서울서부지방법원 2014.4.17.선고 2013가합30752 판결

가. 당사자의 지위 ( 1 ) 피고는 인터넷상에서 검색, 커뮤니티 등을 기반으로 각종 정보를 제공하는 포털 서비스사업을 운영하는 회사로, 네이트 ( NATE ), 네이트온 ( NateON ), 싸이월드 ( CYWORLD ) 와 같은 온라인 서비스를 제공하고 있다 . ( 2 ) 원고들은 피고가 제공하는 네이트와 싸이월드의 한쪽 또는 양쪽 서비스에 가입한 사람들로, 그 가입 당시 피고에게 아이디 ( ID ), 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소 등 개인정보를 제공하였다 .

나. 해킹 사고의 발생( 1 ) 중국에 거주하는 것으로 추정될 뿐 인적사항을 알 수 없는 해커 ( 이하 ' 이 사건 해커 ' 라고 한다 ) 는 2011. 7. 21. 00 : 40경 피고 DB기술팀 직원인 김 * 영의 컴퓨터에 윈도우 예약작업을 이용하여, 이 사건 해커가 미리 설정해놓은 임의의 도메인인 'nateon. duamlive. com ' 에 역접속을 시도하는 기능을 가진 악성프로그램을 유포하고 , 2011. 7. 26. 부터 2011. 7. 27. 까지 중국 내 불상지에서 자신의 컴퓨터로 김 * 영의 컴퓨터 ( 일반직원 PC ) 에 원격접속하여 성명 미상의 DB 관리자 PC에 침입한 후 위 DB 관리자 PC를 통하여 피고 정보통신망에 침입하였으며, 네이트 회원정보가 저장되어 있는 데이터베이스 서버, 싸이월드 회원정보가 저장되어 있는 데이터베이스 서버, 중복 저장회원정보가 저장되어 있는 데이터베이스 서버에 침입하여 위 각 서버에서 처리, 보관하고 있는 개인정보를 아이피 주소 ' 211. 115. 112. 36 ' 이 할당된 컴퓨터인 에듀티에스 서버 ( www. eduts. co. kr ) 로 전송 ( 이하 ' 이 사건 해킹 사고 ' 라고 한다 ) 하였다 . ( 2 ) 이 사건 해킹 사고를 통하여 네이트 또는 싸이월드의 회원 중 34, 954, 887명의 개인정보가 유출되었는데, 유출된 개인정보에는 아이디, 비밀번호, 주민등록번호, 성명 , 생년월일, 이메일 주소, 전화번호, 주소가 포함되어 있고, 가입 당시 혈액형, 닉네임 등을 입력한 일부 회원들의 경우 위 혈액형, 닉네임 등도 포함되어 있다 . ( 3 ) 피고는 2011. 7. 28. 이 사건 해킹 사고를 경찰과 방송통신위원회에 신고하였고 , 네이트와 싸이월드 회원들에게 이 사건 해킹 사고로 인한 개인정보 유출 사실을 공지하였다 .

다. 이 사건 해킹 사고의 경위 ( 1 ) 경찰은 2011. 7. 28. 이 사건 해킹 사고에 대한 수사에 착수하였는데, 경찰의 수사 결과에 의하면, 이 사건 해커는 다음과 같은 경로로 네이트와 싸이월드 회원들의 개인정보를 유출한 것으로 파악된다 .

( 가 ) 소프트웨어 개발 및 제조 공급업 등을 영위하는 회사인 주식회사 이스트소프트 ( 이하 ' 이스트소프트 ' 라고 한다 ) 는 저장 용량을 줄이기 위해 파일을 압축하는 프로그램인 알집 중 국내 공개용의 경우 기업용 등 다른 알집과 달리 무료로 배포하는 대신 프로그램 실행 시 프로그램 창의 일부에 광고가 게시되도록 하여 수익을 얻고 있는데 , 이스트소프트는 위 광고를 교체하기 위해 알집 업데이트 서버를 이용하여 알집 프로그램에 ALAD. dll이라는 파일을 전송한다 .

( 나 ) 이 사건 해커는 정상적인 ALAD. dll 파일이 아닌, 동일한 이름의 악성 프로그램인 ALAD. dll 파일을 만들었고, 이를 이스트소프트의 알집 업데이트를 통해 국내 공개용 알집의 사용자 컴퓨터에 설치하기 위해 다음과 같이 피고 이스트소프트의 알집 업데이트 서버를 이용하였다 .

