 위 원고들과 피고 B 주식회사 사이에 생긴 부분은 위 원고들이 부담한다.

4. 제1항은 가집행 할 수 있다.

피고들은 공동하여 원고들에게 각 500,000원 및 이에 대하여 이 사건 소장 부본 송달일 다음날부터 다 갚는 날까지 연 15%의 비율로 계산한 금원을 지급하라.

1. 이 사건 소송에 이르게 된 경위

가. 당사자들의 지위

1) 피고 A 주식회사(이하 '피고 A'라 한다)는 신용카드, 선불카드, 직불카드 발행, 판매 및 관리 등의 사업을 영위하는 회사이고, 피고 B 주식회사(이하 '피고 B'라 한다)는 금융기관들이 공동출자하여 설립한 회사로서, 신용정보의 이용 및 보호에 관한 법률에서 정하는 신용조회 및 신용조사업무 등의 사업을 영위하는 회사이다.

2) 원고들1)은 피고 A와 신용카드 등에 대한 사용 및 금융거래계약을 맺고 신용카드 등을 발급받아 사용하고 있거나 사용하였던 사람들이다.

나. 카드사고분석시스템의 개념 및 도입

카드사고분석시스템(Fraud Detection System, 이하 'FDS'라 한다)이란 신용카드 도난·분실 및 위변조 등으로 인한 이상 거래 또는 부정사용을 탐지하기 위한 시스템으로서 국내 모든 카드회사들이 도입하고 있으며, FDS에 의하면 과거 사고거래를 기반으로 대량의 카드이용정보 및 해당 카드고객정보를 활용하여 통계적인 기법에 따라 분석 모델을 만들고 이를 바탕으로 신용카드 사용시 통계적으로 분석된 사고패턴에 따라 이 상유형의 거래가 발생하였음이 탐지될 경우, 카드승인을 거절하는 등의 조치를 취하게 된다.

다. 피고 A 카드고객정보유출

1) FDS 개발용역계약의 체결 및 카드고객정보 제공

피고 A는 2006년경 FDS를 도입하여 정기적인 리뉴얼을 시행하여 왔고 그때마다 C 또는 피고 B에게 FDS 업데이트에 관한 용역을 의뢰하였는데, D는 'C'의 직원으로서 2009. 10.경부터 2010. 4.경까지, 피고 B의 직원으로서 2013. 9.경부터 2013. 12.경까지, 위 회사들이 피고 A로부터 위탁받은 FDS 개발 및 설치 업무에 프로젝트 총괄 매니저로서 관여하면서, FDS 개발과정에서 작업을 위해 필요하다는 이유로 피고 A로부터 변환되지 않은 카드고객정보를 제공받아 위 시스템 개발 및 설치 업무에 사용하여 왔다.

2) 2010. 4.경 카드고객정보 유출

가) D는 2010. 4.경 서울 중구 E 빌딩에 있는 피고 A 본사에서 FDS 개발작업을 하면서 피고 A 카드고객정보를 저장하여 정상적으로 사용하였던 업무용 하드 디스크에 피고 A 회원 1,023만 명의 카드고객정보가 저장되어 있음에도 피고 A에서 하드디스크 포맷 보안검사를 허술하게 하는 것을 이용하여 위 업무용 하드디스크를 포맷하지 아니한 채 포맷 검사를 받지 않고 몰래 숨겨서 가지고 나온 후, 이를 자신의 집에 보관하던 중 2010. 7.경 자신의 컴퓨터에 위 정보를 저장하였다.

나) 그 후 D는 2011. 1.경 서울 영등포구에 있는 F가 운영하는 G 사무실에서, 위와 같이 빼내어 온 피고 A 회원 약 1,023만 명의 카드고객정보 중 약 255만 명의 카드고객정보가 저장된 자신의 USB 메모리를 대출중개 영업 등에 카드고객정보를 활용할 의도를 가지고 있는 F의 노트북에 접속하고 그 노트북에 위 카드고객정보를 저장해 준 후 이를 F에게 전달하였다.

3) 2013. 12.경 카드고객정보 유출

가) 피고 B의 직원들은 2013. 9. 중순경 FDS 개발작업을 위하여 서울 중구 H빌딩에 있는 피고 A의 사무실에 추가로 반입한 피고 B의 컴퓨터 2대 중 1대에는 보고서 등 문서를 작성하여 USB 메모리에 저장하고 필요한 경우 컴퓨터방에 가서 피고 B로 메일을 보내거나, 스마트폰을 접속하여 자료를 저장하고 스마트폰에서 이메일로 자료를 전송하는 데 사용할 목적으로 보안프로그램을 설치하지 않았다. 그리고 피고 A의 직원들도 컴퓨터 2대가 추가로 반입된 사실을 알았지만, 보안프로그램 설치 여부를 직접 확인하지는 않았다.

나) 피고 B의 직원이었던 D는 2013. 12.경 서울 중구 H빌딩에 있는 피고 A의 사무실에서 보안프로그램을 설치하지 아니한 업무용 컴퓨터에 자신의 USB 메모리를 접속한 다음 USB 메모리 안에 공유폴더를 생성하였고, 보안프로그램을 설치하고 카드고객정보 등 자료를 다운로드받아 FDS 개발작업에 사용하던 업무용 컴퓨터에서 내부 네트워크를 통해 위 보안프로그램이 설치되어 있지 않은 컴퓨터에 접속하고 있는 USB 메모리 내 공유폴더에 접속하여 피고 A 회원 약 2,689만 명의 카드고객정보를 복사한 후 이를 가지고 나왔다.

다) D는 위와 같이 유출한 피고 A의 카드고객정보를 보관하다가 F를 만나면 필요한지 물어보려고 하였으나 이후 F를 만나지 못하여 위 카드고객정보를 다른 사람에게 유출한 사실이 없다.

라. 기타 유출된 카드고객정보의 전파 및 확산

1) D로부터 유출된 카드고객정보를 제공받은 F는 2012. 11. 중순경 I에게 5,000명의 카드고객정보가 저장된 USB 메모리를 교부한 것을 비롯하여, 그때부터 2013. 8. 하순경까지 총 3회에 걸쳐 약 9만 5,000명의 유출된 카드고객정보를 제공하였다.

2) F는 2013. 1. 중순경 서울 영등포구에 있는 자신이 운영하는 대출상품 위탁판매업체인 G 사무실에서 J으로부터 카드사 카드고객정보를 구해달라는 부탁을 받은 K을 통해 J이 사용하는 이메일 계정 및 비밀번호를 알게 된 후 위 이메일에 접속하여 업로드하는 방법으로 약 1만 명의 유출된 카드고객정보를 제공한 것을 비롯하여, 그때부터 2013. 12. 초순경까지 총 32회에 걸쳐 합계 약 489만 6,000명의 카드고객정보를 업로드하는 방법으로 제공하였다.

3) F는 2013. 8. 중순경 위 G 사무실에서 K으로부터 K이 사용하는 이메일 계정 및 비밀번호를 알게 된 후 위 이메일에 접속하여 업로드하는 방법으로 약 10만 명의 유출된 카드고객정보를 제공하였다.

4) F는 2012. 11. 중순경 위 G 사무실에서 L로부터 L가 사용하는 이메일 계정 및 비밀번호를 알게 된 후 위 이메일에 접속하여 업로드하는 방법으로 약 3,000명의 유출된 카드고객정보를 제공한 것을 비롯하여 그때부터 2013. 11. 하순경까지 총 10회에 걸쳐 합계 약 478만 3,000명의 유출된 카드고객정보를 제공하였다.

5) F는 2013. 3. 초순경 위 G 사무실에서 G 직원인 M에게 정보 구매자를 물색해 올 것을 지시하고 그 지시에 따라 M이 물색해 온 N에게 'O' 메신저를 이용하여 전송하는 방법으로 약 5,000명의 유출된 카드고객정보를 제공한 것을 비롯하여, 그때부터 2013. 5. 중순경까지 총 4회에 걸쳐 합계 78만 8,000명의 유출된 카드고객정보를 제공하였다.

6) F는 2013. 2. 하순경 위 G 사무실에서 P으로부터 P이 사용하는 이메일 계정 및 비밀번호를 알게 된 후 위 이메일에 접속하여 업로드하는 방법으로 약 10만 명의 유출된 카드고객정보를 제공한 것을 비롯하여, 그때부터 2013. 9.경까지 총 7회에 걸쳐 합계 약 60만 명의 유출된 카드고객정보를 제공하였다.

