2014다206785 손해배상 ( 기 )

1. FU

2. GW

3. LN

1. 에스케이커뮤니케이션즈 주식회사

2. 주식회사 이스트소프트

서울고등법원 2014. 2. 13. 선고 2013나2001042 판결

2018. 1. 25 .

상고를 모두 기각한다 .

상고비용은 원고들이 부담한다 .

상고이유를 판단한다 .

1. 가. 구 「 정보통신망 이용촉진 및 정보보호 등에 관한 법률 」 ( 2012. 2. 17. 법률 제11322호로 개정되기 전의 것, 이하 ' 구 정보통신망법 ' 이라고 한다 ) 제28조 제1항은 정보통신서비스 제공자가 개인정보를 취급할 때에는 개인정보의 분실 · 도난 · 누출 · 변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 그 각 호의 기술적 · 관리적 보호조치를 하여야 한다고 규정하고 있다. 이어 위 조항은 그 각 호로 ' 1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립 · 시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 · 운영 3. 접속기록의 위조 · 변조 방지를 위한 조치 4. 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치 5. 백신 소프트웨어의 설치 · 운영 등 컴퓨터바이러스에 의한 침해 방지조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치 ' 를 규정하고 있다. 그리고 구 정보통신망법 제28조 제1항의 위임을 받은 구 「 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 」 ( 2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것, 이하 ' 구 정보통신망법 시행령 ' 이라고 한다 ) 제15조는 정보통신서비스 제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 위와 같은 기술적 · 관리적 조치를 보다 구체적으로 규정하고 있다. 따라서 정보통신서비스 제공자는 구 정보통신망법 제28조 제1항 등에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적 · 관리적 조치를 취하여야 할 법률상 의무를 부담한다 .

나아가 정보통신서비스 제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스 제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실 · 도난 · 누출 · 변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다 .

나. 그런데 정보통신서비스가 ' 개방성 ' 을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스 제공자가 구축한 네트워크나 시스템과 그 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ' 해커 ' 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다. 또한, 해커 등은 여러 공격기법을 통해 정보통신서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적이다. 이처럼 정보통신서비스 제공자가 취해야 할 개인정보의 안전성 확보에 필요한 보호조치에 관해서는 고려되어야 할 특수한 사정이 있다 .

그러므로 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종 · 영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로

기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다 .

다. 특히 구 정보통신망법 시행령 제15조 제6항은 " 방송통신위원회는 제1항부터 제5항 까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다. " 라고 규정하고 있다. 이에 따라 방송통신위원회가 마련한 「 개인정보의 기술적 · 관리적 보호조치 기준 」 ( 방송통신위원회 고시 제2011 - 1호, 이하 ' 이 사건 고시 ' 라고 한다 ) 은 해킹 등 침해사고 당시의 기술 수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항 등에 따라 준수해야 할 기술적 · 관리적 보호조치를 구체적으로 규정하고 있다. 그러므로 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다 ( 대법원 2015. 2. 12. 선고 2013다43994, 44003 판결 등 참조 ) .

라. 다만, 이 사건 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다. 따라서 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다 .

2. 원심판결 이유 및 원심이 적법하게 채택한 증거들에 의하면 다음과 같은 사실 또는 사정을 알 수 있다 .

가. 서비스 이용약관 제5조 제1항에 의하면, 피고 에스케이커뮤니케이션즈 주식회사 ( 이하 ' 피고 에스케이커뮤니케이션즈 ' 라고 한다 ) 와 이용고객 사이의 서비스 이용계약은, 이용고객이 서비스 이용약관 및 개인정보취급방침에 " 동의합니다 " 를 선택하고 피고 에스케이커뮤니케이션즈가 정한 신청양식을 작성하여 이용을 신청한 후 피고 에스케이커뮤 니케이션즈가 이를 승낙함으로써 성립한다 .

나. 서비스 이용약관 제23조 제2항에는 ' 회사는 회원의 회원정보를 보호하기 위해 보안시스템을 구축, 운영하며, " 개인정보취급방침 " 을 공지하고 준수합니다. 또한 회사는 " 개인정보취급방침 " 에 따라 회원정보를 취급함에 있어 안정성 확보에 필요한 기술적 및 관리적 대책을 수립 · 운영합니다. ' 라고 규정되어 있다 .

다. 구 정보통신망법 제28조 제1항 제2호, 구 정보통신망법 시행령 제15조 제2항 제2호는 정보통신서비스 제공자로 하여금 개인정보처리시스템에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 및 침입탐지시스템을 설치 · 운영하도록 규정하고 있었다 .

라. 또한 이 사건 고시 제4조 제5항 제1, 2호는 정보통신서비스 제공자로 하여금 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 ① 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한하는 기능과 ② 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하는 기능을 포함한 시스템을 설치 · 운영하도록 규정하고 있었다 .

마. 이에 따라 이 사건 해킹사고 당시 피고 에스케이커뮤니케이션즈는 개인정보처리시스템에 대한 접속 권한을 아이피 주소 등으로 제한하여 인가받지 않은 접근을 제한하는 방화벽을 설치하는 방법으로 침입차단시스템을 설치 · 운영하고 있었고, 개인정보처 리시스템에 접속한 아이피 주소 등을 재분석하여 불법적인 개인정보 유출시도를 탐지하도록 하는 침입탐지시스템도 설치 · 운영하고 있었다 .