( 다 ) 이 사건 해커는 중국 내에 소재한 컴퓨터에 경유지를 설정하기 위한 목적으로 자신의 ' Y ' 드라이브를 공유한 채, 원격데스크톱 연결을 하였고, ' Y ' 드라이브에 저장되어 있던 ' \ Y \ myxxx \ sb \ dangqian \ stmpxml. dll 파일을 알집 업데이트 서버 중 하나에 최초 복사하여 알집 업데이트 웹사이트의 ISAPI 필터 ) 에 stmpxml. dll 파일을 등록시켰으며, 이를 다시 알집 업데이트 서버 중 다른 4개의 서버에 복사하여 같은 방법으로 ISAPI 필터에 stmpxml. dll 파일을 등록하였다 . ( 라 ) stmpxml. dll 파일이 ISAPI 필터에 등록되면, 피고 등 선별된 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우, 이스트소프트가 설정한 본래의 다운로드 경로인 ' http : / / aldn. altools. co. kr ' 이 아닌, 이 사건 해커가 설정한 악성 프로그램 유포지인 ' http : / / inexon. softsforum. org ' 에서 악성 프로그램인 ALAD. dll 파일을 다운로드 받게 된다. 악성 프로그램인 ALAD. dll 파일이 다운로드되면, 위 파일은 악성 프로그램인 ALAD. exe 파일을 생성, 실행시키고, 위 프로그램은 키로깅 ( keylogging ) 프로그램인 nateon. exe 프로그램을 실행시켜 키보드 입력값이 컴퓨터에 파일로 저장되게 한다 . ( 마 ) 2011. 7. 18. 08 : 58 : 27경 피고의 컴퓨터가 알집 업데이트 과정에서 ' http : / / inexon. softforum. org ' 에서 악성 프로그램인 ALAD. dll 파일을 최초로 다운로드 받았고, 그 후 2011. 7. 20. 14 : 59경 피고 직원 김 * 영의 컴퓨터에 nateon. exe 파일이 생성되어 2011. 7. 21. 02 : 02경 nateon. exe에 감염되었으며, 2011. 7. 23. 13 : 09경 김 *영의 컴퓨터가 update. exe 파일과 windowsrpc. dll 파일을 실행하였다 . ( 바 ) 그 후 2011. 7. 26. 02 : 07경 이 사건 해커가 사용한 컴퓨터가 김 * 영의 컴퓨터를 경유하여 게이트웨이 서버에 이 * 석의 DB 관리자 아이디로 접속하였다 . ( 사 ) 이 사건 해커는 피고의 서버에 침입하여 개인정보를 덤프 파일로 생성하여 압축한 다음, 이를 게이트웨이 서버에 내려받고, 파일을 송수신하는 통신규약인 FTP ( File Transfer Protocol ) 를 이용하여 위 개인정보 파일을 게이트웨이에서 김 * 영 또는 이 * 석의 컴퓨터로 내려받은 후 대한민국 내 경유지인 에듀티에스 사이트를 경유하여 중국으로 전송하였다. 그 자세한 유출 경로는 다음과 같다 .

① 네이트 회원의 개인정보 유출 경로

이 사건 해커는, 2011. 7. 26. 03 : 42경 custdb2 컴퓨터에서 리눅스 DB 백업 명령어인 exp 명령으로 네이트 회원 개인정보 DB를 ' / data / cust. dmp ' 라는 덤프 포맷 파일로 저장하였고, 04 : 18경 pinfodb 컴퓨터에서 서로 다른 컴퓨터 사이에 파일을 복사하는 명령어인 scp 명령으로 custdb2에 저장된 ' / data / cust. dmp ' 파일을 / BACKUP 경로에 내려받았으며, 04 : 25경 pinfodb 컴퓨터에서 ' / BACKUP / cus. dmp ' 파일을 ' / BACKUP / cus. dmp. bz2 ' 파일로 압축하였고, 05 : 36경 pinfodb에 저장된 ' / BACKUP / cus. dmp. bz2 ' 파일을 게이트웨이 서버의 C : \ temp에 내려받았으며, 06 : 22경 김 * 영의 컴퓨터에서 게이트웨이 서버에 저장된 ' C : Wtempwcus. dmp. bz2 ' 파일을 내려받았고, 06 : 33경 김 * 영의 컴퓨터에 저장된 ' cus. dmp. bz2 ' 파일을 에듀티에스 사이트로 전송하였으며, 10 : 03경 에듀티에스 사이트에서 중국으로 ' cus. dmp. bz2 ' 파일을 전송하였다 .

② 싸이월드 회원의 개인정보 유출 경로

이 사건 해커는, 2011. 7. 26. 04 : 37경 custdbl 컴퓨터에서 exp 명령으로 싸이월드 회원 개인정보 DB를 ' / data / cymem. dmp ' 라는 덤프 포맷 파일로 저장하였고 , 05 : 08경 pinfodb 컴퓨터에서 scp 명령으로 custdb1에 저장된 ' / data / cymem. dmp ' 파일을 / BACKUP 경로에 내려받았으며, 05 : 15경 pinfodb 컴퓨터에서' / BACKUP / cymem. dmp ' 파일을 ' / BACKUP / cymem. dmp. bz2 ' 파일로 압축하였고, 05 : 36경 pinfodb에 저장된 ' / BACKUP / cymem. dmp. bz2 ' 파일을 게이트웨이 서버의 C : Wtemp에 내려받았으며, 06 : 21경 김 * 영의 컴퓨터에서 게이트웨이 서버에 저장된 'C : Wtempwcymem. dmp. bz2 ' 파일을 내려받았고, 06 : 32경 김 * 영의 컴퓨터에 저장된 ' cymem. dmp. bz2 ' 파일을 에듀티에스 사이트로 전송하였으며, 09 : 44경 에듀티에스 사이트에서 중국으로 ' cymem. dmp. bz2 ' 파일을 전송하였다 .