7) F는 2012. 11. 하순경 서울 강북구 Q에 있는 주식회사 R 사무실 부근에서 S에게 약 28만 명의 유출된 카드고객정보가 저장된 USB 메모리를 교부한 것을 비롯하여, 그때부터 2013. 3. 중순경까지 총 3회에 걸쳐 합계 약 54만 명의 유출된 카드고객 정보를 제공하였다.

8) F는 2013. 9. 하순경 의정부시 T U호에 있는 V 운영의 대부중개업체 사무실에서 V에게 약 50만 명의 유출된 카드고객정보가 저장된 USB 메모리를 교부하였다.

9) F는 2012. 12. 초순경 위 G 사무실에서 W으로부터 W이 사용하는 이메일 계정 및 비밀번호를 알게 된 후, 위 이메일에 접속하여 업로드하는 방법으로 약 2만 명의 유출된 카드고객정보를 제공한 것을 비롯하여, 그때부터 2013. 6. 중순경까지 총 5회에 걸쳐 합계 약 41만 명의 유출된 카드고객정보를 제공하였다.

10) F는 2013. 3. 초순경 위 G 사무실에서 X로부터 X가 사용하는 이메일 계정 및 비밀번호를 알게 된 후, 위 이메일에 접속하여 업로드하는 방법으로 약 3만 명의 유출된 카드고객정보를 제공한 것을 비롯하여, 그때부터 2013. 8. 초순경까지 총 6회에 걸쳐 합계 약 30만 6,000명의 유출된 카드고객정보를 제공하였다.

11) F는 2012. 11. 중순경 위 G 사무실에서 Y로부터 Y이 사용하는 이메일 계정 및 비밀번호를 알게 된 후, 위 이메일에 접속하여 업로드하는 방법으로 약 5만 명의 유출된 카드고객정보를 제공한 것을 비롯하여, 그때부터 2013. 8. 초순경까지 총 5회에 걸쳐 합계 약 19만 5,000명의 유출된 카드고객정보를 제공하였다.

12) F는 2012. 10. 중순경 고양시 일산동구 Z에 있는 AA 부근 식당에서 AB에게 약 6만 7,000명의 유출된 카드고객정보가 저장된 USB 메모리를 교부하고, 계속해서 2012. 11. 초순경 위 AA 부근 식당에서 AB에게 약 12만 명의 유출된 카드고객정보가 저장된 USB 메모리를 교부하여, 총 2회에 걸쳐 합계 약 18만 7,000명의 유출된 카드 고객정보를 제공하였다.

13) F는 2012. 8. 하순경 위 G 사무실에서 AC로부터 AC가 사용하는 이메일 계정 및 비밀번호를 알게 된 후, 위 이메일에 접속하여 업로드하는 방법으로 약 5만 명의 유출된 카드고객정보를 제공하고, 계속해서 2013. 1. 초순경 위 사무실에서 같은 방법으로 약 5만 명의 카드고객정보를 제공하여, 총 2회에 걸쳐 합계 약 10만 명의 유출된 카드고객정보를 제공하였다.

14) F는 2013. 2. 하순경 위 G 사무실에서 AD으로부터 AD이 사용하는 이메일 계정 및 비밀번호를 알게 된 후, 위 이메일에 접속하여 업로드하는 방법으로 약 4만 명의 유출된 카드고객정보를 제공하고, 계속해서 2013. 8. 하순경 위 사무실에서 같은 방법으로 약 5만 명의 유출된 카드고객정보를 제공하여, 총 2회에 걸쳐 합계 약 9만 명의 유출된 카드고객정보를 제공하였다.

15) F는 2013. 9. 초순경 위 G 사무실에서 AE이 사용하는 이메일로 전송하는 방법으로 약 5만 명의 유출된 카드고객정보를 제공하였다.

16) F는 2013. 1. 중순경 위 G 사무실에서 AF로부터 AF가 사용하는 이메일 계정 및 비밀번호를 알게 된 후, 위 이메일에 접속하여 업로드하는 방법으로 약 9,000명의 유출된 카드고객정보를 제공하고, 계속해서 2013. 1. 하순경 위 사무실에서 같은 방법으로 약 2만 명의 유출된 카드고객정보를 제공하여, 총 2회에 걸쳐 합계 약 2만 9,000명의 유출된 카드고객정보를 제공하였다.

17) F는 2013. 1. 초순경 위 G 사무실에서 AG가 사용하는 이메일로 전송하는 방법으로 약 1만 명의 유출된 카드고객정보를 제공하고, 2013. 7.경 위 사무실에서 같은 방법으로 약 3,000명의 유출된 카드고객정보를 제공하여, 총 2회에 걸쳐 합계 약 1만 3,000명의 유출된 카드고객정보를 제공하였다.

18) F는 2013. 1. 하순경 위 G 사무실에서 자신이 사용하는 이메일에 접속하여 약 5,000명의 유출된 카드고객정보를 업로드하고, AH에게 위 이메일 계정 및 비밀번호를 알려주어 위 정보를 AH의 USB 메모리에 다운로드받게 하는 방법으로 위 정보를 제공하였다.

19) F로부터 유출된 카드고객정보를 제공받은 I는 2013. 2.경 서울 송파구 AI 소재 AJ 커피숍에서 약 30만 명의 유출된 카드고객정보가 들어있는 출력물을 대출모집인인 AK, AL에게 제공하였다.

20) I는 2013. 9.경 위 AJ 커피숍에서 약 100만 명의 유출된 카드고객정보가 들어있는 USB 메모리를 위 AK, AL에게 제공하였다.

마. 카드고객정보 유출사고 이후의 경과

1) 피고 A의 조치

피고 A는 카드고객정보 유출사고를 인지한 직후 2014. 1.경 자사 인터넷 홈페이지에 사과문을 게재하면서 카드고객정보 유출사실을 알리고 개인정보 유출 여부를 확인할 수 있는 방법을 안내하였으며, 2014. 1. 17. 유출정보 조회 서비스를 실시하였고, 콜센터 운영시간을 연장하고 주말에도 콜센터를 운영하였으며, 개인정보 피해사실 신고센터를 운영하였다.

2) 유출된 카드고객정보의 범위

별지 2, 3 각 원고 명단 기재 각 원고들의 카드고객정보도 위와 같은 경위로 유출되었다. 2010. 4.경 카드고객정보 유출사고 및 2013. 12.경 카드고객정보 유출사고에서 각 유출된 카드고객정보는 원고들마다 일부 차이가 있는데, 성명, 주민등록번호, 카드번호 및 유효기간, 결제계좌번호, 회사주소, 집주소, 기타주소, 회사전화번호, 집전화번호, 휴대전화번호, 타사 카드보유상황 중 전부 또는 일부이다.

바. 관련 형사소송의 경과

1) D 등은 창원지방법원 2014고단64 등으로 누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니 되고, 신용정보회사 등의 임직원인 사람은 업무상 알게 된 타인의 신용정보 등을 업무 목적 외에 누설하거나 이용하여서는 아니 됨에도, 위와 같이 피고 A의 카드고객정보를 침해·누설함과 동시에 신용정보 관련자로서 업무상 알게 된 타인의 신용정보를 누설한 범죄사실 등으로 기소되었다.

2) 이에 위 법원은 2014. 6. 20. D에 대하여 징역 3년을 선고하였고, 이후 D 등이 창원지방법원 2014노1473호로 항소하였으나, 항소심은 2014. 10. 8. D 등의 항소를 모두 기각하였고, 이에 D가 상고하지 않아 제1심 판결은 2014. 10. 16. 확정되었다.

【인정근거】 다툼 없는 사실, 갑 제1, 2, 11 내지 14호증, 을가 제24 내지 39호증, 을나 제1 내지 3, 5, 10 내지 12, 17, 36호증의 각 기재(가지번호가 있는 경우 각 가지번호를 포함한다), 변론 전체의 취지

2. 원고들의 청구원인

가. 피고 A의 2010. 4.경 카드고객정보 유출사고에 관한 청구

피고 A는 2010. 4.경 C에게 FDS 개발 및 설치 업무를 도급주면서 서버에서 처리·보관·전송되는 카드고객정보를 암호화하지 아니한 채 D에게 제공하였다. 또한 D가 위 카드고객정보가 저장된 업무용 하드디스크를 반출할 때, 위 하드디스크가 포맷되었는지 여부를 확인하거나 통제하지 않았다. 위와 같이 피고 A는 별지 2 원고 명단 기재 원고들(이하 '이 사건 제2 원고들'이라 한다)의 카드고객정보가 유출되지 않도록 방지할 당시의 법령이 정한 주의의무가 있음에도 불구하고 이를 소홀히 하였다. 따라서 피고 A는 위 원고들에게 정보통신망 이용촉진 및 정보보호에 관한 법률(이하 '정보통신망법'이라 한다) 제32조 및 민법 제750조의 불법행위를 원인으로 한 손해배상책임을 부담한다.

