beta
사건
2016나55773 손해배상(기)
원고피항소인
A
피고항소인
1. 주식회사 B
2. C 주식회사
제1심판결
수원지방법원 안양지원 2016. 3. 3. 선고 2014가단1506 판결
변론종결
2017. 10. 13.
판결선고
2018. 1. 12.
주문
1. 피고들의 항소를 각 기각한다. 2. 항소비용은 피고들이 부담한다.
청구취지및항소취지
청구취지
피고들은 각자 원고에게 1,000,000원 및 이에 대하여 2013. 3. 1.부터 2016. 2. 17.자 청구취지 및 청구원인변경신청서 부본 송달일까지는 연 5%의, 그 다음날부터 갚는 날까지는 연 15%의 각 비율에 의한 돈을 지급하라.
항소취지
제1심판결 중 피고들 패소부분을 취소하고, 그에 해당하는 원고의 청구를 기각한다(원고는 2016. 9. 13. 항소를 취하하였다).
이유
1. 인정사실
가. 당사자 등의 지위
1) 피고 주식회사 B(이하 '피고 B'라 한다)는 신용카드, 선불카드, 직불카드의 발행, 판매 및 관리 등의 사업을 영위하는 회사이고, 피고 C 주식회사(C, 이하 '피고 C'라 한다)는 금융기관들이 공동출자하여 설립한 회사로서, 신용정보의 이용 및 보호에 관한 법률에서 정하는 신용조회 및 신용조사업무 등의 사업을 영위하는 회사이다.
2) 원고는 2012.경 피고 B와 신용카드에 관한 사용 및 금융거래계약을 맺고 신용카드를 발급받아 사용하여 온 사람이다.
나. 피고 B의 카드고객정보 유출사고(이하 '이 사건 고객정보 유출사고'라 한다)
1) FDS 개발용역계약의 체결 및 카드고객정보 제공
가) 피고 B는 2008년경 최초로 카드사고분석시스템(Fraud Detection System, 이하 'FDS'라 한다)를 도입한 이후 업그레이드의 필요성이 제기되어 2013. 1. 30. 피고 C와 계약금액 227,419,500원, 납품기한 계약체결일로부터 7개월 이내로 정하여 FDS 업그레이드 관련 구매계약을 체결하였다.
나) 위 프로젝트의 총괄 매니저인 D를 비롯한 피고 C의 개발인력들은 2013. 2.경부터 2013, 8.경까지 피고 B에 투입되어 FDS 개발작업에 착수하였는데, 2013. 2.경부터 2013. 3. 초순경까지는 피고 B의 채권관리부와 업무요건 협의 등의 필요성으로 서울 종로구 E에 위치한 피고 B F 본사에서 작업하였고, 2013. 3. 초순경부터 2013. 8.경까지는 서울 강서구 G에 있는 피고 BG 전산센터에서 개발작업을 진행하였다.
다) 피고 B는 피고 C에게 카드고객정보를 변환하지 않은 상태로 제공하였다. 피고 C의 직원들은 위 카드고객정보를 업무용 컴퓨터에 저장한 다음 그 저장 폴더를 공유하는 방법으로 위 카드고객정보를 업무에 활용하였다.
2) 2013. 2.경 카드고객정보유출
가) D는 피고 B F센터에서 FDS 개발업무를 수행하던 중 자신이 사용하는 업무용컴퓨터에 보안프로그램이 설치되지 않아 USB 메모리를 연결해 파일을 저장할 수 있다는 사실을 알게 되었다.
나) D는 2013.2.경 피고 B F센터에서 공유폴더에 저장되어 있던 카드고객정보를 보안프로그램이 설치되지 않은 자신의 업무용 컴퓨터에 복사하였고, 위 컴퓨터에 임의로 반입한 자신의 USB 메모리를 연결하여 피고 B 고객 약 5,378만 명의 개인정보를 위 USB 메모리에 복사하여 가지고 나왔다. D는 위와 같이 유출한 정보를 자신의 집에서 사용하는 컴퓨터에 복사하였고, 2013. 4.경 위 컴퓨터에 저장된 정보를 다시 자신의 외장 하드디스크에 복사하였다.
다) 그 후 D는 2013. 4.경 대출상품 위탁판매업체인 I등을 운영하고 있는 J의 집(서울 은평구 K)에서 위와 같이 빼내어 온 피고 B 약 5,378만 명의 고객정보가 저장된 자신의 외장 하드디스크를 J의 컴퓨터에 접속하고 그 컴퓨터에 위 정보를 저장해 준후, 이를 대출중개 영업 등에 활용할 의도를 가지고 있는 J에게 전달하였다.
라) J는 2013. 6.경 서울 강남구 역삼동에 있는 강남역 부근에 주차된 L의 승용차 안에서, 대부중개업체인 주식회사 M의 대표자로서 대출중개 영업 등에 카드고객정보를 활용할 의도를 가지고 있는 N의 지시를 받은 L에게 피고 B 약 5,378만 명의 고객정보가 저장된 컴퓨터를 전달하였다.
3) 2013. 6.경 카드고객정보유출
가) 피고 B의 FDS 개발작업 장소가 피고 BG 전산센터로 이전된 이후에도, D를 비롯한 피고 C의 직원들이 FDS 개발업무를 하면서 업무용 컴퓨터에서 USB 메모리 쓰기 기능을 사용하는 데에는 별다른 제한이 없었다.
나) D는 작업의 편의와 정보유출을 목적으로 위와 같은 사실을 피고 B에게 알리지 않고 있던 중 2013. 6.경 위와 같이 업무용 컴퓨터에서 USB 메모리 쓰기 기능을 사용하는 것이 가능하다는 점을 이용하여 업무용 컴퓨터에서 자신의 USB 메모리를 접속하고 업무용 컴퓨터에 저장되어 있던 피고 B의 회원 약 5,378만 명의 고객정보를 위 USB 메모리에 임의로 저장 후 이를 가지고 나왔다.