③ 중복 저장 회원정보의 유출 경로

이 사건 해커는, 2011. 7. 26. 04 : 08경 custdb1 컴퓨터에서 exp 명령으로 싸이월드 회원 개인정보 DB를 ' / tmp / pits. dmp ' 라는 덤프 포맷 파일로 저장하였고, 04 : 24경 pinfodb 컴퓨터에서 ' / tmp / pits. dmp ' 파일을 ' / tmp / pits. dmp. bz2 ' 파일로 압축하였으며 , 05 : 41경 pinfodb에 저장된 ' / BACKUP / pits. dmp. bz2 ' 파일을 게이트웨이 서버의C : \ temp에 내려받았으며, 2007. 7. 27. 01 : 13경 이 * 석의 컴퓨터에서 게이트웨이 서버에 저장된 ' C : Wtempwpits. dmp. bz2 ' 파일을 내려받았고, 01 : 30경 이 * 석의 컴퓨터에 저장된 ' pits. dmp. bz2 ' 파일을 에듀티에스 사이트로 전송하였으며, 06 : 30경 에듀티에스 사이트에서 중국으로 ' pits. dmp. bz2 ' 파일을 전송하였다 . ( 아 ) 한편, 이 사건 해커는 이 사건 해킹 사고 이전에 2010. 7. 7. 경부터 30회에 걸쳐 이 사건 해커가 설정한 도메인에 역접속을 시도하는 기능을 가진 악성 프로그램을 유포시켰고, 2010. 9. 14. 경부터 24회에 결쳐 정당한 접근권한 없이 피고, 이스트소프트의 각 정보통신망를 비롯한 수 개의 정보통신망에 침입하였다 . ( 2 ) 경찰은 2012. 6. 20. 이 사건 해커에 대해 기소중지 의견으로 서울중앙지방검찰청에 사건을 송치하였고, 피고의 기술적 · 관리적 조치에 대해서는 관련 법령에서 정한 요건을 위반하지 않은 것으로 판단하였다 .

라. 관련 법령

정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 2012. 2. 17. 법률 제11322호로 개정되기 전의 것, 이하 ' 정보통신망법 ' 이라고 한다 ), 정보통신망법 시행령 ( 2011. 8. 29 . 대통령령 제23104호로 개정되기 전의 것, 이하 ' 정보통신망법 시행령 ' 이라고 한다 ), 정보통신망법 제28조 제1항 및 같은 법 시행령 제15조 제6항에 따라 제정된 개인정보의 기술적 · 관리적 보호조치 기준 ( 2012. 8. 23. 방송통신위원회 고시 제2012 - 50호로 개정되기 전의 것, 이하 ' 이 사건 고시 ' 라고 한다 ) 중 이 사건과 관련된 규정은 별지 2 ' 관련 법령 ' 기재와 같다 .

【 인정근거 】 다툼 없는 사실, 갑 1, 7, 12, 89호증, 을 29호증 ( 가지번호가 있는 것은 가지번호 포함, 이하 같다 ) 의 각 기재, 변론 전체의 취지

2. 원고의 주장

피고는 정보통신서비스 제공자로서 정보통신망법 및 같은 법 시행령, 이 사건 고시 등에 따라 네이트 또는 싸이월드의 회원인 원고들이 회원 가입 시 제공한 개인정보를 보호할 의무가 있고, 네이트와 싸이월드의 서비스 이용약관에 따라 원고들의 개인정보를 보호하기 위한 보안시스템을 구축하고 개인정보를 취급함에 있어 안전성 확보에 필요한 기술 및 관리적 대책을 수립 · 운영할 계약상 의무가 있음에도, 아래와 같이 이러한 의무를 위반하여 이 사건 해킹 사고를 방지하지 못하고 그로 인하여 원고들의 개인정보가 유출되도록 하였으므로, 정보통신망법 제32조 또는 채무불이행 책임에 따라 원고들에게 개인정보 유출로 인한 손해를 배상할 의무가 있다 .

가. 침입탐지시스템 등 미비로 대용량 개인정보의 유출을 탐지하지 못함이 사건 해커가 약 3, 500만 명 회원의 개인정보를 유출시키는 동안 대규모 데이터 전송이 발생하였을 것이고, 피고가 침입탐지시스템 및 침입방지시스템을 제대로 설치 · 운영하고 이상 징후를 실시간 모니터링하여 피고의 개인정보처리시스템에 접속한 IP, 트래픽 등을 분석하였다면 개인정보 전부에 대한 복사명령, 전송명령이 이루어짐을 알 수 있어 개인정보 유출을 충분히 막을 수 있었을 것임에도, 피고는 침입탐지시스템 등을 적절히 운영하지 못하고 개인정보의 출력 · 복사 시 필요한 보호조치를 갖추지 못한 잘못으로 이를 탐지하거나 방지하지 못하였다 .