나. 피고 A의 2013. 12.경 카드고객정보 유출사고에 관한 청구

1) 피고 A에 대한 청구

가) 피고 A는 피고 B에게 FDS 개발 및 설치 업무를 도급주면서 서버에서 처리·보관·전송되는 카드고객정보를 D에게 제공하였고, 이때 제공된 카드고객정보는 암호화되지 않았으며, 피고 A는 D가 업무에 이용하는 컴퓨터에 보안프로그램이 삭제되어 있는 것조차 몰랐고 컴퓨터 이용내역을 확인하는 등의 행위를 전혀 하지 않았으며, D가 피고 A의 업무용 컴퓨터에 있던 수천 명에 달하는 카드고객정보를 자신의 USB 메모리로 쉽게 전송·저장시켰음에도 같은 공간에 있던 피고 A의 카드고객정보 관련 직원이나 시스템 개발 관련 직원들 중 어느 누구도 이를 확인하거나 통제하지 않았고, D가 카드고객정보가 저장된 USB 메모리를 들고 퇴근할 때 피고 A는 이를 확인하거나 통제하지 않았으며, 피고 A는 개인정보에 접속하였던 D의 접속일시, 처리내역 등을 저장하게 하거나 사후에도 이를 확인·감독하지 않았다. 따라서 피고 A는 카드고객정보가 유출되지 않도록 방지할 주의의무가 있음에도 불구하고 이를 소홀히 하였다.

나) 피고 A의 위와 같은 행위는 개인정보 보호법 제2조 제5호의 개인정보처리자로서 제24조의2 제1항, 제29조를 위반한 것이다. 따라서 피고 A는 개인정보 보호법 제39조, 민법 제750조, 751조에 따라 이 사건 제2 원고들과 별지 3 원고 명단 기재 원고들(이하 '이 사건 제3 원고들'이라 한다)이 입은 손해를 배상할 책임이 있다.

2) 피고 B에 대한 청구

가) 피고 A의 2013. 12.경 카드고객정보 유출 당시 D는 피고 B의 직원이었고, D는 피고 B가 피고 A와 체결한 FDS 개발 및 설치 업무를 위해 피고 A에 파견된 사람으로서 위 업무를 수행하던 중에 카드고객정보를 유출한 것이므로, 피고 B는 피고 A와 공동하여 이 사건 제2, 3 각 원고들에게 D의 행위에 대하여 민법 제756조에서 정한 사용자책임을 부담한다.

나) 피고 B는 개인정보 보호법 제26조 제2항에 규정된 수탁자에 해당하므로 같은 법 제26조 제7항에 따라 준용되는 같은 법 제24조 제1항, 제3항, 제24조의2 제1항, 제29조, 개인정보 보호법 시행령 제30조 제1항 각 호의 위반에 따라 원고들에게 손해배상책임을 부담한다.

다. 손해배상의 범위

피고들의 위와 같은 공동 불법행위로 인한 원고들의 정신적 손해는 500,000원에 이른다 할 것이므로, 피고들은 공동하여 이 사건 각 원고들에게 500,000원을 지급할 의무가 있다.

3. 관련 규정

별지4 관련 규정 기재와 같다.

4. 손해배상 책임의 성립여부에 관한 판단

가. 피고 A에 대한 2010. 4.경 카드고객정보 유출사고에 관한 청구에 대한 판단

1) 개인정보 유출의 과실유무에 대한 판단 기준

정보통신서비스제공자는 구 정보통신망법 시행규칙(2008. 9. 23. 행정안전부령 제34호로 전부 개정되기 전의 것) 제3조의3 제1항 각 호에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담한다. 나아가 정보통신서비스제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다. 그런데 정보통신서비스가 '개방성'을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스제공자가 구축한 네트워크나 시스템 및 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 '해커' 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 아니한 점, 해커 등은 여러 공격기법을 통해 정보통신서비스제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적인 점 등의 특수한 사정이 있으므로, 정보통신서비스제공자가 구 정보통신망법(2008. 2. 29. 법률 제8852호로 개정되기 전의 것) 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스제공자의 업종·영업규모와 정보통신서비스제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성, 정보통신서비스제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다. 특히 구 정보통신망법 시행규칙 제3조의3 제2항 은 "정보통신부장관은 제1항 각 호의 규정에 의한 보호조치의 구체적인 기준을 정하여 고시하여야 한다."라고 규정하고 있고, 이에 따라 정보통신부장관이 마련한 「개인정보의 기술적·관리적 보호조치 기준」 (정보통신부 고시 제2005-18호 및 제2007-3호, 이하 '고시'라 한다)은 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스제공자가 구 정보통신망법 제28조 제1항에 따라 준수해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있으므로, 정보통신서비스제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다(대법원 2015. 2. 12. 선고 2013다43994 판결 참조). 그리고 위와 같은 법리는 구 정보통신망법상 정보통신서비스제공자의 개인정보의 안전성 확보의무에서 뿐만 아니라 전자금융거래법상 금융회사 등의 안정성 확보의무에 관하여도 마찬가지로 적용된다고 할 것이다.

2) 피고 A의 주장 요지

피고 A는 아래와 같은 이유로 2010. 4.경 발생한 개인정보 유출사고에 대한 피고 A의 과실은 인정되기 어렵다고 주장한다.

가) 개인정보처리자가 개인정보보호를 위해 갖추어야 할 기술적·관리적 보호조치를 취하지 않았음을 이유로 불법행위책임을 인정함에 있어 과실 유무의 판단 기준이 되는 주의의무의 구체적인 내용은 '과실책임의 원칙'상 법령이 구체적으로 정하여 요구하는 기술적·관리적 보호조치에 한정된다고 보아야 한다.

나) 피고 A는 네트워크, 서버, 단말기의 계층별 보안시스템, 침입차단시스템, 개인 메신저 등 인터넷망 접속차단, 개인정보 암호화 추진, 주요 정보처리시스템 접속기록 저장·보존 및 정기적인 모니터링, 개인정보가 저장되어 있는 정보처리시스템에 접근할 수 있는 사용자 계정통제 및 접근권한 관리시스템, USB 메모리카드 등 보조저장매체 통제 프로그램, 개인정보 포함 출력물에 대한 보안조치 및 실명제, 카드고객 정보 변환 사용, 정보보호 규정 마련 및 개인정보보호 조직 구축, 외주 직원에 대한 관리·감독 수행, 정기적인 개인정보보호 교육 실행, 인력, 조직, 예산상 보안 인프라 구축, 전산장비 반출입 통제 등 관련 법령에서 요구하는 기술적·관리적·물리적 보호조치를 취하는 등 정보보안에 최선의 노력을 기울였다.

다) D는 프로젝트 매니저(PM)로서 '데이터 마이그레이션 작업을 수행하기 위해' 암호화되지 않은 상태의 카드고객정보를 볼 수밖에 없는 위치에 있었기 때문에 피고 A가 피고 B에게 제공한 카드고객정보를 암호화 하였는지 여부는 이 사건 유출사고와 인과관계가 없고, 피고 A는 혹시 발생할지 모르는 카드고객정보 유출사고를 방지하기 위하여, 문서 암호화 솔루션인 DRM(Digital Rights Managements)을 각 개인용 컴퓨터에 설치·운영하였고, D가 서버에 접속하여 카드고객정보를 다운로드받은 컴퓨터에도 DRM 솔루션이 정상적으로 설치·운영되고 있었다.

라) 피고 A는 FDS 운영서버에 관하여 DB 접근제어 솔루션(DB Safer)을 설치하여 접속로그를 저장, 관리하였고, FDS 개발서버에 관하여는 운영시스템(OS, Operation System)이 제공하는 로그 기록 기능을 사용하였으며 외주업체 직원이 사용하는 컴퓨터와 FDS 개발서버 사이에 방화벽을 설치하여 접속기록을 저장, 관리하였다. 그리고 전산시스템 가동내역 기록은 유출사고가 생겼을 경우 사후에 유출경로나 범인을 추적하는 용도로 사용되는 것일 뿐 유출사고의 사전 방지책은 아니므로, 유출사고의 발생과 상당인과관계도 없다.

3) 판단

위에서 본 법리에 비추어 이 사건에 관하여 본다.

가) 정보통신망법 적용 여부

(1) 정보통신망법 제32조는 '이용자는 보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다'고 규정하고, 같은 법 제2조 제1항 제3호는 '"정보통신서비스 제공자"란 「전기통신사업법」 제2조 제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다'고 규정하며, 같은 조 제4호는 '"이용자"란 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다'고 규정하고 있다.