다) 그 후 D는 2013. 8.경 서울 은평구 K에 있는 J의 집에서 위와 같이 빼내어 온 피고 B의 회원 약 5,378만 명의 고객정보가 저장된 자신의 외장하드디스크를 J의 컴퓨터에 접속하고, 그 컴퓨터에 위 정보를 저장해 줌으로써 위 카드고객정보를 대출 중개 영업 등에 활용할 의도를 가지고 있는 J에게 전달하였다.
4) 원고의 카드고객정보도 위와 같은 경위로 유출되었는데, 그 유출된 개인정보에는 성명, 주민등록번호, 자택주소, 자택전화번호, 휴대전화번호, 직장정보, 직장주소, 직장전화번호, 이메일, 결제일, 결제계좌, 신용한도금액, 신용등급, 거래실적금액이 포함되어 있다.
다. 이 사건 고객정보 유출사고 이후의 경과
피고 B는 이 사건 고객정보 유출사고를 인지한 이후 2014. 1.경 자사 인터넷 웹사이트에 사과문을 게재하여 고객들에게 유출된 정보를 악용한 보이스피싱, 스미싱 등 불법문자에 유의할 것을 당부하고, 유출된 정보 조회 서비스를 제공하였다. 또한, 신용카드 사용내역 문자서비스를 일정 기간 무료로 제공하고, 개인정보 피해 예상센터를 24시간 운영하였으며, 유출된 카드고객정보로 인한 카드 위·변조 및 복제 등에 의한 피해보상을 약속하였고, 피고 C가 무료로 제공하는 금융명의보호서비스를 안내하였다. 그리고 카드 재발급을 원하는 회원들에게는 모두 수수료 없이 카드를 재발급하는 조치
를 취하였던 것으로 보인다.
라. 관련 형사소송의 경과
1) D는 피고 B의 카드고객정보 외에도 앞서 본 바와 유사한 방법으로 0, (주)P의 카드고객정보를 J에게 유출하였고, 이와 관련하여 D와 J, L, N은 창원지방법원 2014고단64호 등으로 누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니 되고, 신용정보회사 등의 임직원인 사람은 업무상 알게 된 타인의 신용정보 등을 업무 목적 외에 누설하거나 이용하여서는 아니 됨에도 불구하고, 위와 같이 피고 B를 비롯한 카드회사들의 고객정보를 침해 · 누설함과 동시에 신용정보회사 등의 임직원인 사람으로서 업무상 알게 된 타인의 신용정보를 누설하고, 개인정보가 누설된 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받았다는 공소사실 등으로 기소되었다.
2) 위 법원은 2014. 6, 20. D에 대한 공소사실을 모두 유죄로 인정하고 위 D에 대해 징역 3년형을 선고하였으며, 창원지방법원 2014노1473호로 진행된 항소심에서 2014. 10. 8. 항소기각판결이 선고된 후 위 1심 판결이 그대로 확정되었다. 마. D에 의해 유출된 카드고객정보의 전파 및 확산
1) D로부터 카드고객정보를 제공받은 J는 2012. 11. 중순경 L에게 5,000명의 카드 고객정보가 저장된 USB 메모리를 교부한 것을 비롯하여, 그때부터 2013. 8. 하순경까지 총 3회에 걸쳐 약 9만 5,000명의 유출된 카드고객정보를 제공하였다.
2) J는 2013. 1. 중순경 서울 영등포구에 있는 자신이 운영하는 대출상품 위탁판매 업체인 I 사무실에서 Q으로부터 카드사 고객정보를 구해달라는 부탁을 받은 R을 통해 Q이 사용하는 이메일 계정 및 비밀번호를 알게 된 후 위 이메일에 접속하여 업로드하는 방법으로 약 1만 명의 유출된 카드고객정보를 제공한 것을 비롯하여, 그때부터 2013. 12. 초순경까지 총 32회에 걸쳐 합계 약 489만 6,000명의 카드고객정보를 업로드하는 방법으로 제공하였다.
3) J는 2013. 8. 중순경 위 I 사무실에서 R으로부터 R이 사용하는 이메일 계정 및 비밀번호를 알게 된 후 위 이메일에 접속하여 업로드하는 방법으로 약 10만 명의 유출된 카드고객정보를 제공하였다.
4) J는 2012. 11. 중순경 위 1 사무실에서 S로부터 S가 사용하는 이메일 계정 및 비밀번호를 알게 된 후 위 이메일에 접속하여 업로드하는 방법으로 약 3,000명의 유출된 카드고객정보를 제공한 것을 비롯하여 그때부터 2013. 11. 하순경까지 총 10회에 걸쳐 합계 약 478만 3,000명의 유출된 카드고객정보를 제공하였다.
5) J는 2013. 3. 초순경 위 I 사무실에서 I 직원인 T에게 정보 구매자를 물색해 올 것을 지시하고 그 지시에 따라 T이 물색해 온 U에게 '네이트온' 메신저를 이용하여 전송하는 방법으로 약 5,000명의 유출된 카드고객정보를 제공한 것을 비롯하여, 그때부터 2013. 5. 중순경까지 총 4회에 걸쳐 합계 78만 8,000명의 유출된 카드고객정보를 제공하였다.
6) J는 2013. 2. 하순경 위 I 사무실에서 V으로부터 V이 사용하는 이메일 계정 및 비밀번호를 알게 된 후 위 이메일에 접속하여 업로드하는 방법으로 약 10만 명의 유출된 카드고객정보를 제공한 것을 비롯하여, 그때부터 2013. 9.경까지 총 7회에 걸쳐 합계 약 60만 명의 유출된 카드고객정보를 제공하였다.
7) J는 2012. 11. 하순경 서울 강북구 W에 있는 주식회사 X 사무실 부근에서 Y에게 약 28만 명의 유출된 카드고객정보가 저장된 USB 메모리를 교부한 것을 비롯하여, 그때부터 2013. 3. 중순경까지 총 3회에 걸쳐 합계 약 54만 명의 유출된 카드고객정보를 제공하였다.
8) J는 2013. 9. 하순경 의정부시 Z건물 408호에 있는 AA 운영의 대부중개업체 사무실에서 AA에게 약 50만 명의 유출된 카드고객정보가 저장된 USB 메모리를 교부하였다.