나. 피고의 직원 컴퓨터에서 공개용 알집을 사용

피고는 그 직원들이 유료로 제공되는 국내 기업용 알집 프로그램을 사용하도록 관리할 의무가 있음에도 그 직원들이 개인 사용자에게 무료로 제공되는 보안장치가 갖추어 지지 않은 국내 공개용 알집 프로그램을 사용하는 것을 방치하였는데, 이는 저작권법 위반행위에 해당하고, 국내 공개용 알집 프로그램은 자동 광고 업데이트 기능이 있어 두터운 방화벽이 존재하더라도 방화벽 외부에 있는 파일이 더 쉽고 빠르게 방화벽 내부로 진입할 수 있는바 피고의 직원들이 자동 광고 업데이트 기능이 포함되지 않은 국내 기업용 알집 프로그램을 사용하였더라면 이 사건 해킹 사고가 발생하지 아니하였을 것이므로, 피고는 그 직원들이 국내 공개용 알집 프로그램을 불법적으로 사용하는 것을 방치함으로써 이 사건 해킹 사고를 초래하였다 .

다. FTP 서비스의 제공FTP는 파일 전송을 위한 프로토콜로서 대량의 파일을 쉽게 송수신하는 역할을 수행하기 때문에 일반적으로 보안이 취약하다. 이러한 FTP 방식 프로토콜의 취약점 때문에 피고는 내부적으로 정한 ' 개인정보보호 업무지침서 ' 제26조에서 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하지 못하도록 규정하고 있고, 정보통신망법 제45조에 따라 방송통신위원회가 2010. 2. 3. 고시한 정보보호조치 및 안전진단 방법 · 절차 · 수수료에 관한 지침 [ 별표1 ] 의 2. 2. 8. 에 따르면 피고는 정보통신망의 안정성 등을 확보하기 위하여 게이트웨이 서버에서 불필요한 FTP를 제거할 의무가 있음에도, 피고는 게이 트웨이 서버와 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하였다. 이에 따라 이 사건 해커는 게이트웨이 서버와 DB 서버 관리자인 김 * 영, 이 * 석의 각 PC에 설정되어 있던 FTP 방식의 프로토콜을 이용하여 DB 서버로부터 개인정보를 유출해 갈수 있었다 .

라. 로그아웃을 하지 않고, 자동 로그아웃 시간을 설정하지 않음이 사건 해킹 사고가 발생하기 전날인 2011. 7. 25. 16 : 48경부터 17 : 29경까지 DB 서버 관리자가 김 * 영의 PC로 DB 서버에 로그인하고 업무를 수행하였는데, 작업이 종료된 이후에도 로그아웃을 하지 아니하였다. 또한 피고는 일정 시간 이상 작업을 수행하지 않으면 자동으로 로그아웃이 되는 아이들 타임 ( idle time ) 이나 접속 가능한 최대시간인 커넥트 타임 ( connect time ) 을 설정하지 않았다. 이로 인하여 이 사건 해커는 DB 서버에 접속하기 위한 두 번째 단계의 인증, 즉 DB 서버 관리자의 이메일로 전송된 일회용 비밀번호 ( OTP, One Time Password ) 를 입력하지 않고 DB 서버에 접속하여 개인정보를 유출해 갈 수 있었다 .

마. 개인정보 암호화 방식 관련

피고는 개인정보를 안전한 방법으로 암호화하여 저장하여야 하고, 특히 비밀번호의 경우 원래의 자료에 함수를 적용하여 얻은 결과 ( 이러한 결과를 ' 해쉬값 ' 이라고 한다 ) 를 구하는 것은 간단하지만 해쉬값에서 원래의 자료를 구하는 것은 어려운 특성을 가지는 일방향 해쉬함수를 통해 암호화하여 안정하게 저장할 의무가 있음에도, 피고는 보안강도가 다른 해쉬함수에 비해 낮아 일반적으로 권고되지 아니하는 MD5 방식을 사용하여 비밀번호를 암호화함으로써 위 의무를 위반하였다 .

3. 판단 .

가. 침입탐지시스템 등 미비로 대용량 개인정보의 유출을 탐지하지 못하였는지 여부 개인정보에 대한 불법적인 접근을 차단하기 위한 침입탐지시스템과 침입방지시스템 및 개인정보의 출력 · 복사 시 필요한 보호조치 등 기술적 · 관리적 보호조치에 관하여는 정보통신망법 제28조 제1항 제2, 3호, 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4, 5, 8조에서 규정하고 있다. 그런데, 이러한 규정에서 정한 기술적 · 관리적 보호조치에는 개인정보처리시스템에서 대량으로 유출되는 정보를 실시간으로 모니 터링하는 보호조치가 포함되어 있는 것으로 보기 어렵다 .