바. 이외에도 피고 에스케이커뮤니케이션즈는 와이즈허브 시스템즈의 디엘피 솔루션 ( Data Loss Prevention Solution, 기밀 또는 중요 정보의 유출을 차단 · 예방하는 활동을 구현한 하드웨어 또는 소프트웨어. 이하 ' DLP 솔루션 ' 이라고 한다 ) 을 설치 · 운영하고 있었다. 이는 사용자 PC에 저장된 전자문서 및 데이터가 외부로 유출되는 것을 탐지 또는 차단하거나 로그를 생성하여 자료의 유출을 방지하고 감시 및 추적 기능을 제공하는 자료유출방지시스템이다 .

사. 위 DLP 솔루션은 이름, 주소, 전화번호, 이메일주소, 주민등록번호, 계좌번호 등 특정 패턴의 정보가 들어 있는 파일을 식별할 수 있고, 이들 정보가 특정 건수 이상 유출될 경우에는 관리자에게 경고를 발송하거나 위 유출을 차단시키는 등의 기능이 있었다 .

아. 이 사건 해킹사고 당시 해커는 피고 에스케이커뮤니케이션즈의 개인정보 데이터베이스 서버에 침입하여 개인정보를 덤프 ( dump ) 파일로 생성하여 압축한 다음, 이를 게이트 웨이에 내려받고, 파일전송 프로토콜 ( File Transfer Protocol, 인터넷을 통해 컴퓨터 간에 파일을 송수신하는 데 사용되는 통신규약. 이하 ' FTP ' 라고 한다 ) 을 이용하여 위 개인정보 파일을 게이트웨이에서 피고 에스케이커뮤니케이션즈의 직원인 S 또는 Z의 컴퓨터로 내려받은 후 V 사이트를 경유하여 중국으로 전송하였다 .

자. 위 덤프 파일에는 암호화된 비밀번호, 주민등록번호 외에도 암호화되지 않은 이름 , 주소, 전화번호, 이메일 주소 등도 포함되어 있었다. 그런데 위 DLP 솔루션은 이 사건 해킹 사고 당시 해커가 사용한 방식인 command 상태 ( 일명 DOS창 ) 에서 FTP 명령을 실행하여 파일을 전송할 경우 이름, 주소, 전화번호, 이메일 주소 등 개인정보 유출을 탐지하지 못하는 프로그램 오류 ( bug ) 가 존재하여, 암호화되지 않은 위 개인정보의 유출을 탐지하지 못하였다 .

차. 한편 이 사건 해킹 사고 당시 DLP 솔루션의 설치는 피고 에스케이커뮤니케이션즈와 동종업계 사업자들 사이에서 보편적으로 사용되던 기술적 조치는 아니었다 .

3. 이러한 사실관계 또는 사정을 위에서 본 법리에 비추어 본다 .

가. 먼저 이 사건 해킹사고 당시 피고 에스케이커뮤니케이션즈가 설치 · 운영하고 있던 DLP 솔루션에 위와 같은 프로그램 오류 ( bug ) 가 존재하지 않았다는 상고이유 주장은 사실심인 원심의 전권사항인 증거의 취사선택과 사실인정을 다투는 것에 지나지 않아 적법한 상고이유가 되지 못한다 .

나. 다음으로 나머지 상고이유 주장에 관하여 본다 .

이 사건 해킹사고 당시 정보통신서비스 제공자인 피고 에스케이커뮤니케이션즈는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 이 사건 고시 등 관련 법령에 따라 침입차단시스템과 침입탐지시스템을 설치 · 운영하고 있었고, 위 시스템에는 이 사건 고시 제4조 제5항 제1, 2호에서 정한 기능이 포함되어 있었다. 이외에도 피고 에스케이커뮤니케이션즈는 자료유출방지 시스템인 DLP 솔루션을 설치 · 운영하고 있었으나, 서비스 이용약관에 규정된 내용과 이 사건 해킹사고 당시 보편적으로 알려져 있었던 정보보안의 기술 수준, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성 등에 비추어 볼 때, DLP 솔루션이 개인정보 유출을 탐지하지 못했다고 하더라도, 피고 에스케이 커뮤니케이션즈가 이 사건 해킹사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하지 않았다고 볼 수 없다. 따라서 피고 에스케이커뮤니케이션즈가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다 .

원심판결 이유에 다소 부적절한 부분이 있기는 하나, 원심이 결론적으로 피고 에스케이커뮤니케이션즈가 위와 같은 법률상 또는 계약상 의무를 위반하였다는 원고들의 주장을 배척한 것에 상고이유 주장과 같이 서비스 이용약관에 따른 개인정보 보호의무에 관한 법리를 오해하거나 논리와 경험의 법칙에 반하여 자유심증주의의 한계를 벗어나 사실을 오인하는 등의 사유로 판결에 영향을 미친 잘못이 없다 .

4. 그러므로 상고를 모두 기각하고, 상고비용은 패소자가 부담하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다 .

재판장 대법관 김신

대법관박상옥

주 심 대법관 이기택

대법관박정화