9) J는 2012. 12. 초순경 위 I 사무실에서 ABO로부터 AB이 사용하는 이메일 계정 및 비밀번호를 알게 된 후, 위 이메일에 접속하여 업로드하는 방법으로 약 2만 명의 유출된 카드고객정보를 제공한 것을 비롯하여, 그때부터 2013. 6. 중순경까지 총 5회에 걸쳐 합계 약 41만 명의 유출된 카드고객정보를 제공하였다.
10) J는 2013. 3. 초순경 위 I 사무실에서 AC로부터 AC가 사용하는 이메일 계정 및 비밀번호를 알게 된 후, 위 이메일에 접속하여 업로드하는 방법으로 약 3만 명의 유출된 카드고객정보를 제공한 것을 비롯하여, 그때부터 2013. 8. 초순경까지 총 6회에 걸쳐 합계 약 30만 6,000명의 유출된 카드고객정보를 제공하였다.
11) J는 2012. 11. 중순경 위 I 사무실에서 AD로부터 AD이 사용하는 이메일 계정 및 비밀번호를 알게 된 후, 위 이메일에 접속하여 업로드하는 방법으로 약 5만 명의 유출된 카드고객정보를 제공한 것을 비롯하여, 그때부터 2013. 8. 초순경까지 총 5회에 걸쳐 합계 약 19만 5,000명의 유출된 카드고객정보를 제공하였다.
12) J는 2013. 2. 하순경 위 1 사무실에서 AH으로부터 AH이 사용하는 이메일 계정 및 비밀번호를 알게 된 후, 위 이메일에 접속하여 업로드하는 방법으로 약 4만 명의 유출된 카드고객정보를 제공하고, 계속해서 2013. 8. 하순경 위 사무실에서 같은 방법으로 약 5만 명의 유출된 카드고객정보를 제공하여, 총 2회에 걸쳐 합계 약 9만 명의 유출된 카드고객정보를 제공하였다.
13) J는 2013. 9. 초순경 위 I 사무실에서 AJ이 사용하는 이메일로 전송하는 방법으로 약 5만 명의 유출된 카드고객정보를 제공하였다.
14) J는 2013. 1. 초순경 위 I 사무실에서 AL가 사용하는 이메일로 전송하는 방법으로 약 1만 명의 유출된 카드고객정보를 제공하고, 2013. 7.경 위 사무실에서 같은 방법으로 약 3,000명의 유출된 카드고객정보를 제공하여, 총 2회에 걸쳐 합계 약 1만 3,000명의 유출된 카드고객정보를 제공하였다.
15) J로부터 유출된 카드고객정보를 제공받은 L는 2013. 2.경 서울 송파구 AN 소재 A0 커피숍에서 약 30만 명의 유출된 카드고객정보가 들어있는 출력물을 대출모집인인 AP, AQ에게 제공하였다.
16) L는 2013. 9.경 위 AO 커피숍에서 약 100만 명의 유출된 카드고객정보가 들어있는 USB 메모리를 위 AP, AQ에게 제공하였다.
[인정근거] 다툼 없는 사실, 갑 제1, 3, 6호증(가지번호 붙은 호증 포함), 을가 제4, 5, 17, 76호증, 을나 제2, 14호증의 각 기재, 변론 전체의 취지
2. 피고 B의 손해배상책임 성립 여부에 관한 판단
가. 원고 주장의 요지
피고 B는 개인정보처리자로서 카드고객정보에 접근할 권한이 없는 D가 이에 접근할 수 없도록 할 주의의무가 있음에도 이를 게을리하였고, FDS 개발작업을 하는 피고 C의 직원들로부터 보안서약서를 받지 않았으며, 피고 C 직원들이 외부에서 반입한 장비에 대한 점검을 제대로 하지 않았고, 외부에서 반입된 장비에 대하여 보안프로그램의 설치 여부를 확인하지 않았으며, 권한 없는 사람이 피고 B 개발서버 및 운영서버에 접속할 수 있는 모니터링용 컴퓨터를 사용할 수 있도록 하였고, 카드고객정보를 안전하게 저장 · 전송할 수 있는 암호화 기술을 적용하거나 이에 상응하는 조치를 취하지 않았으며, 피고 C의 담당자들에게 정보를 제공하기 위하여 정보를 다운로드하는 과정에서 작업관리시스템(JAS) 및 데이터베이스 접근통제 프로그램(CHAKRA)을 사용하지 않는 등 개인정보의 보호를 위하여 필요한 조치를 취하지 아니하였다.
나. 피고 B 주장의 요지
1) 이 사건 고객정보 유출사고는 고도의 IT 전문가인 D가 피고 B로부터 FDS 업그레이드 프로젝트를 위탁받은 사정을 악용하여 계획적으로 저지른 것이자 D와 J의 사전 공모에 의한 이전의 고객정보 유출사고의 연속선상에서 발생한 것이다. 이러한 사정을 고려할 때 피고 B가 이 사건 고객정보 유출사고를 미연에 방지한다는 것은 사회통념상 합리적 기대가능성이 없다.
피고 B는 고객들의 개인정보 유출을 방지하기 위하여 내부 관리계획 수립 및 고객정보 보호조직 구축, 외주인력 및 자사 임직원들에 대한 관리·감독, 보안서약서 징구, 보안시스템 구축과 보안프로그램의 설치 및 운영, 개인정보 유출 예방시스템의 구축, 고객정보 변환솔루션의 도입 및 운용, 해킹 등 외부침입 차단을 위한 대응책 수립, 네트워크 보호 솔루션(NAC)의 도입, 고객정보 단말기 저장 등에 대한 통제절차 마련, 홈페이지 등에 대한 취약점 분석·평가 및 인터넷 서비스 DB에 대한 암호화 시행, 고객정보 접근통제 및 접속기록의 보관, 상시 모니터링 실시, 사용자 인증강화 및 접근 권한 관리, 개별 사용자 컴퓨터 가상화(클라우드) 시스템 구축, 인터넷 연결수단 통제, 고객정보 출력관리, 외부 저장매체 반출입 통제, 출입대상 및 출입시간 통제 등 관련 법령에 따라 고객들의 개인정보 보호에 필요한 기술적·물리적·관리적 보호조치를 성실히 이행하여 왔고, 이 사건 고객정보 유출사고가 발생한 이후에도 사고수습 및 재발 방지를 위하여 최선의 노력을 다하였다.