나아가 을 5 내지 9호증, 14 내지 18호증의 각 기재에 변론 전체의 취지를 종합하면, ① 피고가 작성한 개인정보보호 업무지침서에서는 개인정보관리책임자의 허가를 얻어 개인정보 접근권한이 부여될 수 있도록 하고 ( 제22조 ), 개인정보 접근권한 대장과 관련 기록을 작성하여 보관하도록 규정하면서 ( 제23조 ), 업무 특성에 따른 접근권한 부여 기준 ( 제24조 ), 접근권한의 변경과 말소에 대한 기준 ( 제25조 ), 접근권한 프로그램의 보안을 위한 비밀번호의 작성 규칙 ( 제26조 ), 개인정보 접근 로그 저장, 로그의 보관 · 관리, 로그에 대한 확인 · 감독을 통한 불법적인 접근 · 사용 모니터링 ( 제29조 ) 등에 대하여 정하고 있는 사실, ② 피고는 개인정보취급자가 외부에서 개인정보관리시스템에 접근하는 경우 가설사설망 ( VPN ) 을 통해 접근하도록 하고 있는 사실, ③ 피고는 주식회사 안철수연구소, 인포섹 주식회사 등과 개인정보시스템에 대한 침입차단시스템 또는 침입탐지시스템 설치, 유지보수, 증설계약 등을 체결하여 침입차단시스템과 침입탐지시스템을 설치 · 운영하고 있는 사실을 인정할 수 있다. 이에 비추어 보면, 피고는 정보통신망법 제28조 제1항 제2, 3호, 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4, 5, 8조에서 정한 기술적 · 관리적 보호조치를 이행하고 있는 것으로 보이고, 여기에 앞서 본 바와 같이 이 사건 해커는 이 사건 해킹 사고 발생 1년 전부터 이미 해킹을 위한 도메인을 만들어 놓고 수 개의 정보통신망에 대해 오랜 기간 지속적으로 해킹을 시도해왔으며, 피고 등 선별된 특정 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우에만 다운로드 경로를 변경하도록 조작하여 그 탐지가 쉽지 않은 방법을 사용하는 등 이 사건 해커가 사용한 해킹의 수법, 해킹 방지 기술의 한계, 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등을 종합하면, 피고가 이 사건 해킹 사고 당시 대량의 정보가 유출되는 이상 징후를 감지하지 못하였더라도 이러한 사정만으로는 피고가 개인정보에 대한 불법적인 접근 및 유출을 차단하기 위한 침입탐지시스템, 침입방지시스템을 적절히 운영하지 못하고 개인정보의 출력 · 복사 시 필요한 보호조치를 갖추지 못하였다는 원고들의 주장사실을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다 .

따라서 원고들의 위 주장은 더 나아가 살필 필요 없이 이유 없다 .

나. 공개용 알집 사용으로 인한 손해배상책임 발생 여부 ( 1 ) 피고가 저작권법 위반행위로 인해 손해배상책임을 부담하는지에 관하여 보건대 , 피고의 직원들이 원고들 주장과 같이 저작권법을 위반하여 국내의 개인 사용자에게 무료로 제공되는 알집 프로그램을 사용하였다고 하더라도, 피고가 원고들에게 손해배상책임을 지려면 위 저작권법 위반행위와 원고들의 손해 발생 사이에 상당인과관계가 있어야 한다. 또한 상당인과관계 유무를 판단함에 있어서는 결과 발생의 개연성은 물론 저작권법의 입법목적과 보호법익, 저작권법 위반행위의 태양 및 피침해이익의 성질 등을 종합적으로 고려하여 판단하여야 할 것이다 .

이 사건에서 피고는 영리기업임에도, 유료로 제공되는 국내 기업용 알집 프로그램을 구매하여 사용하지 아니하고 피고의 직원들이 이스트소프트가 국내의 개인 사용자에게 무료로 제공하는 국내 공개용 알집 프로그램을 설치하여 사용한 사실은 당사자 사이에 다툼이 없다. 그런데 가사 피고가 국내 공개용 알집 프로그램을 사용한 것이 저작권법 위반행위에 해당하더라도 저작권법의 입법취지는 저작자의 권리를 보호하고 저작물의 공정한 이용을 도모하고자 함에 있는 것이지, 저작자의 권리를 침해하는 방법으로 컴퓨터프로그램저작물을 이용하는 과정에서 제3자의 해킹으로 인하여 개인정보가 유출됨으로써 손해가 발생한 경우 그 손해를 입은 자들을 보호하고자 함에 있는 것은 아니라고 할 것이다. 그렇다면 ① 이러한 저작권법의 목적과 보호법익, 그리고 피고가 사용한 국내 공개용 알집 프로그램이 불법 복제된 소프트웨어로는 보이지 않는 점, ② 이 사건 해커가 이스트소프트의 업데이트 서버를 이용하여 피고 직원의 컴퓨터에 악성 프로그램을 설치하도록 함으로써 원고들의 개인정보가 유출되었고, 피고가 사용한 국내 공개용 알집 프로그램 자체에 악성 프로그램이 포함되어 있던 것으로 보이지 않는 점 , ③ 정보통신망법, 정보통신망법 시행령, 이 사건 고시 등 관련 법령에서 정보통신서비스 제공자 등에게 요구하는 기술적 · 관리적 조치에 국내 공개용 알집 프로그램과 같이 저작자가 개인 사용자에게만 사용할 권한을 부여한 컴퓨터프로그램저작물의 사용을 금 지하거나 규제하는 내용은 포함되어 있지 않은 점 등을 종합하여 보면, 앞에서 인정한 사실만으로는 피고의 저작권법 위반행위와 원고들의 주장과 같은 손해 발생 사이에 상당인과관계가 있다고 보기에 부족하고, 달리 이를 인정할 증거가 없다 .