(2) 살피건대, 피고 A는 인터넷 홈페이지를 통하여도 카드회원을 모집하고 카드회원들에게 정보통신망을 이용하여 각종 서비스를 제공하는 것으로 보이므로 피고 A는 정보통신망법에서 정한 정보통신서비스 제공자에 해당한다고 할 것이다. 그리고 정보통신망법으로 보호되는 개인정보의 누출이란 개인정보가 해당 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미하는바, 카드회원의 모집은 오프라인에서도 다수 이루어지고 있고, 피고 A는 오프라인을 통하여 가입한 회원들에 대하여도 피고 A가 운영하는 인터넷 홈페이지에서 관련 서비스를 제공하는 것으로 보이며, 이에 따라 이 사건 제3 원고들이 피고 A가 운영하는 인터넷 홈페이지를 통하여 카드고객정보 유출 여부를 조회할 수 있었던 점 등을 고려하면 위 원고들이 피고 A가 제공하는 정보통신서비스의 이용자에 해당하지 않는다고 단정하기 어렵다. 따라서 피고 A의 2010. 4.경 카드고객정보 유출사고에 관하여도 정보통신망법상 개인정보 보호에 관한 규정들이 적용된다고 봄이 상당하다.

나) 공공기관 개인정보 보호법 적용 여부

구 공공기관 개인정보 보호법 제22조는 '공공기관 외의 개인 또는 단체는 컴퓨터 등을 사용하여 개인정보를 처리함에 있어 공공기관의 예에 준하여 개인정보의 보호를 위한 조치를 강구하여야 하며, 관계중앙행정기관의 장은 개인정보 보호를 위하여 필요한 때에는 공공기관 외의 개인 또는 단체에 대하여 개인정보의 보호에 관한 의견을 제시하거나 권고할 수 있다'고 규정하고 있으므로, 피고 A 역시 구 공공기관 개인정보 보호법이 공공기관에 대하여 부여하고 있는 개인정보 보호를 위한 조치의무를 부담한다고 봄이 상당하므로, 피고 A에 대하여 구 공공기관 개인정보 보호법도 적용된다고 할 것이다.

다) 전자금융감독규정시행세칙 제9조 및 구 공공기관 개인정보 보호법 시행 규칙 제5조 제2항 위반 여부

(1) 구 전자금융거래법 제21조 제2항은 '금융기관등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류별로 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다'고 규정하고 있고, 이를 구체화한 구 전자금융 감독규정시행세칙(2012. 5. 24. 전부개정되기 전의 것, 이하 같다) 제9조 제1항은 '금융기관 또는 전자금융업자는 전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각 호를 포함한 전산자료 보호대책을 수립·운용하여야 한다'고 규정하고 제7호에서 '정기적으로 보조기억매체의 보유 현황 및 관리실태를 점검하고 관리책임자의 확인을 받을 것'이라고 규정하고 있으며, 구 공공기관 개인정보 보호법 시행규칙 제5조 제2항은 '보유기관의 장은 개인정보가 기록된 출력자료와 처리정보가 기록된 자기테이프 등 기록매체가 유출되지 아니하도록 필요한 조치를 취하고 활용이 종료한 출력자료는 즉시 폐기하여야 한다'고 규정하고 있다.

(2) 그런데 피고 A는 업무상 필요를 이유로 FDS 개발작업을 하는 C 직원들에게 카드고객정보를 제공하였으므로 위와 같은 규정에 비추어, 이들이 FDS 개발작업을 위해 반입한 하드디스크 등 저장매체의 수량을 육안 또는 보안프로그램에 기록된 정보 등을 이용하여 정확히 파악하고, FDS 개발작업이 마무리되는 등으로 하드디스크 등 저장매체가 반출되는 때에는 직접 포맷을 실시하는 등으로 포맷 여부를 정확하게 확인하였어야 하며, 임의로 하드디스크 등 저장매체를 추가, 분리, 교체하는 것을 방지하기 위하여 컴퓨터 본체 또는 하드디스크에 보안스티커(인위적 훼손시 훼손 여부가 남는 특수제작 스티커)를 부착하는 등으로 FDS 개발작업을 위하여 반입되는 하드디스크에 카드고객정보가 저장된 채로 반출되지 않도록 철저히 관리·감독할 의무가 있다고 할 것이다.

(3) 그런데 피고 A는 2010. 4.경 카드고객정보 유출사고 당시 C 직원들이 FDS 개발작업을 위하여 피고 A 사무실에 반입한 컴퓨터에 대해서만 장비반입증을 제출받았을 뿐 반입한 내·외장 하드디스크의 수량을 파악하지는 않았고, 위 직원들이 피고 A 사무실에서 FDS 개발작업을 마치고 철수할 때 피고 A 보안팀에서 하드디스크 포맷을 하라고 지시할 뿐, 직접 하드디스크를 포맷하거나 포맷 여부를 감독하지 않았다.

(4) 위와 같이 피고 A가 하드디스크에 대한 관리를 소홀히 함으로써 D는 이를 이용하여 2010. 4.경 FDS 개발작업을 하면서 피고 A의 카드고객정보가 저장된 하드디스크를 몰래 숨겨서 가지고 나올 수 있었다고 할 것이다. 따라서 피고 A는 구 전자금융감독규정시행세칙 제9조 제1항 제7호, 구 공공기관 개인정보 보호법 시행규칙 제5조 제2항을 위반하였다고 보아야 할 것이다.

라) 암호화되지 않은 카드고객정보 제공과 관련된 규정 위반 여부

(1) 구 전자금융거래법 제21조 제2항은 '금융기관등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류별로 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다'고 규정하고 있고, 이를 구체화한 구 전자금융 감독규정 제13조 제1항은 '금융기관 또는 전자금융업자는 전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각 호를 포함한 전산자료 보호대책을 수립·운용하여야 한다'고 규정하고, 같은 항 제10호에서 '이용자 정보의 조회·출력에 대한 통제를 하고 테스트시 이용자 정보 사용금지(다만, 부하 테스트 등 사용이 불가피한 경우 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제하여야 한다)'고 규정하며, 구 전자금융감독규정 시행세칙 제9조 제1항은 '금융기관 또는 전자금융업자는 전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각 호를 포함한 전산자료 보호대책을 수립·운용하여야 한다'고 규정하고, 같은 항 제10호에서 '이용자정보의 조회·출력 통제 및 테스트 시 주요 이용 자정보를 변환하여 사용할 것'이라고 규정하고 있다.

한편, 정보통신망법 시행령 제15조 제4항은 '법 제28조 제1항 제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다'고 규정하면서, 같은 항 제2호에서 '주민등록번호 및 계좌정보 등 금융정보의 암호화 저장'을, 같은 항 제4호에서 '그 밖에 암호화 기술을 이용한 보안조치'를 각각 규정하고 있다.

(2) 그럼에도 피고 A가 카드고객정보 유출사고 당시 FDS 개발사업을 위하여 변환되지 않은 카드고객정보를 제공하고 그 사용에 대한 별다른 관리·감독을 하지 않고 방치한 행위는 구 전자금융감독규정시행세칙 및 정보통신망법 시행령 제15조 제4항 제2호, 제4호를 위반한 경우에 해당한다고 할 것이다.

그런데 피고 A는 위 법령의 규정에도 불구하고, FDS 개발을 위한 계약체결 단계에서부터 기존 FDS 개발 관례상 변형되지 않은 카드고객정보를 제공하여 왔다는 점에만 의존하여 FDS 개발작업 중 변형되지 않은 카드고객정보가 반드시 필요한지 여부 및 그 범위, 변형된 카드고객정보의 대체 가능성 등에 관하여 면밀한 검토를 하지 않았다.

(3) 따라서 피고 A는 암호화되지 않은 카드고객정보를 제공하여서는 아니 된다는 관련 규정을 위반하였다고 할 것이다.

4) 소결론

피고 A는 위와 같이 정보통신망법의 위임을 받은 같은 법 시행규칙 및 관련된 법령상 의무를 위반함으로써 이 사건 제3 원고들의 개인정보가 포함된 카드고 객정보가 유출되는 사고의 원인을 제공하였다고 할 것이고, 피고 A가 들고 있는 사정들만으로는 위와 같은 인정에 방해가 되지 않는다. 따라서, 피고 A는 2010. 4.경 카드 고객정보 유출사고에 대하여 민법상 불법행위 및 구 정보통신망법(2016. 3. 22. 법률 제14080호로 개정되기 전의 것) 제32조의 규정에 따라 이유로 위 원고들이 입게 된 손해를 배상할 책임이 있다.