3) 피고 B는 피고 C의 직원들이 반입하는 컴퓨터 등 장비를 확인하고 그 반입 여부에 대한 승인절차를 거쳐 외부 반입 장비들을 개별적으로 관리·감독하였고, 개발업무가 종료된 후에는 통합계정 권한관리 시스템상 사용자 계정의 삭제와 IP주소 회수 여부 등을 확인하고, 하드디스크를 모두 포맷한 다음 포맷 여부가 확인된 장비에 한하여 반출을 허용하였다. 그리고 외부 저장매체의 반입을 관리·감독하기 위하여 G 전산센터에 금속탐지센서기를 설치·운용하였으나 D는 비정상적인 방법으로 금속탐지센서기 등을 통한 통제절차를 무력화시킨 다음 USB 메모리를 반입한 것이다.
4) 피고 B는 2008. 10.부터 업무용 컴퓨터에서 USB 메모리 쓰기 기능 사용을 방지하기 위해 외주 인력에게 팬타시큐리티사에서 개발한 ISSAC-File이란 제품의 보안토 큰을 지급하여 왔는데 D는 2013. 2.경 및 2013. 6.경 피고 BF 본사 및 G 전산센터에서 비정상적인 방법으로 보안토큰 로그인 화면을 무력화시킨 다음 업무용 컴퓨터에 본인 소유의 USB 메모리를 접속하여 고객정보를 복사한 것이다.
5) 피고 B의 내규에는 피고 B가 외주인력의 업무용 컴퓨터에 보안프로그램을 직접 설치하도록 하는 규정이 존재하지 않고, 피고 B는 피고 C 직원들에게 FDS 개발작업을 위하여 반입한 컴퓨터에 USB 메모리 쓰기 방지기능 등이 있는 보안프로그램을 설치하도록 지도 관리하였다. 그리고 매달 정기적으로 또는 불시에 외주인력에 대한 보안점검 및 보안교육을 실시하였다. 그런데 D가 위와 같은 보안프로그램을 비정상적인 방법으로 무력화시키고 카드고객정보를 유출한 것이다.
6) 개인정보 안전성 확보조치 기준(행정안전부고시 제2011-43호) 제7조 제5항은 '개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 위험도 분석에 따른 결과에 따라 암호화의 적용 여부 및 적용범위를 정하여 시행할 수 있다'고 규정하고 있고, 여기서 '위험도 분석'이란 '개인정보처리시스템에 적용되고 있는 개인정보보호를 위한 수단과 유출시 정보주체의 권리를 해할 가능성과 그 위험의 정도를 분석하는 행위'를 의미하는데, 피고 B는 위험도 분석의 결과에 따라 내부망인 FDS에 대하여 고유식별정보를 암호화하지 않기로 한 것이다.
FDS는 통계적 기법에 따른 분석 모델로서 이를 개발함에 있어서는 고객정보 실데이터 분석이 수반될 수밖에 없고, 특히 대량의 데이터가 제공되어야만 모델의 정밀도 및 정확도를 높일 수 있다. 특히 FDS 개발 내지 업그레이드의 최종 단계인 대내 외 시스템과의 연계테스트 과정에서는 카드고객정보를 일일이 암호화 내지 변환하여 사용하는 것이 현실적으로 불가능하고 FDS에 대한 통합테스트 이후 시스템 이행 및 안정화 작업을 위한 단계에서도 변환되지 않은 카드고객정보 사용은 불가피할 수밖에 없으며, FDS 개발 내지 업그레이드 작업 수행 과정에서 카드고객정보를 암호화 내지 변환작업을 하는 것은 시간적으로나 경제적으로나 현실적으로 불가능하다.
한편, 피고 B가 카드고객정보를 암호화 내지 변환하여 피고 C에게 제공하였다.고 하더라도 이후 검증 또는 이행의 단계에서는 복호화 내지 재변환 방법을 알려주지 않을 수 없었기 때문에, 피고 B가 카드고객정보를 암호화 내지 변환하지 않고 피고 C에게 제공한 행위와 이 사건 고객정보 유출사고 사이에는 상당인과관계가 없다.
7) 피고 C 직원들이 FDS 개발작업을 하는 장소에 있었던 피고 B 개발서버 및 운영서버에 접속할 수 있는 모니터링용 컴퓨터의 접속권한은 피고 B의 직원들에게만 부여되었고, D는 위 모니터링용 컴퓨터를 이용하여 피고 B의 고객정보를 다운로드받을 수 있는 권한이 없었으며, 피고 B의 직원이 합당한 방법으로 고객정보를 다운로드 받았고 그 과정에서 필요한 절차를 모두 거쳤다.
8) 피고 B는 피고 C 또는 그 직원인 D와의 관계에서 사용자의 지위에 있지 않거나, 피고 C의 선임 및 관리·감독에 과실이 없다(다만, 이 사건의 원고가 명백하게 피고 B의 사용자책임을 주장하고 있지는 않으므로, 이하에서 이 부분에 대하여 판단하지. 않는다).
다. 판단
1) 개인정보 안전성 확보기준 제9조 위반 여부
가) 구 개인정보 보호법(2015. 7. 24. 법률 제13423호로 개정되기 전의 것, 이하 같다) 제29조, 같은 법 시행령 제30조 제1항 제5호를 구체화한 개인정보 안전성 확보조치 기준(행정안전부고시 제2011-43호, 이하 같다) 제9조는 개인정보처리자가 악성프로그램 등을 방지 치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 한다고 규정하고 있다. 한편, 대부분의 카드회사들이 그 보안프로그램을 통하여 업무용 컴퓨터에 USB 메모리를 연결하여 쓰기 기능을 사용하지 못하도록 제한하고 있는 점, 업무용 컴퓨터에 개인정보가 저장되어 있고 USB 메모리 쓰기 기능이 활성화된 경우 몰래 숨겨 반입·반출이 용이한 USB 메모리를 이용하여 쉽게 개인정보를 유출할 위험성이 매우 높아지는 점, 크기가 작고 다른 물건으로 오인될 수 있도록 제작이 가능한 USB 메모리 자체의 반입·반출을 원천적으로 차단하는 데에는 한계가 있는 점, 업무용 컴퓨터에 있는 개인정보 등을 USB 메모리에 저장하여 유출할 가능성을 누구나 쉽게 예측할 수 있는 점 등에 비추어 보면, 위 규정에 의하여 개인정보처리자가 설치·운영할 의무가 있는 보안프로그램은 특별한 사정이 없는 한 USB 메모리의 쓰기 기능 사용을 제한하는 기능을 갖추고 있어야 하고, 그러한 기능이 실질적으로 작동하고 있는지 관리·감독하는 조치가 수반되어야 한다고 봄이 상당하다.
