별지 1-1, 2-1, 3, 3-1-1 목록 기재와 같다. (소송대리인 변호사 이흥엽 외 1인)

원고 1 외 1인 (소송대리인 법무법인 우공 담당 변호사 김현성)

원고 3 외 1인 (소송대리인 법무법인 우공 담당 변호사 김현성)

롯데카드 주식회사 (소송대리인 변호사 김성욱)

2017. 8. 16.

서울중앙지방법원 2016. 10. 13. 선고 2014가합511956, 2014가합526255(병합), 2015가합9788(병합) 판결

1. 제1심 판결 중 원고들의 피고에 대한 청구 부분을 다음과 같이 변경한다.

가. 피고는 별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들에게 각 70,000원 및 이에 대하여 별지 1-1 목록 기재 원고들에게는 2014. 3. 19.부터, 별지 2-1 목록 기재 원고들에게는 2014. 8. 29.부터, 별지 3 목록 기재 원고들에게는 2011. 1. 31.부터, 별지 3-1-1 목록 기재 원고에게는 2013. 12. 31.부터, 각 2018. 2. 2.까지 연 5%, 그 다음날부터 다 갚는 날까지 연 15%의 각 비율에 의한 금전을 지급하라.

나. 피고는 원고 1, 원고 2, 원고 4에게 각 70,000원 및 이에 대하여 2011. 1. 31.부터 2018. 2. 2.까지 연 5%, 그 다음날부터 다 갚는 날까지 연 15%의 각 비율에 의한 금전을 지급하라.

다. 원고 3의 청구 및 원고 3을 제외한 나머지 원고들의 나머지 청구를 모두 기각한다.

2. 소송총비용 중 원고 3과 피고 사이에 생긴 부분은 원고 3이 부담하고, 원고 3을 제외한 나머지 원고들과 피고 사이에 생긴 부분의 70%는 위 나머지 원고들이, 30%는 피고가 각 부담한다.

3. 제1의 가, 나항은 가집행할 수 있다.

1. 청구취지

가. 피고는 별지 1-1, 2-1 목록 기재 원고들에게 각 200,000원 및 이에 대하여 이 사건 소장 부본 송달 다음날부터 제1심 판결 선고일까지 연 5%, 그 다음날부터 다 갚는 날까지 연 20%의 각 비율에 의한 금전을 지급하라.

나. 피고는 별지 3 목록 기재 원고들에게 각 300,000원 및 이에 대하여 2011. 1. 31.부터, 별지 3-1-1 목록 기재 원고에게 각 300,000원 및 이에 대하여 2013. 12. 31.부터 각 제1심 판결 선고일까지 연 5%, 그 다음날부터 다 갚는 날까지 연 15%의 각 비율에 의한 금전을 지급하라.

다. 피고는 원고 1, 원고 2에게 각 300,000원 및 이에 대하여 2011. 1. 31.부터, 원고 3에게 300,000원 및 이에 대하여 2013. 12. 31.부터, 원고 4에게 300,000원 및 이에 대하여 2011. 1. 31.부터 각 당심 판결 선고일까지 연 5%, 그 다음날부터 다 갚는 날까지 연 15%의 각 비율에 의한 금전을 지급하라.

2. 항소취지

가. 원고 1, 원고 2: 제1심 판결 중 아래에서 지급을 명하는 부분에 해당하는 위 원고들 패소부분을 취소한다. 피고는 원고 1, 원고 2에게 각 200,000원 및 이에 대하여 2011. 1. 31.부터 당심 판결 선고일까지 연 5%, 그 다음날부터 다 갚는 날까지 연 15%의 각 비율에 의한 금전을 지급하라.

나. 원고 3, 원고 4: 제1심 판결을 취소한다. 피고는 원고 3에게 300,000원 및 이에 대하여 2013. 12. 31.부터, 원고 4에게 300,000원 및 이에 대하여 2011. 1. 31.부터 각 당심 판결 선고일까지 연 5%, 그 다음날부터 다 갚는 날까지 연 15%의 각 비율에 의한 금전을 지급하라.

다. 피고: 제1심 판결 중 피고 패소부분을 취소하고, 그 취소부분에 해당하는 원고들의 청구를 모두 기각한다.