나. 피고 A의 2013. 12.경 카드고객정보 유출사고에 대한 판단

1) 피고 A에 대한 청구에 대한 판단

가) 이 부분청구의 쟁점

개인정보 보호법 제39조 제1항은 "정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다."고 규정하고 있으므로 개인정보 보호법 및 하위 법령의 위반이 있는지 여부를 먼저 살피고, 개인정보 보호법 위반이 인정되는 경우 그 고의·과실의 부존재에 대한 피고 A의 주장에 관하여 살핀다. 민법상 불법행위 책임의 경우에도 위 2010. 4.경 유출사고에서 본 법리가 개인정보보호법 등의 법령에 관하여 동일하게 적용된다 할 것이므로 법령의 위반하였음이 인정되면 과실이 특별한 사정이 없는 한 추정된다고 할 것이므로 동일한 구조로 판단한다.

나) 개인정보 보호법 위반 여부에 대한 판단

(1) 개인정보 안전성 확보기준 제9조 위반 여부

(가) 구 개인정보 보호법 제29조, 같은 법 시행령 제30조 제1항 제5호를 구체화한 개인정보 안전성 확보조치 기준(행정안전부고시 제2011-43호, 이하 같다) 제9조는 개인정보처리자로 하여금 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 한다고 규정하고 있다. 한편, 피고 A가 그 보안프로그램을 통하여 업무용 컴퓨터에 USB 메모리를 연결하여 쓰기 기능을 사용하지 못하도록 제한하고 있는 점, 업무용 컴퓨터에 개인정보가 저장되어 있고 USB 메모리 쓰기 기능이 활성화된 경우 몰래 숨겨 반입·반출이 용이한 USB 메모리를 이용하여 쉽게 개인정보를 유출할 위험성이 매우 높아지는 점, 크기가 작고 다른 물건으로 오인될 수 있도록 제작이 가능한 USB 메모리 자체의 반입·반출을 원천적으로 차단하는 데에는 한계가 있는 점, 업무용 컴퓨터에 있는 개인정보 등을 USB 메모리에 저장하여 유출할 가능성을 누구나 쉽게 예측할 수 있는 점 등에 비추어 보면, 위 규정에 의하여 개인정보처리자가 설치·운영할 의무가 있는 보안프로그램에는 특별한 사정이 없는 한 USB 메모리의 쓰기 기능 사용을 제한하는 기능을 갖추고 있어야 하고, 그러한 기능이 실질적으로 작동하고 있는지 관리·감독하는 조치가 수반되어야 한다고 봄이 상당하다.

(나) 앞서 든 증거에 변론 전체의 취지를 종합하면, D는 2012. 12.경부터 FDS 개발작업을 위하여 피고 A 사무실에서 근무하던 중 2013. 9. 중순경 피고 B의 업무용 컴퓨터 2대를 추가로 반입하게 된 사실, 피고 A가 제공하는 보안프로그램을 설치하게 되면 업무용 컴퓨터에서 USB 쓰기 기능을 사용하는 것이 불가능한 사실, 그런데 D는 위와 같이 추가로 반입한 컴퓨터 중 1대에는 보고서 등 문서를 작성하여 USB 메모리에 저장하고 필요한 경우 컴퓨터방에 가서 피고 B로 메일을 보내거나, 스마트폰을 접속하여 자료를 저장하고 스마트폰에서 이메일로 자료를 전송하는 데 사용할 목적으로 보안프로그램을 설치하지 않은 사실, 피고 A의 직원들 역시 위와 같이 컴퓨터 2대가 추가로 반입된 사실을 알았음에도 보안프로그램 설치 여부를 확인하지 않은 사실, D는 위와 같이 추가로 반입한 컴퓨터 중 1대에 USB 쓰기 기능을 통제할 수 있는 보안프로그램이 설치되지 않은 것을 이용하여 자신의 USB 메모리를 위 컴퓨터에 접속한 다음 USB 메모리 카드 안에 공유폴더를 만들었고, 보안프로그램이 설치되어 있고 피고 A의 개발서버에 접속할 권한이 있어 피고 A 카드고객정보가 저장되어 있는 업무용 컴퓨터에서 내부 네트워크를 통해 위 보안프로그램이 설치되어 있지 않은 컴퓨터에 접속하고 있는 USB 메모리 내 공유폴더에 접속하여 피고 A의 카드고객정보를 복사하여 유출한 사실이 인정된다.

위 인정사실에 의하면, 피고 A가 2013. 12.경 카드고객정보 유출사고 당시 정기 또는 수시로 피고 B 직원들이 FDS 개발작업을 위하여 반입한 컴퓨터의 존재 및 보안프로그램 설치·유지 여부 등을 확인하지 않아, 위와 같이 D가 반입한 컴퓨터 중 1대가 계속하여 보안프로그램이 설치되지 않은 상태에서 업무에 사용되도록 방치하였고, 그 결과 D의 카드고객정보 유출을 용이하게 하였다고 할 것이다. 따라서 이로써 피고 A는 개인정보 안전성 확보조치 기준 제9조를 위반하였다고 할 것이다.

(2) 암호화되지 않은 카드고객정보 제공과 관련된 규정 위반 여부

(가) 구 개인정보 보호법 제29조, 같은 법 시행령 제30조 제1항 제3호를 구체화한 개인정보의 안전성 확보조치 기준 제7조 제2항은 '개인정보처리자는 제1항에 따른 개인정보(고유식별정보, 비밀번호 및 바이오정보를 말한다)를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 암호화하여야 한다'고 규정하고, 같은 조 제8항은 '개인정보처리자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다'고 규정하고 있으며, 위 법령에는 위와 같은 고유식 별정보를 포함한 개인정보의 암호화의무에 관하여 예외사유를 규정하고 있지 않다.

그리고 구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것, 이하 같다) 제21조 제2항은 '금융기관등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류별로 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다'고 규정하고 있고, 이를 구체화한 구 전자금융감독규정(2013. 12. 3. 금융위원회고시 제2013-39호로 개정되기 전의 것, 이하 같다) 제13조 제1항은 '금융기관 또는 전자금융업자는 전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각 호를 포함한 전산자료 보호대책을 수립·운용하여야 한다'고 규정하고, 같은 항 제10호 에서 '이용자 정보의 조회·출력에 대한 통제를 하고 테스트시 이용자 정보 사용금지(다만, 부하 테스트 등 사용이 불가피한 경우 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제하여야 한다)'고 규정하고 있다.

(나) 피고 A가 그 사무실에서 FDS 개발작업을 하는 피고 B의 직원들에게 암호화 등으로 변형되지 않은 고유식별정보가 포함된 카드고객정보를 하드디스크 등 보조저장매체에 저장한 후 제공하여 FDS 개발업무에 사용하도록 하고 그 사용에 관하여 별다른 관리·감독을 하지 않고 방치한 행위는 위 암호화에 관한 각 규정을 위반한 경우에 해당한다고 할 것이다.

한편, 개인정보 안전성 확보조치 기준 제7조 제5항은 내부망에 고유식별정보를 저장하는 경우 위험도 분석에 따른 결과를 토대로 암호화를 적용하지 않을 수 있다는 취지로 규정하고 있으나, 이는 FDS 등 내부망 자체에 고유식별정보를 저장하는 방식에 관하여 규율하는 취지로 보이고, 특히 개인정보 안전성 확보조치 기준 제7조 제2항, 제8항에서는 고유식별정보를 보조저장매체 등을 통하여 전달하거나 업무용 컴퓨터에 저장하여 관리하는 경우에는 암호화의무에 대한 예외를 규정하고 있지 않은 점에 비추어 볼 때, 설령 FDS 개발과정에서 부득이 변형되지 않은 카드고객정보가 필요한 작업이 포함될 수 있다고 하더라도 개인정보 안전성 확보조치 기준 제7조 제2항, 제8항 및 구 전자금융감독규정 제13조 제1항 제10호의 규정 취지에 따라 변형되지 않은 카드고객정보가 필요한 작업에 대하여는 그것이 반드시 필요한 작업이 이루어질 때에만 엄격하게 제한하여 제공해야 할 뿐만 아니라, 해당 작업이 이루어질 때에는 피고 A의 직원이 직접 입회하여 감시·감독함으로써 정보유출의 가능성을 차단시키는 등 변형되지 않은 카드고객정보의 사용을 최소화하고 정보유출방지를 위한 보다 엄격한 대책을 수립·시행하였어야 할 것이다. 그러나 피고 A는 위 개인정보 안전성 확보조치 기준 등 법령의 규정에도 불구하고, FDS 개발을 위한 계약체결 단계에서부터 기존 FDS 개발 관례상 변형되지 않은 카드고객정보를 제공하여 왔다는 점에만 의존하여 FDS 개발작업 중 변형되지 않은 카드고객정보가 반드시 필요한지 여부 및 그 범위, 변형된 카드고객정보로의 대체 가능성 등에 관하여 검토를 하지 않았고, 피고 B에게 변형되지 않은 카드고객정보를 제공하기로 하면서도 그 사용범위, 방식을 제한하는 등의 방법으로 카드고객정보 유출방지대책을 별도로 수립·시행하지도 않았다. 그리고 FDS 개발작업을 외부 용역 업체에 의뢰할 때 FDS 개발사업의 효율성(신속, 저비용, 고성능)을 위하여 피고 A가 관련 규정 등을 위반하여 카드고객정보의 유출 가능성을 증대시킨 책임은 피고 A가 부담하여야 하는 것이지, 이를 그 개인정보 주체인 카드고객들에게 전가시킬 수는 없다. 따라서 피고 A는 암호화되지 않은 카드고객정보를 제공하여서는 아니 된다는 관련 규정을 위반하였다고 할 것이다.