나) 그런데 갑 제7호증의 15, 16, 을나 제3, 14, 27호증의 각 기재에 변론 전체의 취지를 종합하면, 피고 B가 도입한 보안프로그램에는 업무용 컴퓨터에서 USB 메모리 쓰기 기능 사용을 금지하는 기능이 포함되어 있으나, 피고 B는 그 사무실에서 FDS 개발작업을 하는 피고 C 직원들로 하여금 업무용 컴퓨터에 직접 보안프로그램을 설치하도록 하였을 뿐, 직접 보안프로그램을 설치하거나 그 설치·유지 여부를 개별적으로 확인하지 않은 사실, 이 사건 고객정보 유출사고 이후 금융감독원이 피고 B를 조사하는 과정에서 비로소 피고 C가 피고 B의 FDS 개발작업을 위하여 F 및 G에 반입한 총 14대의 업무용 컴퓨터 중 2대에만 해당 보안프로그램이 설치되어 있었던 것으로 밝혀진 사실, 피고 B는 피고 C의 작업공간에 대하여 정기 또는 수시로 이에 관한 보안점검을 실시하지 아니한 사실이 인정된다.
다) 결국, 그로 인하여 피고 C의 직원들이 FDS 개발작업의 수행을 위하여 피고 B의 F 본사 또는 G 전산센터에서 작업할 때 모두 업무용 컴퓨터에서 USB 메모리의 쓰기 기능을 사용하는 데 아무런 제한이 없었던 상태였다. 이에 D는 업무용 컴퓨터에 USB 메모리를 접속시켜 각종 보고서 양식 등을 다운로드하여 사용하였고, 이 사건 고객정보 유출사고 당시에도 자신이 사용하는 업무용 컴퓨터에서 USB 메모리를 접속하여 피고 B의 고객정보를 복사한 다음 이를 유출할 수 있었다(을가 제17호증, 을나 제2호증의 각 기재).
라) 이에 대하여 피고 B는, 보안프로그램이 정상적으로 작동되고 있었는데도 D가 이를 기술적으로 무력화시킨 것이라고 주장하나, 이를 인정할 증거가 없고, 오히려 앞서 인정한 바와 같이 피고 C가 피고 B의 FDS 개발작업을 위하여 반입한 업무용 컴퓨터 14대 중 2대에만 보안프그램이 정상적으로 설치되어 있었던 점에 비추어 보면, D가 불상의 특별한 기술적 조작을 통하여 피고 B의 보안프로그램을 무력화시킨 것이라고 보기 어려우므로, 피고 B의 위 주장은 이유 없다.
마) 또한 피고 B는 개인정보의 안정성 확보조치 기준 제9조가 USB 메모리를 이용한 개인정보 유출 방지 기능을 갖춘 보안프로그램의 설치를 전제로 한 규정이 아니라고 주장한다. 그러나 위 조항을 개인정보 안정성 확보기준 제6조 제3항 및 정보통신망법 시행령 제15조 제2항 등에 비추어 종합적으로 해석하면, 피고 B에게 읽기 및 쓰기가 가능한 USB 메모리 등의 접근을 차단할 조치를 취할 의무를 도출할 수 있다고 보이므로, 위 피고의 이 부분 주장은 이유 없다.
바) 그렇다면 피고 B는, 피고 C의 직원들이 피고 B의 사무실에서 사용하는 업무용 컴퓨터에 USB 메모리 쓰기 기능을 제한하는 보안프로그램을 설치하지 않았거나 그 관리·감독을 소홀히 함으로써 개인정보 안전성 확보조치 기준 제9조를 위반하였다고 할 것이다.
2) 개인정보 업무위탁에 관한 규정 위반 여부
개인정보의 업무위탁에 따른 개인정보의 처리 제한에 관하여, 개인정보 보호법 제26조 제1항은 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 ①) 위탁업무 수행 목적 외 개인정보 처리 금지에 관한 사항, ② 개인정보의 기술적·관리적 보호조치에 관한 사항, ③ 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항이 포함된 문서에 의하여야 한다고 규정하고 있고, 구 개인정보 보호법 제26조 제4항은 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도 난·유출·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다고 규정하고 있다. 한편, 개인정보 보호법 시행령 제28조는 위 법 제26조 제1항의 대통령령으로 정하는 사항으로서 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항을 포함하고 있다.
앞서 본 바와 같이 피고 B가 피고 C에게 FDS 개발작업을 위하여 카드고객정보를 제공한 것은 개인정보의 처리 업무를 제3자에게 위탁한 경우로 봄이 상당한데, 피고 B는 피고 C에게 카드고객정보를 제공하면서 개인정보의 기술적·관리적 보호조치에 관한 사항이나 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 등 위 개인정보 보호법 및 같은 법 시행령이 정한 사항에 관하여 문서에 의하여 구체적으로 정한 바는 없는 것으로 보이고, 을나 제2, 3, 14호증의 각 기재에 변론 전체의 취지를 종합하면, 피고 C에서 피고 B에 카드고객정보 등 필요한 자료를 요청하면 피고 B의 AR 과장이 피고 C의 직원으로부터 하드디스크를 받아가 G 전산센터에서 필요한 자료를 저장한 후 피고 C의 직원으로 하여금 찾아가게 하거나 작업현장에 있는 개발 및 운영서버에 접속할 수 있는 컴퓨터에 피고 B의 직원이 카드고객정보 등 자료를 다운받아 건네주어 피고 C의 직원들이 사용할 수 있도록 한 사실이 인정되며, 피고 B는 위와 같이 카드고객정보를 제공하면서 피고 C에게 카드고객정보의 보안을 위하여 별다른 지침이나 주의를 준 적도 없는 것으로 보이고, 피고 C의 직원들은 위와 같은 방법으로 피고 B로부터 제공받은 카드고객정보를 공유해서 FDS 개발작업에 자유롭게 활용하였을 뿐, 피고 C 역시 별도의 개인정보에 대한 기술적·관리적 보호조치를 취한 바는 없었던 것으로 보인다.