따라서 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다 . ( 2 ) 다음으로 피고가 국내 기업용 알집 프로그램을 사용하였더라면 이 사건 해킹 사고를 막을 수 있었는지에 관하여 살펴본다. 이 사건 해커는 국내 공개용 알집 프로그램이 광고 업데이트를 할 때 다운로드되는 정상적인 ALAD. dll 파일과 동일한 이름의 악성 프로그램을 만들어 해킹에 이용한 사실, 광고 업데이트는 무료로 제공되는 국내 공개용 알집 프로그램에 포함된 기능으로서, 국내 공개용 알집 프로그램은 국내 기업용 알집 프로그램과 달리 광고 업데이트를 통하여 전송받은 파일이 수시로 로드되거나 실행되는 사실은 앞에서 인정한 바와 같으나, 한편 이 사건 해커는 악성 프로그램이 목표로 한 컴퓨터에 설치되도록 하기 위해 먼저 이스트소프트가 운영하는 알집 업데이트 웹사이트의 ISAPI 필터에 stmpxml. dll 파일을 등록한 사실, ISAPI 필터에 stmpxml. dll 파일이 등록되면, 피고 등 선별된 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우 이스트소프트가 설정한 본래의 다운로드 경로가 아닌, 이 사건 해커가 설정한 악성 프로그램 유포지에서 악성 프로그램을 다운로드 받게 되는 사실도 앞에서 인정한 바와 같다 .

여기에 위 각 증거와 갑 81, 93호증, 을 30호증의 각 기재 및 변론 전체의 취지를 종합하여 알 수 있는 다음과 같은 사정들, 즉 ① 국내 기업용 알집 프로그램에도 기능 향상이나 오류 수정 등을 위한 업데이트 기능이 포함되어 있는 점, ② 국내 공개용 알집 프로그램과 국내 기업용 알집 프로그램은 동일한 업데이트 서버로부터 동일한 방식과 동일한 주기로 업데이트를 하며, 업데이트 과정에서 국내 기업용 알집 프로그램도 업데이트 서버로부터 국내 공개용 알집 프로그램과 동일한 ALAD. dll 파일을 다운받는 점, ③ 이 사건 해커가 만든 악성 프로그램의 파일 이름이 ALAD. dll로 국내 공개용 알집 프로그램의 업데이트 과정에서 다운로드되는 파일과 동일하기는 하나, 이는 정상적인 파일과 혼동되도록 그 파일 이름을 위와 같이 사용한 것으로 보이고, 위 악성 프로그램 자체는 키로깅 프로그램을 실행시키도록 하는 파일인 점, ④ 피고 이스트소프트는 2011. 8. 4. 및 2011. 8. 11. ' 이 사건 해커의 공격에 공개용 알집에서 사용하는 광고 업데이트 모듈과 관련한 보안 취약점이 악용된 것이다. 경찰은 해당 회사가 사용중인 IP대역의 업데이트 정보 요청에 대해 공개용 알집 업데이트 서버가 변조된 업데이트 정보를 내려준 것으로 보고 있다. 해당 취약점을 인지한 다음 날인 8. 4. 혹시 모를 추가 해킹을 예방하기 위해 보안 취약점 패치를 완료하였다. 아울러 이러한 유형의 사고를 원천차단하기 위해 제품 업데이트시 업데이트할 파일이 정상 파일인지 확인하는 무결성 검증을 강화하고, 전송 과정에서의 데이터 변조를 방지하는 등 기존 알약 제품에 적용되어 있는 자가보호기능을 공개용 알툴즈 제품에도 적용할 예정이다 ' 는 취지로 인터넷 공지를 하였으나, 이것만으로는 공개용 알집 프로그램에만 무결성 검증기능이 없는 등 해킹에 대한 안전성 측면에서 국내 기업용 알집 프로그램과 국내 공개용 알집 프로그램 사이에 차이가 있었다고 보기 어렵고, 위와 같은 자가보호기능의 흠결을 피고의 책임을 인정하는 근거로 삼기는 어려운 점, ⑤ 국내 공개용 알집 프로그램에 자동 광고 업데이트 기능이 있다는 것만으로 방화벽 외부에 있는 파일이 더 쉽고 빠르게 방화벽 내부로 진입할 수 있다고 인정할 증거도 없는 점 등을 종합하여 보면, 이 사건 해커가 사용한 것으로 보이는 해킹 기법에 의하면 피고가 국내 기업용 알집 프로그램을 사용한 경우에도 그 업데이트 과정에서 위와 같은 방식으로 본래의 다운로드 경로가 아닌 악성 프로그램 유포지에서 악성 프로그램을 다운로드 받도록 이스트소프트의 업데이트 웹사이트 ISAPI 필터를 조작하는 것이 가능하였을 것으로 보인다. 그렇다면 피고가 국내 기업용 알집 프로그램을 사용하였더라도 이 사건 해킹 사고를 막을 수 없었을 가능성을 배제할 수 없으므로, 비록 국내 공개용 알집 프로그램이 수시로 광고업데이트를 하고 국내 기업용 알집 프로그램보다 그 이용자가 많아 이 사건 해커가 해킹에 이용하는 것이 보다 용이하였을 것으로 추측된다고 하더라도, 위에서 인정한 사실만으로는 피고의 국내 공개용 알집 프로그램 사용행위와 원고들 주장과 같은 손해 발생 사이에 상당인과관계가 있다고 보기에 부족하고 달리 이를 인정할 증거가 없다 .