1. 기초사실, 2. 당사자들의 주장 및 쟁점

이 법원이 이 부분에 설시할 이유는 다음과 같이 일부 수정하는 이외에는 제1심 판결 이유 해당부분 기재와 같으므로, 민사소송법 제420조 본문에 따라 이를 그대로 인용한다.

o 제1심 판결 제14면 제2행 이하에 “(원고 4의 대리인은 당심에 이르러 위 원고에 관한 개인정보 유출조회 화면을 제출하였으므로 위 원고로부터 이 사건 소송에 관한 소송대리권을 수여받은 사실을 인정할 수 있다).”를 추가한다.

3. 손해배상책임의 성립 여부

이 법원이 이 부분에 설시할 이유는 아래와 같이 일부 수정하는 이외에는 제1심 판결 이유 해당부분 기재와 같으므로, 민사소송법 제420조 본문에 따라 이를 그대로 인용한다.

o 제1심 판결 제26면 제6행부터 제28면 제12행까지 부분을 다음 내용으로 고쳐 쓴다.

『1) 정보통신망법 적용 여부

피고는 이 사건 원고들 중 대부분이 오프라인으로 카드를 발급받은 회원으로서 정보통신망법상 ‘이용자’라 할 수 없으므로 2010. 4.경 정보 유출사고에 정보통신망법이 적용될 수 없다고 주장한다.

정보통신망법 제2조 제1항 제3호 는 “정보통신서비스 제공자란 「전기통신사업법」 제2조 제8호 에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다“고 규정하고, 같은 항 제4호 는 ”이용자란 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다“고 규정하며, 같은 항 제6호 는 ”개인정보란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다“고 규정하고 있다. 그런데 위 각 규정 어디에도 정보통신서비스 제공자가 처리하는 개인정보를 그 정보주체로부터 최초로 수집할 때 반드시 정보통신서비스를 통하여 수집하여야 한다는 전제조건을 두고 있지 아니하다. 피고 스스로 주장하는 바와 같이 피고는 정보통신망법상 정보통신서비스 제공자에 해당하는데, 피고는 원고들이 피고로부터 발급받은 카드를 이용하여 물품대금 등을 결제하거나 신용대출을 받을 때 가맹점 또는 대출업체에게 카드단말기, 컴퓨터 프로그램, ARS 서비스 등을 통하여 성명 등으로 특정된 결제정보 또는 인적사항을 제공하거나 매개한다. 이러한 결제서비스 또는 신용대출서비스를 이용하고 있는 원고들은 피고가 제공하는 정보통신서비스를 이용하는 자로서 결국 정보통신망법상 이용자에 해당한다. 피고는 원고들의 카드 가입 방법이 오프라인이었는지 온라인이었는지 여부를 불문하고 위와 같이 전기통신역무를 이용하여 원고들의 결제정보를 제공하거나 매개하고 있다. 따라서 피고의 위 주장은 이유 없다.

2) 구 공공기관 개인정보 보호법 적용 여부

피고는, 2010. 4.경 카드고객정보 유출사고와 관련하여 피고가 구 공공기관 개인정보 보호법상 ‘공공기관’에 해당하지 않으므로, 위 법령의 적용을 받지 않는다고 주장한다. 살피건대, 구 공공기관 개인정보 보호법 제1조 , 제2조 제1호 , 같은 법 시행령 제2조 등에 의하면 위 법령의 적용대상을 공공기관으로 명시하고 있는 점, 같은 법 제22조 는 공공기관 외의 개인 또는 단체에 대하여도 공공기관에 준하는 개인정보 보호조치를 강구하도록 하면서 중앙행정기관의 장이 개인 또는 단체에 대하여 의견을 제시하거나 권고를 할 수 있다고 규정하고 있으나, 이는 그 문언에 의하더라도 공공기관 외의 개인 또는 단체에 대하여 공공기관에 준하여 조치를 강구할 것을 권고하는 정도에 불과한 점 등에 비추어 보면, 공공기관 외의 개인이나 단체는 위 법령의 적용대상에 포함된다고 볼 수 없다. 따라서 피고에 대하여 위 법령을 적용할 수는 없으므로, 피고가 위 법령을 위반하였음을 전제로 한 이 사건 원고들의 주장은 더 살펴 볼 필요 없이 이유 없다.

3) 전자금융감독규정시행세칙 제9조 위반 여부

구 전자금융거래법 제21조 제2항 은 ‘금융기관등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류별로 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다’고 규정하고 있고, 이를 구체화한 구 전자금융감독규정시행세칙(2012. 5. 24. 전부개정되기 전의 것, 이하 같다) 제9조 제1항은 ‘금융기관 또는 전자금융업자는 전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각 호를 포함한 전산자료 보호대책을 수립·운용하여야 한다’고 규정하고 제7호에서 ‘정기적으로 보조기억매체의 보유 현황 및 관리실태를 점검하고 관리책임자의 확인을 받을 것’이라고 규정하고 있다.