그렇다면, 위와 같이 피고 B가 피고 C에게 FDS 개발작업과 관련하여 카드고객 정보에 관한 개인정보의 처리 업무를 위탁하면서도 개인정보의 기술적·관리적 보호조치에 관한 사항에 관하여 아무런 약정을 하지 않고, 피고 C가 그와 같은 보호조치 없이 카드고객정보를 FDS 개발작업에 활용하도록 방치한 것은 개인정보 보호법 제26조 제1항, 제4항을 위반한 경우에 해당한다고 할 것이다.
3) 암호화되지 않은 카드고객정보 제공과 관련된 규정 위반 여부
가) 구 개인정보 보호법 제29조, 같은 법 시행령 제30조 제1항 제3호를 구체화한 개인정보 안전성 확보조치 기준 제7조 제2항은 '개인정보처리자는 제1항에 따른 개인정보(고유식별정보, 비밀번호 및 바이오정보를 말한다)를 정보통신망을 통하여 송·수 신하거나 보조저장매체 등을 통하여 전달하는 경우에는 암호화하여야 한다'고 규정하고, 같은 조 제8항은 '개인정보처리자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우 사용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다'고 규정하고 있으며, 위 법령에는 위와 같은 고유식별정보를 포함한 개인정보의 암호화의무에 관하여 예외사유를 규정하고 있지 않다.
그리고 구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것, 이하 같다) 제21조 제2항은 '금융기관등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류별로 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다'고 규정하고 있고, 이를 구체화한 구 전자금융감독규정(2013. 12. 3. 금 융위원회고시 제2013-39호로 개정되기 전의 것, 이하 같다) 제13조 제1항은 '금융기관 또는 전자금융업자는 전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각 호를 포함한 전산자료 보호대책을 수립·운용하여야 한다'고 규정하고 있으며, 같은 항 제10호에서 '이용자 정보의 조회 출력에 대한 통제를 하고 테스트시 이용자 정보 사용금지(다만, 부하 테스트 등 사용이 불가피한 경우 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제하여야 한다)'고 규정하고 있다.
나) 그럼에도 피고 B가 그 사무실에서 FDS 개발작업을 하는 피고 C의 직원들에게 암호화 등으로 변형되지 않은 고유식별정보가 포함된 카드고객정보를 하드디스크 등 보조저장매체에 저장한 후 제공하여 FDS 개발업무에 사용하도록 하고 그 사용에 관하여 별다른 관리·감독을 하지 않고 방치한 행위는 위 암호화에 관한 각 규정을 위반한 경우에 해당한다고 할 것이다.
다) 한편, 개인정보 안전성 확보조치 기준 제7조 제5항은 내부망에 고유식별정보를 저장하는 경우 위험도 분석에 따른 결과를 토대로 암호화를 적용하지 않을 수 있다는 취지로 규정하고 있으나, 이는 FDS 등 내부망 자체에 고유식별정보를 저장하는 방식에 관하여 규율하는 취지로 보이고, 특히 개인정보 안전성 확보조치 기준 제7조제2항, 제8항에서는 고유식별정보를 보조저장매체 등을 통하여 전달하거나 업무용 컴퓨터에 저장하여 관리하는 경우에는 암호화의무에 대한 예외를 규정하고 있지 않은 점에 비추어 볼 때, 피고 B가 위험도 분석에 따른 결과를 토대로 'FDS 자체에 저장되는 고유식별정보'에 대하여는 암호화 조치를 하지 않았다고 하여 위 개인정보의 안전성 확보조치 기준 제7조 제2항, 제8항, 구 전자금융감독규정 제13조 제1항 제10호 위반에 대한 책임을 면한다고 볼 수는 없다.
이에 대하여 피고 B는 ① 개인정보의 안전성 확보조치 기준 제7조 제5항 제2호가 정한 위험도 분석의 결과에 따라 내부망인 FDS에 저장되는 고유식별정보를 암호화하지 않기로 결정한 것이므로 이를 두고 위 법령상 주의의무를 위반하였다고 볼 수는 없고 ② 개인정보의 안전성 확보조치 기준 제7조 제2항은 개인정보를 외부의 제3 자에게 송신하는 경우를 전제로 하므로 내부망에 저장된 개인정보가 유출된 이 사건에는 적용될 여지가 없다고 주장한다.
그러나 ① 개인정보의 안전성 확보조치 기준 제7조 제5항은 '내부망'에 고유식별 정보를 저장하는 경우에 관한 규정으로서, 이 사건과 같이 고유식별정보를 개인정보취 급자의 업무용 컴퓨터에 저장하여 관리하는 경우에는 개인정보의 안전성 확보조치 기준 제7조 제8항에 따라 암호화 저장함으로써 불법적인 노출 및 접근을 차단하여야 하고, ② 개인정보처리자가 개인정보를 보조저장매체 등을 통하여 전달하는 경우에도 암호화에 관한 규정인 개인정보의 안전성 확보조치 기준 제7조 제2항이 적용되는 것으로 보인다(위 규정을 피고 B의 주장과 같이 한정 해석할 근거도 없다). 이 사건의 경우
피고 B가 자신의 F센터에서 작업 중인 피고 C의 직원들에게 카드고객정보 등을 하드 디스크에 저장하여 전달하고 이를 사용하도록 한 사실은 앞서 본 바와 같으므로, 피고 B가 고유식별정보의 암호화에 관한 법령상 주의의무를 위반하였다고 봄이 타당하다.
피고 B의 위 주장은 이유 없다.