따라서 원고들의 이 부분 주장도 더 나아가 살필 필요 없이 이유 없다 .

다. FTP 서비스의 제공으로 인한 보호조치 위반 여부을 5 호증의 기재에 의하면, 피고가 내부적으로 정한 ' 개인정보보호 업무지침서 ' 제26조 제4항이 " 개인정보 접근 PC에 대한 NULL session 접근이 불가능하도록 보안설정을 하고, telnet 및 ftp 서비스 등 보안상 취약한 서비스는 제공하지 않도록 한다. " 라고 규정하고 있는 사실은 인정된다 .

그러나 위 각 증거와 변론 전체의 취지를 종합하여 인정되는 다음과 같은 사정들 ,

즉 ① 피고의 게이트웨이 서버는 정보통신망법 제45조에 따라 방송통신위원회가 2010 .

2. 3. 고시한 정보보호조치 및 안전진단 방법 · 절차 · 수수료에 관한 지침 [ 별표1 ] 2. 2. 5. 의 라우터가 아니라 윈도우 OS로 작동하는 서버이고, 위 지침 [ 별표1 ] 의 2. 2. 8. 이 규정한 ' 라우터에서 불필요한 프로토콜을 제거하는 것 ' 은 위 지침 [ 별표3 ] 의 라. 군에 해당하는 피고에게 적용되는 의무가 아닌 점, ② DB 서버 관리자의 PC에서 FTP 프로토 콜을 삭제하는 것은 법령상 의무가 아니고, 피고가 내부적으로 정한 ' 개인정보보호 업무지침서 ' 제26조 제4항은 개인정보 접근 PC를 FTP 서버로 이용할 때 ( 즉, FTP 서비스를 제공하는 경우 ) 에는 클라이언트로 이용할 때와는 전혀 다른 보안 문제가 발생하기 때문에 개인정보 접근 PC를 FTP 서버로 설정하는 행위 ( 즉 개인정보 접근 PC에서 파일 공유를 열어주는 방식을 통해 타 컴퓨터로의 접속 및 파일 전송이 가능하게 만드는 기능 ) 를 금지하는 취지인데, 이 사건 해킹 사고는 개인정보 접근 PC를 FTP 서버로 설정함으로써 발생한 것이 아니라 해커가 개인정보 접근 PC를 FTP 클라이언트로 사용하여 개인정보를 전송한 것이므로, 이 사건 해킹 사고와 관련하여 위 업무지침서 위반사항은 존재하지 않는 점, ③ 피고의 게이트웨이 서버의 FTP 프로토콜과 DB 서버 관리자 PC의 FTP 클라이언트 기능은 평소 업무에 필요한 것이었던 점, ④ 피고 게이트웨 이 서버와 DB 서버 관리자 PC에 FTP 방식의 프로토콜이 설치되어 있지 않았다고 하더라도, 이 사건 해커가 개인정보를 외부로 유출할 수 있는 수단은 메신저 프로그램 , 대용량 메일 서비스 등 여러 가지가 있는 점 등을 고려할 때, 피고가 DB 서버의 게이 트웨이 서버와 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하였다는 사정만으로는 피고가 개인정보에 대한 불법적인 접근을 차단하기 위한 보호조치를 위반하였다거나 피고가 DB 서버의 게이트웨이 서버와 DB 서버 관리자의 PC에 FTP 방식의 프로토콜을 설정하였던 행위와 이 사건 해킹 사고 사이에 상당인과관계가 있다고 볼 수 없고, 달리 이를 인정할 만한 증거가 없다 .

따라서 원고들의 위 주장도 이유 없다 .