피고는 전자금융감독규정시행세칙 제9조의 문언은 ‘금융기관 등이 직접 보유, 관리하는 보조기억매체’를 규제하고 있음이 분명하므로, 위 규정이 2010. 4. 유출사고와 무관하다고 주장한다. 그러나 피고가 주장하는 바와 달리 위 제9조 제1항 제7호의 문언은 금융기관이 반드시 ‘직접’ 해당 보조기억매체를 보유·관리하여야 한다는 제한을 두고 있지 아니하다. 나아가 비록 위 문언이 “정기적으로” 이루어지는 점검 및 관리책임자의 확인을 요구하고 있다고 하더라도, 금융기관의 업무상 필요에 따라 일정 기간에 걸쳐 반복·계속적으로 수행되는 작업에 사용되고자 외부로부터 반입된 보조기억매체 역시 위 금융기관의 지배 영역에서 관리되고 있으므로, 금융기관이 직접 보유하는 보조기억매체와 마찬가지의 주의를 기울여 정기적인 점검 및 관리책임자의 확인을 받을 필요가 있다. 앞서 본 인정사실에 의하면, 2010. 4. 당시 비아이랩 직원들이 FDS 개발작업을 위하여 반입한 내·외장 하드디스크는 피고의 업무상 필요에 따라 피고의 사무실에 반입되었으므로 피고의 지배 영역에서 관리되고 있었다. 결국 피고가 위 하드디스크의 수량을 파악하거나 포맷 작업을 수행하거나 감독하지 않은 것은 전자금융감독규정시행세칙 제9조 제1항 제7호의 위반에 해당한다. 따라서 피고의 위 주장은 받아들이지 아니한다.

4) 암호화되지 않은 카드고객정보 제공과 관련된 규정 위반 여부

구 전자금융거래법 제21조 제2항 및 이를 구체화한 전자금융감독규정시행세칙 제9조 제1항은 앞서 본바와 같고, 위 제9조 제1항 제10호에서 ‘이용자정보의 조회·출력 통제 및 테스트 시 주요 이용자정보를 변환하여 사용할 것’이라고 규정하고 있다. 한편, 정보통신망법 시행령 제15조 제4항 은 ‘ 법 제28조 제1항 제4호 에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다’고 규정하면서, 제2호 에서 ‘주민등록번호 및 계좌정보 등 금융정보의 암호화 저장’을, 제4호 에서 ‘그 밖에 암호화 기술을 이용한 보안조치’를 각각 규정하고 있다.

위 규정들에 비추어 볼 때, 업무상 필요를 이유로 FDS 개발작업을 하는 비아이랩 직원들에게 피고가 변환되지 않은 카드고객정보를 제공하고 그 사용에 대한 별다른 관리·감독을 하지 않고 방치한 행위는 전자금융감독규정시행세칙 및 정보통신망법 시행령 제15조 제4항 제2호 , 제4호 를 위반한 경우에 해당한다.』

o 제1심 판결 제29면 제18행 이하에 “원고 3은 당심에서, 피고의 2013년 12월 카드고객정보 유출의 경우 비록 위 정보가 범인들 사이에만 유통되고 일반 제3자에게 노출되지 않았다고 하더라도 위 원고에게 손해가 발생하였다고 보아야 한다는 취지로 주장한다. 그러나 소외 1이 2013년 12월 유출한 피고 회원 약 2,689만 명의 카드고객정보를 보관하였으나 소외 2를 만나지 못하여 위 정보를 다른 사람에게 유출하지 아니한 상태에서 수사기관에 의하여 위 정보를 그대로 압수당한 사실은 앞서 살펴본 바와 같은바, 이에 비추어 2013년 12월 유출된 피고의 카드고객정보는 소외 1만 보관하고 있었고 일반 제3자 뿐 아니라 범인들 사이에서도 유통된 사정이 확인되지 아니하는바, 원고 3의 위 주장을 받아들이기 어렵다.“를 추가한다.