라) 한편, 설령 FDS 개발과정에서 부득이 변형되지 않은 카드고객정보가 필요한 작업이 포함될 수 있다고 하더라도 개인정보 안전성 확보조치 기준 제7조 제2항, 제8항 및 구 전자금융감독규정 제13조 제1항 제10호의 규정 취지에 따라 변형되지 않은 카드고객정보가 필요한 작업에 대하여는 그것이 반드시 필요한 작업이 이루어질 때에만 엄격하게 제한하여 제공해야 할 뿐만 아니라, 해당 작업이 이루어질 때에는 피고 B의 직원이 직접 입회하여 감시·감독함으로써 정보유출의 가능성을 차단시키는 등 변형되지 않은 카드고객정보의 사용을 최소화하고 정보유출방지를 위한 보다 엄격한 대책을 수립·시행하였어야 할 것이다.
그런데 피고 B는 위 개인정보 안전성 확보조치 기준 등 법령의 규정에도 불구하고, FDS 개발을 위한 계약체결 단계에서부터 기존 FDS 개발 관례상 변형되지 않은 카드고객정보를 제공하여 왔다는 사정만으로 FDS 개발작업 중 변형되지 않은 카드고객정보가 반드시 필요한지 여부 및 그 범위, 변형된 카드고객정보로의 대체 가능성 등에 관하여 면밀한 검토를 하지 않았고, 피고 C에게 변형되지 않은 카드고객정보,를 제공하기로 하면서도 그 사용범위, 방식을 제한하는 등의 방법으로 카드고객정보 유출방지대책을 별도로 수립·시행하지 않았다. 그리고 피고 C가 F 본사에서 FDS 개발 작업을 수행할 당시에는 피고 B의 FDS 사업팀과 같은 사무실에서 근무하여 피고 B의 직원이 피고 C가 작업하는 공간에 상주하고 있었으나, G 전산센터로 개발작업 장소를 옮긴 후에는 피고 C만이 독립적인 공간에서 작업하여 피고 B의 직원이 작업공간에 상주하지 않았고, F 본사에서 피고 C의 직원들이 야간근무를 할 때에는 피고 B의 직원들이 나오기도 하였으나, G 전산센터에서는 야간, 휴일 근무시 피고 B의 직원이 나오.는 경우는 없었으며, 피고 B의 직원들이 피고 C 직원들의 작업공간에 상주하는 경우에도 변환되지 않은 카드고객정보를 피고 C에서 어떻게 사용하는지 확인하거나 감독한 사실도 없었던 것으로 보인다(을가 제76호증, 을나 제2, 3, 14, 27호증의 각 기재 및 변론 전체의 취지).
마) 그리고 FDS 개발작업을 외부 용역 업체에 의뢰할 때 FDS 개발사업의 효율 성(신속, 저비용, 고성능)을 위하여 피고 B가 관련 규정 등을 위반하여 카드고객정보의 유출 가능성을 증대시킨 책임은 피고 B가 부담하여야 하는 것이지, 이를 그 개인정보 주체인 카드고객들에게 전가시킬 수는 없다.
바) 따라서, 피고 B는 암호화되지 않은 카드고객정보를 제공하여서는 아니 된다는 관련 규정을 위반하였다고 할 것이다.
4) 구 전자금융감독규정 제13조 위반 여부
가) 구 전자금융거래법 제21조 제2항은 '금융기관등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류별로 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다'고 규정하고 있고, 이를 구체화한 구 전자금융감독규정 제13조 제1항은 '금융기관 또는 전자금융업자는 전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각 호를 포함한 전산자료 보호대책을 수립·운용하여야 한다'고 규정하고 제13호에서 '단말기에 이용자 정보 등 주요정보를 보관하지 아니하고, 단말기를 공유하지 아니할 것(다만, 불가피하게 단말기에 보관할 필요가 있는 경우 보관사유, 보관기간 및 관리 비밀번호 등을 정하여 책임자의 승인을 받아야 한다)'이라고 규정하고 있다.
나) 그런데 을나 제2, 3, 14호증의 각 기재에 변론 전체의 취지를 종합하면, 피고 C의 직원들이 G 전산센터에서 FDS 개발작업을 할 때에는 작업현장에 피고 B 개발 서버 및 운영서버에 접속할 수 있는 이른바 모니터링용 컴퓨터가 있었고, 피고 C의 직원들이 피고 B에게 필요한 자료를 요청하면 피고 B의 직원이 현장에 있는 위 컴퓨터를 이용하여 개발서버 등에 접근하여 자료를 다운로드받아 주었으며, 그러면 피고 C의 직원들이 그 컴퓨터에 접속해서 위와 같이 다운로드된 자료를 작업 중인 컴퓨터로 복사하고 이를 공유하는 방식으로 사용한 사실이 인정된다.
다) 위 인정사실에 의하면, 피고 B는 구 전자금융감독규정 제13조 제1항 제13호를 위반하여 정보처리시스템에 접속하는 단말기에 이용자 정보를 보관하도록 허용하였을 뿐만 아니라 위 단말기를 공유하는 것을 방치하였다고 할 것이다.
5) 개인정보 안전성 확보조치 기준 제6조 위반 여부
가) 구 개인정보 보호법 제29조, 같은 법 시행령 제30조 제1항 제2항을 구체화한 개인정보 안전성 확보조치 기준 제6조 제3항에서 '개인정보처리자는 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치를 취하여야 한다'고 규정하고 있고, 제4항에서 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터만을 이용하여 개인정보를 처리하는 경우에는 업무용 컴퓨터의 운영체제(OS: Operating System)나 보안프로그램 등에서 제공하는 접근통제기능을 이용할 수 있다는 취지로 규정하고 있다.
나) 위 규정 내용에 비추어, 피고 B는 운영 중인 개인정보처리시스템에서 뿐만 아니라 카드고객정보 등 개인정보를 업무용 컴퓨터에도 보관 활용하는 경우에는 운영체제나 보안프로그램 등을 통하여 그에 대한 접근통제가 이루어지도록 적절한 조치를 취해야 할 의무가 있고, 이는 외부 용역 업체가 피고 B의 사무실에서 업무용 컴퓨터에 카드고객정보 등 개인정보를 보관 활용하는 경우에도 마찬가지라고 할 것이다.