라. 로그아웃을 하지 않고, 자동 로그아웃 시간을 설정하지 않은 행위 관련 보호조치 위반 여부

갑 90호증의 기재와 변론 전체의 취지에 의하면, 피고의 DB 서버 관리자는 이 사건 해킹 사고 발생 전날인 2011. 7. 25. 16 : 48경부터 17 : 29경까지 김 * 영의 PC로 서버에 접속하여 업무를 수행하였는데, 작업이 종료된 이후에도 로그아웃을 하지 아니하였던 사실, 이 사건 해킹 사고 발생 당시 피고가 운용하고 있던 데이터 손실 방지기능에 ' 관리자 로그인 제한시간 설정 ' 기능이 포함되어 있었던 사실을 인정할 수 있다 .

그러나 원고들의 위 주장은 이 사건 해커가 사용한 방법처럼 DB 관리자가 내부에서 DB 서버에 접속하는 경우 두 번째 단계의 인증으로 DB 관리자의 이메일로 전송된 일회용 비밀번호 ( OTP ) 를 입력하는 구간이 존재한다는 것을 전제로 하는 것인데, 이를 인정할 만한 증거가 없다. 오히려 을 31, 32호증의 각 기재에 변론 전체의 취지를 종합하여 인정되는 다음과 같은 사정들, 즉 ① 이 사건 해킹 사고 발생 당시 DB 서버 관리자가 작업종료 후 로그아웃하거나, 자동로그아웃 시간을 설정하는 것은 법령상 의무가 아니었던 점, ② DB 서버에 접속하는 경우 이메일로 전송된 일회용 비밀번호 ( OTP ) 입력을 통한 인증은 피고의 ' 외부 고객센터 소속 종사자 ' 가 외부에서 DB 서버에 접속하는 경우에 관한 것이고, 이 사건 해커와 같이 ' DB 서버 관리자 PC ' 를 통하여 내부에서 DB 서버에 접속하는 경우 일회용 비밀번호 ( OTP ) 를 입력하는 구간은 존재하지 않았던 점, ③ 이 사건 해커는 2011. 7. 26. 오전 시간 동안 수차례 관리자의 아이디와 비밀번호를 새로 입력하고 로그인하였던 점 등을 종합하여 보면, 이 사건 해커가 관리자의 아이디와 비밀번호를 이미 파악하였던 이상 DB 서버 관리자의 로그아웃 여부와 무관하게 DB 서버에 접속할 수 있었을 것으로 보인다. 따라서 위에서 인정한 사실만으로는 이 사건 해킹 사고 발생 전날 DB 서버 관리자가 작업종료 후 로그아웃하지 않았고 이 사건 해킹 사고 발생 당시 피고가 아이들 타임이나 커넥트 타임을 설정하지 않았던 행위와 원고들의 주장과 같은 손해 발생 사이에 상당인과관계가 있다고 보기에 부족하고 달리 이를 인정할 증거가 없다 .

따라서 원고들의 위 주장도 더 나아가 살필 필요 없이 이유 없다 .

마. 개인정보 암호화 방식 관련 보호조치 위반 여부

암호화 기술 등을 이용한 개인정보의 보안조치에 관해서는 정보통신망법 제28조 제1 항 제4호, 정보통신망법 시행령 제15조 제4항 및 이 사건 고시 제6조에서 규정하고 있그런데 을 21, 22, 29호증의 각 기재에 변론 전체의 취지를 종합하면, 피고는 이용자의 비밀번호를 일방향 암호화하고, 주민등록번호도 별도로 암호화하여 저장 · 관리하고 있는 사실, 피고는 개인정보처리시스템 외의 시스템으로 개인정보를 전송하거나 저장할 때 암호화하도록 하고 있고, 개인정보를 전송할 때에는 개인정보의 추출요청자, 추출항목, 사용목적, 추출대상자, 자료활용기간, 자료보관방법, 파기책임자 및 파기 예정일 등을 특정하여 관리하고 있는 사실을 인정할 수 있는바, 이에 비추어 보면, 피고는 정보통신망법 제28조 제1항 제4호, 정보통신망법 시행령 제15조 제4항 및 이 사건 고시 제6조에서 정한 암호화기술 등을 이용한 보안조치를 이행하고 있는 것으로 보인다 .

또한 가사 피고의 암호화 방식이 MD5 방식이라고 하더라도 그 해독이 법령 등에 의하여 요구되는 기준보다도 쉽게 될 것이라고 볼 만한 증거가 없고, 원고들의 주장과 같이 피고가 사용한 암호화 방식이 구식이어서 상대적으로 해독 가능성이 크다고 하더라도 앞에서 본 바와 같이 피고가 정보통신망법 등 관련 법령에서 정한 기술적 · 관리적 보호조치를 이행하였고 피고의 행위와 원고들 주장의 손해 발생 사이에 상당인과관계가 인정되지 않는 이상 이러한 사정과 원고가 제출한 증거들만으로는 피고가 암호화 기술의 사용과 관련한 기술적 · 관리적 보호조치를 위반한 것으로 인정하기에 부족하며, 달리 이를 인정할 증거가 없다 .

따라서 원고들의 위 주장도 더 나아가 살필 필요 없이 이유 없다 .

4. 결론

그렇다면 원고들의 이 사건 청구는 모두 이유 없으므로 이를 기각한다 .