4. 손해배상책임의 범위

가. 위에서 살펴본 바와 같은 피고의 카드고객정보 관리실태와 그 유출의 구체적인 경위, 유출된 개인정보의 전파 및 확산 범위, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 피고가 마련한 사후적 조치의 내용 등과 더불어 이 사건에서 유출된 개인정보에는 각 개인에게 유일하고 영구적이며 일신전속적인 성격을 지닌 주민등록번호가 포함되어 있고, 이를 도용한 2차적 피해 발생과 확대의 가능성을 배제하기 어려운 점, 다만 이 사건에서 유출된 카드고객정보의 내역이나 이를 취득한 사람들의 카드고객정보 취득목적 등에 비추어 유출된 카드고객정보를 이용한 카드 위·변조나 부정사용으로 인한 재산적 손해가 발생할 가능성은 그리 크지 않아 보이고, 현재까지 그와 같은 구체적인 재산상 피해가 실제로 발생한 사례는 확인되지 않고 있는 점, 이 사건에서 유출된 카드고객정보가 불특정 다수인에게 공개되었거나 열람할 수 있는 상태에 놓였던 것은 아니고 특정한 목적(대출영업)을 보유한 사람들에게 제한적으로 전파된 것으로 보이는 점, 유출된 카드고객정보의 양이 매우 방대한 탓에 이를 취득한 사람들도 카드고객정보를 선별적으로 사용하였을 것으로 보이는 점, 현실적으로 파일형태로 보관·처리되는 개인정보의 유출방지가 기술적으로 완벽할 수는 없는 반면, 오늘날 기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객 개인정보를 수집·보관하는 것이 필수적인 경우가 많아 소비자로서도 위와 같은 위험을 어느 정도 감수할 수밖에 없는 점, 피고가 이 사건 카드고객정보 유출사고를 인지한 직후 카드고객들을 대상으로 해당 고객의 개인정보가 유출되었는지 여부를 확인할 수 있도록 필요한 서비스를 제공하는 등으로 카드고객정보 유출사고의 2차 피해방지를 위해 상당한 노력을 기울였던 것으로 보이는 점, 이 사건 카드고객정보 유출사고는 소외 1의 고의 또는 계획적인 범행으로 발생한 것이라는 점, 2010. 4.경 피고의 카드고객정보 유출사고의 경우에는 개인정보 보호법(2011. 3. 29. 법률 제10465호로 제정되어 2011. 9. 30. 시행)이 시행되기 이전에 발생한 것으로서 다른 유출사고들의 경우와 비교할 때 그 발생시점과 유출경위 등이 다른 것으로서 개인정보에 관한 주의의무의 정도와 세부내용 등을 달리 볼 여지도 있는 점 등 이 사건 변론에 나타난 제반 사정들을 종합적으로 고려하면, 피고가 이 사건 카드고객정보 유출사고로 인하여 정신적 손해를 입게 된 원고들에게 배상하여야 할 위자료는 각 70,000원으로 정함이 상당하다.

나. 따라서 피고는 별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들, 원고 1, 원고 2, 원고 4에게 각 70,000원 및 이에 대하여 카드고객정보유출사고가 발생한 날 이후로서 원고들이 구하는 바에 따라 별지 1-1 목록 기재 원고들에게는 그 소장 부본이 피고에게 송달된 다음날인 2014. 3. 19.부터, 별지 2-1 목록 기재 원고들에게는 그 소장 부본이 피고에게 송달된 다음날인 2014. 8. 29.부터, 별지 3 목록 기재 원고들과 원고 1, 원고 2, 원고 4에게는 2011. 1. 31.부터, 별지 3-1-1 목록 기재 원고에게는 2013. 12. 31.부터 각 피고가 그 이행의무의 존부나 범위에 관하여 항쟁함이 상당한 당심 판결 선고일인 2018. 2. 2.까지는 민법이 정한 연 5%의, 그 다음날부터 다 갚는 날까지는 소송촉진 등에 관한 특례법이 정한 연 15%의 각 비율에 의한 지연손해금을 지급할 의무가 있다.

5. 결 론

그렇다면 원고 3을 제외한 나머지 원고들의 이 사건 청구는 위 인정 범위 내에서 이유 있으므로 이를 인용하고, 나머지 청구는 이유 없어 이를 기각할 것이며, 원고 3의 이 사건 청구는 이유 없어 이를 기각하여야 할 것인바, 제1심 판결은 이와 일부 결론을 달리하여 부당하다. 그러므로 원고 4 및 피고의 항소를 일부 받아들여 제1심 판결을 위와 같이 변경하기로 하여, 주문과 같이 판결한다.