다) 피고 A의 주장에 대한 판단

피고 A는 위 2010. 4.경 유출사고에서의 과실판단에 관한 주장과 유사한 이유와 아래와 같은 이유로 피고 A의 과실이 부존재한다고 주장하나, 피고 A가 들고 있는 증거들만으로는 피고 A의 과실 없음을 인정하기 부족하고, 달리 이를 인정할 증거가 없다. 따라서, 피고 A의 이 부분 주장은 이유 없다.

① 개인정보 보호법 및 같은 법 시행령 중 USB 메모리 반·출입을 통제하라는 규정이 없고, USB 메모리와 같이 크기가 매우 작은 이동식 저장매체의 반·출입을 완벽하게 통제하는 것은 현실적으로 불가능하다. 피고 A는 USB 메모리 사용을 통제하기 위하여 사내에 반입되는 모든 컴퓨터에 USB 메모리 등 매체제어 프로그램을 반드시 설치하도록 하였고, DRM 솔루션으로 USB 메모리에 개인정보가 저장되더라도 외부에서 그 내용을 확인할 수 없도록 조치하였다.

② 피고 A는 FDS 운영서버에 관하여 DB 접근제어 솔루션(DB Safer)을 설치하여 접속로그를 저장, 관리하였고, FDS 개발서버에 관하여는 운영시스템 (OS, Operation System)이 제공하는 로그 기록 기능을 사용하였으며 외주업체 직원이 사용하는 컴퓨터와 FDS 개발서버 사이에 방화벽을 설치하여 접속기록을 저장, 관리하였다. 그리고 전산시스템 가동내역 기록은 유출사고가 생겼을 경우 사후에 유출경로나 범인을 추적하는 용도로 사용되는 것일 뿐 유출사고의 사전 방지책은 아니므로, 유출사고의 발생과 상당인과관계도 없다.

라) 소결론

피고 A는 위와 같이 개인정보처리자가 개인정보 보호를 위하여 준수하여야 할 개인정보보호법 등의 법령상 의무를 위반함으로써 이 사건 제2, 3 각 원고들의 개인정보가 포함된 카드고객정보가 유출되는 사고의 원인을 제공하였다고 할 것이므로, 피고 A는 민법상 불법행위책임 및 개인정보 보호법 제39조에 따라 카드고객정보유출사고로 인하여 위 원고들이 입게 된 손해를 배상할 책임이 있다.

2) 피고 B에 대한 청구에 관한 판단

가) 피고 B의 주장

피고 B는 피고 A의 사업장에 파견되어 근무하고 있는 D에 대한 선임 및 관리·감독의무를 성실히 이행하였다. 피고 B가 FDS 개발 및 업그레이드 용역업무와 관련하여 모든 범위에서 D의 사무집행에 대한 일체의 관리·감독의무를 부담한다고 볼 수는 없고, 피고 B의 사무감독 범위는 직원인 D의 업무처리에 관한 일반적·추상적인 감독에 한정되는 반면, D가 피고 A의 FDS 개발 및 업그레이드 용역을 진행하는 과정에서 수행하게 되는 업무들(특히, 카드고객정보의 수령 및 취급)에 관한 개별적·구체적 관리·감독은 피고 A의 업무이자 의무이다. 그리고 설령 피고 B가 D에 대한 관리·감독의무를 다하였다고 하더라도 이 사건 제2, 3 각 원고들의 카드고객정보 유출이라는 결과 발생을 피할 수 없었을 것이다. 따라서 민법 제756조 제1항 단서 전단 또는 후단에 따라 피고 B의 사용자책임은 면제되어야 한다.

나) 판단

(1) 직접적인 손해배상책임의 발생여부

원고들은 피고 B가 개인정보 보호법 제26조 제2항이 규정한 수탁자에 해당하여 개인정보 보호법령을 준수할 의무가 있음에도 법령을 준수하지 않았으므로 그로 인한 손해를 배상할 의무가 있다는 취지로 주장한다. 개인정보 보호법 제26조 는 개인정보 보호법 제39조를 준용하고 있지 않고 있으므로 피고 B가 개인정보 보호법 및 같은 법 시행령 위반으로 인한 직접적인 손해배상 의무를 부담한다고 할 수 없다. 따라서, 피고 B의 사용자책임에 의한 손해배상책임은 별론으로 하더라도 이와 다른 전제에 선 원고들의 이 부분 주장은 이유 없다.

(2) 사무집행 관련성

민법 제756조에 규정된 사용자 책임의 요건인 '사무집행에 관하여'라는 뜻은 피용자의 불법행위가 외형상 객관적으로 사용자의 사업활동 내지 사무집행행위 또는 그와 관련된 것이라고 보일 때에는 행위자의 주관적 사정을 고려함이 없이 이를 사무집행에 관하여 한 행위로 본다는 것으로, 피용자가 고의에 기하여 다른 사람에게 가해행위를 한 경우, 그 행위가 피용자의 사무집행 그 자체는 아니라 하더라도 사용자의 사업과 시간적, 장소적으로 근접하고, 피용자의 사무의 전부 또는 일부를 수행하는 과정에서 이루어지거나 가해행위의 동기가 업무처리와 관련된 것일 경우에는 외형적, 객관적으로 사용자의 사무집행행위와 관련된 것이라고 보아 사용자책임이 성립한다. 이 경우 사용자가 위험발생 및 방지조치를 결여하였는지 여부도 손해의 공평한 부담을 위하여 부가적으로 고려할 수 있다(대법원 2009. 2. 26. 선고 2008다89712 판결 등 참조).

앞서 인정한 사실을 위 법리에 비추어 살피건대, D는 그 사용자인 피고 B와 피고 A 사이의 FDS 개발에 관한 계약에 따라 피고 A가 제공한 사무실에서 피고 B의 다른 직원들과 FDS 개발업무를 진행하는 과정에서 카드고객정보 유출행위를 저질렀고, D가 2013. 12.경 유출한 카드고객정보는 FDS 개발에 필요하여 피고 A가 제공한 자료였던 점 등에 비추어 보면, D가 피고 A의 2013. 12.경 카드고객정보를 유출한 행위는 외형적, 객관적으로 피고 B와 피고 A 사이의 FDS 개발용역계약에 따른 사무집행행위와 관련된 것이라고 할 것이므로, D의 카드고객정보 유출행위는 피고 B의 FDS 개발용역 수행이라는 사무집행에 관하여 이루어진 것으로 봄이 상당하고, 설령 FDS 개발을 위하여 변환되지 않은 카드고객정보가 반드시 필요한 것이 아니었다고 하더라도 달리 볼 수 없다.

(3) 선임·감독상 상당한 주의

민법 제756조 제1항 및 제2항의 책임에 있어서 사용자나 그에 갈음하여 사무를 감독하는 자는 그 피용자의 선임과 사무감독에 상당한 주의를 하였거나 상당한 주의를 하여도 손해가 있을 경우에는 손해배상의 책임이 없으나, 이러한 사정은 사용자 등이 주장 및 입증을 하여야 한다(대법원 1998. 5. 15. 선고 97다58538 판결 등 참조).

이 사건에 관하여 보건대, 피고 B가 제출한 증거만으로 피고 B가 D에 대하여 선임 및 사무감독에 상당한 주의를 하였다거나 상당한 주의를 하였어도 카드고객정보 유출로 인한 손해가 발생하였을 것이라고 인정하기에 부족하고 달리 이를 인정할 증거가 없다. 피고 B의 주장은 이유 없다.

다) 소결

따라서 피고 B의 피용자인 D는 2013. 12.경 그 사무집행에 관하여 카드 고객정보를 유출함으로써 이 사건 제2, 3 각 원고들에게 손해를 가하였다고 할 것이므로, 피고 B는 D에 대한 사용자로서 민법 제756조 제1항에 따라 피고 A와 공동하여 위 원고들에게 손해를 배상할 책임이 있다(다만, 피고 A의 2010. 4.경 카드고객정보 유출 당시 FDS 개발업무를 수급한 업체는 C이었으므로 피고 B가 이에 관하여 손해배상책임을 부담한다고 할 수는 없다).

5. 손해배상책임의 범위에 대한 판단

가. 피고들의 주장

1) 피고 A의 주장

가) 2010. 4.경 유출된 카드고객정보의 경우 유출된 1,023만 명의 카드고객정보 중 255만 명의 카드고객정보만 제3자에게 전달됨으로써 유통의 위험이 발생하였고, 나머지 768만 명의 카드고객정보는 제3자에게 전달되거나 유통되지 않은 상태에서 삭제되거나 수사기관에 압수되었다. 따라서, 제3자에게 유통되지 않은 758만 명의 카드고객정보의 정보주체에게 카드고객정보 유출과 관련하여 위자료로 배상할 만한 정신적 손해가 발생하였다고 할 수 없다. 나머지 일부 카드고객의 정보가 제3자에게 전달되었으나 원고들이 제3자에게 전달된 정보의 카드고객에 속한다는 증거가 없고, 원고들이 제3자에게 유통된 개인정보의 정보주체에 해당하는 사실을 입증하지 않는 한 이 사건 제2 원고들의 정신적 손해가 발생하였음은 입증되었다고 볼 수 없다.

나) 2013. 12.경 유출된 카드고객정보의 경우 D가 이를 유출한 지 얼마 지나지 않아 체포되고 해당 정보가 압수됨으로써 제3자에게 유통되지 않았다. 따라서 이 부분 원고들에게 위 카드고객정보 유출과 관련하여 위자료로 배상할 만한 정신적인 손해가 발생하였다고 할 수 없다.

2) 피고 B의 주장

이 사건에서 유출된 카드고객정보는 그 종류와 성격상 실제적인 금융거래에서 해당 정보들이 사용될 가능성은 매우 적고, 개인정보 유출에도 불구하고 구체적으로 정보주체를 식별할 가능성이 발생되었다고 보기는 어려우며, 제3자에게 유통되기 전에 유출된 정보가 전량 회수되었으므로 개인정보 유출의 범위가 공범을 넘어 확대되지는 않았다. 따라서 추가적인 법익침해 가능성이 거의 없으며, 실제로도 2차 피해발생이 확인된 것이 전혀 없는바, 개인정보 유출 이후 피고 A가 신속하게 대처하여 피해발생 및 확산을 방지하기 위한 조치를 취한 사실까지 고려해 보면, 이 사건 제2, 3 각 원고들에게 정신적 손해가 발생되었다고 할 수 없다.

설령 피고 B에게 손해배상책임이 인정된다고 하더라도 카드고객정보 유출사고에 대하여 피고 B의 책임보다 피고 A의 책임이 현저히 더 중하고, 국내 금융산업 신용리스크 관리 분야에서 중요한 역할을 담당하는 피고 B의 존속을 위하여 피고 B의 손해배상책임은 합리적으로 제한될 필요가 있다.

나. 관련 법리

1) 개인정보를 처리하는 자가 수집한 개인정보를 피용자가 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다(대법원 2012. 12. 26. 선고 2011다59834 판결 참조).

2) 불법행위로 인한 손해배상청구권은 현실적으로 손해가 발생한 때에 성립하는 것이고, 현실적으로 손해가 발생하였는지 여부는 사회통념에 비추어 객관적이고 합리적으로 판단하여야 한다(대법원 2003. 4. 8. 선고 2000다53038 판결 등 참조).

다. 판단

1) 정신적 손해가 발생하였는지 여부

우선, 위 법리에 비추어 이 사건 제2, 3 각 원고들에게 정신적 손해가 발생한 것으로 볼 수 있는지에 관하여 살펴본다.

가) 피고 A의 2010. 4.경 카드고객정보 유출사고의 경우

(1) 피고 A의 2010. 4.경 카드고객정보 유출사고로 인하여 이 사건 제3 원고들에게 정신적 손해가 발생하였는지 여부에 관하여 살피건대, 2010. 4.경 카드고객정보 유출사고로 유출된 이 사건 제2원고들의 개인정보에는 개인의 사회·경제적활동에서의 식별 기준이 되는 주민등록번호가 포함되어 있을 뿐만 아니라 일부 원고들의 경우에는 '카드번호 및 유효기간', '회사주소', '집주소', '회사전화', '집전화', '휴대전화'등의 정보가 포함되어 있는 것은 위에서 인정한 바와 같다. 위와 같은 항목의 정보들은 개인에 대한 식별가능성이 높은 정보 및 경제적 피해를 유발할 가능성이 높은 정보에 해당한다.

(2) 2010. 4. 카드고객정보 유출사고로 유출된 개인정보를 제3자가 열람하였는지 여부 또는 제3자의 열람가능성이 있었는지 여부에 관하여 본다. ① D가 2010. 4.경 피고 A 회원 약 1,023만 명의 카드고객정보를 유출하여 이를 하드디스크에 저장하여 자신의 집에서 보관하다가 2011. 1.경 F에게 그 중 약 255만 명의 카드고객 정보를 제공한 사실, ② F는 다수의 금융영업 등을 목적으로 하는 다수의 사람에게 D로부터 전달받은 개인정보를 제공한 사실은 앞서 인정한 바와 같다.

앞서 든 증거에 변론 전체의 취지를 종합하면, D는 약 1,023만 명의 카드고객정보 중 F에게 약 255만 명의 정보를 제공한 외에 다른 사람에게 위 약 1,023만 명의 카드고객정보를 제공한 사실이 없다고 진술하고 있는 사실, 위 약 1,023만 명의 피고 A 카드고객정보가 저장되어 있던 하드디스크는 D가 보관하고 있던 중 수사기관에 의하여 압수된 사실이 인정된다.

그러나 앞서 든 증거에 변론 전체의 취지를 종합하면, D는 2013.12. 23. 수사기관으로부터 긴급체포되어 AM, AN에 관한 카드고객정보 유출범행에 관하여 창원지방검찰청으로부터 수사를 받기 시작하였고, 다음날 피고 A에서의 2013. 12.경 카드고객정보 유출범행에 관하여도 수사기관에서 이를 인정하는 진술을 한 사실, 그런데 D는 이미 다른 카드고객정보 유출범행에 관하여 2014. 1. 8. 창원지방법원에 기소되어 형사재판이 계속 중이던 2014. 2. 25. F의 사무실에서 위 카드고객정보가 담긴 하드디스크가 압수됨에 따라 처음으로 피고 A에서의 2010. 4.경 카드고객정보 유출 범행도 인정하는 진술을 한 사실이 인정된다.

여기에다가 기록에 비추어 알 수 있는 다음과 같은 사정 즉, D가 피고 A에서 2010. 4.경 유출한 약 1,023만 명 중 F에게 약 255만 명의 카드고객정보만 제공하였다는 진술은 D의 범행 행태나 그 지속성 등에 비추어 선뜻 그 신빙성을 인정하기 어려운 점, D는 자신의 범행을 축소하기 위하여 F에게 제공한 카드고객정보의 양을 뒤늦게 F의 사무실에서 압수된 하드디스크에 저장되어 있던 카드고객정보만으로 한 정하여 진술하였을 가능성을 배제하기 어려운 점, D가 F에게 2010. 4.경 유출한 카드고객정보를 제공한 시기는 2011. 1.경인데 그로부터 D에 대한 수사가 시작될 때까지 상당히 오랜 기간이 경과한 점(그 사이에 F는 D로부터 제공받은 피고 A의 카드고객정보 중 일부를 분실하거나 정보의 최신성이 떨어져 폐기함으로써 약 255만 명의 카드고 객정보만 남아 있는 하드디스크가 압수되었을 가능성도 배제하기 어렵다), D는 2010. 4.경 유출한 피고 A의 카드고객정보를 그에 대한 수사가 시작되기까지 약 3~4년 동안 보관하고 있었고, D가 유출한 다른 카드고객정보를 제3자에게 제공한 범행 수법이나 태양 등에 비추어 D가 그 기간 동안 F 또는 그 외 다른 사람에게 약 1,023만 명의 카드고객정보를 추가로 제공하는 등으로 이를 추가 유출하였을 가능성을 배제하기 어려운 점 등에 비추어 보면 2010. 4.경 유출된 피고 A 회원 약 1,023만 명의 카드고객정보는 그 정보주체인 위 원고들의 의사에 반하여 이미 제3자에게 열람되었거나 장차 열람될 가능성이 매우 높다고 봄이 상당하다.

(3) 피고 A는 D가 2010. 4.경 카드고객정보를 유출하였다는 사실조차 D에 대한 관련 수사가 개시될 때까지 전혀 인지하지 못하였고, 그 상태에서 2013. 12.경 카드고객정보 유출사고가 다시 발생하였던 점, 피고 A가 D 등 피고 B의 직원들에게 변환되지 않은 카드고객정보를 제공하는 의사결정 과정에서 개인정보 취급에 관한 주의의무를 다하지 못한 것으로 보이는 점(비슷한 시기에 FDS 시스템 개선 작업을 한 AO 주식회사의 경우 고객 데이터를 암호화 하여 제공하였던 것으로 보인다)을 종합하면 개인정보에 관한 업무를 제공방식 및 사후 관리·감독 실태도 미흡하였던 것으로 보인다.

(4) 결국 이 사건 제2 원고들에게는 사회통념상 2010. 4.경 카드고객정보 유출사고 인하여 정신적 손해가 현실적으로 발생하였다고 봄이 타당하다.

나) 피고 A의 2013. 12.경 카드고객정보 유출사고의 경우

(1) 앞서 든 증거에 변론 전체의 취지를 종합하면, D는 2013. 12.경 피고 A의 카드고객정보를 자신의 USB 메모리에 담아 유출한 뒤 이를 그대로 자신의 집에 있는 컴퓨터에 저장하여 보관하였던 사실, D는 이를 향후 F에게 전달하려고 하였으나 이를 전달하기 전에 2013. 12. 23. 수사기관에 의하여 긴급체포된 사실, D가 2013. 12.경 유출한 A의 카드고객정보는 같은 날 수사기관에 의하여 압수된 사실이 인정된다.

(2) 위 인정사실을 앞서 본 법리에 비추어 살펴보면, ① D는 FDS 개발에 관한 전문 엔지니어로서 개인적으로 유출된 카드고객정보를 제3자에게 대가를 받고 넘겨주는 것 이외에 이를 스스로 개인정보를 악용할 의사는 없었던 것으로 보이는 점, ② D는 FDS 개발과정에서 피고 A로부터 카드고객정보를 제공받아 이를 활용하였으나 이는 개발 중인 FDS가 제대로 작동되는지 여부를 테스트하기 위한 것이고 개별적인 정보의 구체적인 내용을 지득하였을 가능성은 거의 없는 것으로 보이고, 이는 카드고 객정보를 유출하여 자신의 컴퓨터 등 저장매체에 보관한 이후에도 마찬가지였을 것으로 보이는 점, ③ D가 2013. 12.경 피고 A에서 유출한 카드고객정보는 유출된 지 얼마지나지 않아 유출한 상태 그대로 압수되었는데, 유출되어 압수되기까지의 기간 및 경위에 비추어 유출된 카드고객정보가 다른 저장매체에 복사되어 있다거나 다른 사람에게 제공되었을 가능성은 거의 없는 것으로 보이는 점, ④ 위와 같이 유출된 카드고객 정보로 인하여 후속 피해가 발생하였음을 인정할 만한 사정이 발견되지 아니하는 점 등 제반 사정에 비추어 보면, 피고 B의 직원인 D가 2013. 12.경 피고 A의 카드고객정보를 유출하였고, 그 과정에서 피고 A가 카드고객정보가 유출되지 않도록 방지할 주의 의무가 있음에도 불구하고 이를 소홀히 함으로써 주의의무를 위반한 점이 인정된다고 하더라도, 피고 A의 2013. 12.경 카드고객정보 유출사고로 인하여 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기는 어렵고, 달리 이를 인정할 증거가 없다.

(3) 따라서 이 사건 제2, 3 각 원고들이 피고 A의 2013. 12.경 카드고객정보 유출을 원인으로 피고들에게 손해배상을 구하는 청구 부분은 이유 없다.

2) 손해배상책임의 범위

나아가 손해배상책임의 범위에 관하여 보건대, 위에서 살펴본 바와 같은 피고 A의 2010. 4.경 카드고객정보 관리실태와 그 유출의 구체적인 경위, 유출된 개인정보의 전파 및 확산 범위, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 피고 A가 마련한 사후적 조치의 내용 등과 더불어, 이 사건에서 유출된 개인정보에는 각 개인에게 유일하고 영구적이며 일신전속적인 성격을 지닌 주민등록번호가 포함되어 있고, 이를 도용한 2차적 피해 발생과 확대의 가능성을 배제하기 어려운 점, 다만 이 사건에서 유출된 카드고객정보의 내역이나 이를 취득한 사람들의 카드고객정보 취득목적 등에 비추어 유출된 카드고객정보를 이용한 카드 위·변조나 부정사용으로 인한 재산적 손해가 발생할 가능성은 그리 크지 않아 보이고, 현재까지 그와 같은 구체적인 재산상 피해가 실제로 발생한 사례는 확인되지 않고 있는 점, 이 사건에서 유출된 카드고객정보가 불특정 다수인에게 공개되었거나 열람할 수 있는 상태에 놓였던 것은 아니고 특정한 목적(대출영업)을 보유한 사람들에게 제한적으로 전파된 것으로 보이는 점, 유출된 카드고객정보의 양이 매우 방대한 탓에 이를 취득한 사람들도 카드고객정보를 선별적으로 사용하였을 것으로 보이는 점, 현실적으로 파일형태로 보관·처리되는 개인정보의 유출방지가 기술적으로 완벽할 수는 없는 반면, 오늘날 기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객 개인정보를 수집·보관하는 것이 필수적인 경우가 많아 소비자로서도 위와 같은 위험을 어느 정도 감수할 수밖에 없다는 점, 피고 A가 카드고객정보 유출사고를 인지한 후 고객들을 대상으로 해당 고객의 개인정보가 유출되었는지 여부를 확인할 수 있도록 필요한 서비스를 제공하는 등으로 카드고객정보 유출사고의 2차 피해방지를 위해 상당한 노력을 기울였던 것으로 보이는 점, 카드고객정보 유출은 D의 고의 또는 계획적인 범행으로 발생한 것이라는 점 등 이 사건 변론과 증거조사에 나타난 제반 사정과 이 사건과 같이 다수의 피해자들이 발생하는 개인정보 유출사고에 대한 예방의 필요성2)을 종합적으로 고려하면, 피고 A가 2010. 4.경 카드고객정보 유출로 인하여 정신적 손해를 입게 된 이 사건 제3 원고들에게 배상하여야 할 위자료는 각 100,000원으로 정함이 상당하다.

3) 소결

피고 A는 이 사건 제2 원고들에게 각 손해배상금 100,000원 및 이에 대하여 2010. 4.경 카드고객정보가 유출된 이후로서 위 원고들이 구하는 바에 따라 이 사건 소장부본 송달일 다음 날인 2014. 5. 1.부터 위 피고가 그 이행의무의 존부 및 범위에 관하여 항쟁함이 상당한 이 판결 선고일인 2017. 2. 16.까지는 「민법」 이 정한 연 5%, 그 다음날부터 다 갚는 날까지는 「소송촉진 등에 관한 특례법」 이 정한 연 15%의 각 비율로 계산한 지연손해금을 지급할 의무가 있다.

6. 결론

결국 이 사건 제2 원고들의 A에 대한 청구는 위 인정범위 내에서 이유 있어 인용하고, 나머지 청구는 기각하며, 이 사건 제3 원고들의 청구는 이유 없어 기각하기로 하여 주문과 같이 판결한다.

재판장 판사 이지현

판사 허민

판사 이상언

1) 별지 1 원고 명단은 원고 전체의 명단이고, 카드고객정보가 2010. 4., 2013. 12. 모두 유출된 경우는 별지 2 원고 명단으로, 2013. 12.만 유출된 경우는 별지 3 원고 명단으로 각 분류하였다.

2) 이 사건 각 유출사고가 발생한 이후에 개정된 개인정보보호법 제39조 제3항과 같은 법 제39조의2의 개정취지에 비추어 보아도 개인정보 유출은 사건 발생에 대한 예방의 필요성이 중요한 영역인바, '사고 발생에 대한 예방'의 필요가 이러한 위자료의 액수를 결정하는데 참작함이 상당하다고 보여진다.