다) 그런데 피고 C의 직원들이 피고 B의 F 본사에서 작업할 당시 피고 C 직원들이 필요한 카드고객정보 등을 요청하면 피고 B의 AR 과장이 피고 C의 직원들로부터 하드디스크(암호화되지 않은 일반 하드디스크)를 받아간 후 G 전산센터에서 필요한 자료를 위 하드디스크에 저장한 후 피고 C의 직원들에게 연락하면 피고 C의 직원들이 G 전산센터에 가서 위 하드디스크를 수령하였고, 이후 피고 C의 직원들은 위 하드디스크를 업무용 컴퓨터에 설치한 후 공유폴더를 설정하여 사용한 사실, 피고 C 직원들이 피고 B의 G 전산센터에서 작업할 당시에는 피고 B의 개발서버 및 운영서버에 접속할 수 있는 컴퓨터가 작업 현장에 있었고, 피고 C의 직원들이 필요한 카드고객정보 등을 요청하면 작업 현장에서 피고 B의 직원이 그 컴퓨터를 이용하여 개발서버 등에 접근하고 자료를 다운로드받아 주면, 피고 C의 직원들이 그 컴퓨터에 접속하여 다운로드 된 자료를 업무용 컴퓨터에 복사한 후 공유폴더를 설정하여 이를 공유한 사실은 앞서 인정한 바와 같고, 당시 피고 B는 위와 같이 피고 C에게 카드고객정보를 제공하여 업무용 컴퓨터에 저장·활용할 수 있도록 하면서도 그 접근권한을 제한하는 조치를 취하지 않았고, 피고 C 직원들이 업무용 컴퓨터에 저장된 카드고객정보를 공유폴더를 통하여 공유하고 있는 점에 관하여도 아무런 통제를 하지 않았으며, 특별히 그 유출방지 대책을 마련하지도 않았던 것으로 보인다.
라) 결국, 위와 같이 피고 B가 그 사무실에서 작업을 하고 있는 피고 C의 직원들에게 카드고객정보를 제공하여 업무용 컴퓨터에 보관 활용할 수 있게 하면서 접근권한 제한 등의 보안조치를 하지 않은 것은, 위 개인정보 안전성 확보조치 기준 제6조 제3항, 제4항을 위반한 것이라 할 것이다.
마) 이에 대해 피고 B는, 개인정보 안전성 확보조치기준 제6조 제3항은 고객들의 개인정보가 열람권한이 없는 자에게 무단으로 공개되거나 또는 열람권한이 없는 자를 통하여 외부에 무단으로 유출되는 것을 방지하기 위한 규정이므로 피고 B로부터 개인정보에 대한 열람권한을 부여받은 피고 C의 개발인력들에게는 적용할 수 없는 규정이라고 주장한다. 그러나 위 규정의 문언을 보더라도 외부 유출의 주체를 '열람권한 이 없는 자'로 한정할 근거가 없으므로 피고 B의 위 주장도 이유 없다.
라. 소결
위와 같이 피고 B는 개인정보처리자 또는 전자금융업자가 개인정보 내지 이용자 정보 보호를 위하여 준수하여야 할 법령상 의무를 위반함으로써 원고의 개인정보가 포함된 카드고객정보가 유출되는 사고의 원인을 제공하였다고 할 것이므로, 피고 B는 민법 제750조, 개인정보 보호법 제39조에 따라 이 사건 고객정보 유출사고로 인해 원고가 입게 된 손해를 배상할 책임이 있다.
3. 피고 C의 손해배상책임 성립여부에 관한 판단
가. 원고 주장의 요지
피고 C의 직원인 D가 피고 B의 고객정보를 불법수집하여 유통한 행위는 신용정보의 이용 및 보호에 관한 법률(이하 '신용정보법'이라 한다) 제42조 제1항의 '신용정보 회사의 임직원이었던 자는 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀을 업무 목적 외에 누설하거나 이용하여서는 아니 된다'는 규정을 위반한 행위로서 원고에 대한 관계에서 불법행위를 구성하고, D의 사용자인 피고 C는 D의 위와 같은 불법행위에 대하여 사용자책임 또는 신용정보법 제43조의 손해배상책임을 부담한다.
나. 피고 C 주장의 요지
1) D가 피고 B의 고객정보를 유출한 행위는 피고 C의 '피고 B의 FDS 개발 및 업그레이드'라는 본래의 사무집행에 관련된 것이 아니다. FDS 업무에는 변환되지 않은 카드고객정보가 전혀 필요하지 않고, 변환되지 않은 카드고객정보를 D에게 제공한 것은 본래의 FDS 업무와는 무관하게 순전히 피고 B의 규정에 위반된 편의적인 업무처리에서 비롯된 것이기 때문이다.
2) 피고 C는 피고 B의 사업장에 파견되어 근무하고 있는 D에 대한 선임 및 관리·감독의무를 성실히 이행하였다. 피고 C가 FDS 개발 및 업그레이드 용역업무와 관련된, 모든 범위에서 D의 사무집행에 대한 일체의 관리·감독의무를 부담한다고 볼 수는 없고, 피고 C의 사무감독 범위는 직원인 D의 업무처리에 관한 일반적 추상적인 감독에 한정되는 반면, D가 피고 B의 FDS 개발 및 업그레이드 용역을 진행하는 과정에서 수행하게 되는 업무들(특히, 카드고객정보의 수령 및 취급)에 관한 개별적·구체적 관리·감독은 피고 B의 업무이자 의무이다. 그리고 설령 피고 C가 D에 대한 관리·감독의무를 다하였다고 하더라도 이 사건 고객정보 유출사고의 발생을 피할 수 없었을 것이다. 따라서 민법 제756조 제1항 단서 전단 또는 후단에 따라 피고 C의 사용자책임은 면제되어야 한다.
3) 신용정보법 제43조는 신용정보회사나 신용정보이용자가 이 법을 위반하는 행위를 한 경우에 적용되는데, 피고 C는 이 법 위반행위를 한 사실이 없다.다. 판단
1) 사무집행 관련성
가) 민법 제756조에 규정된 사용자 책임의 요건인 '사무집행에 관하여'라는 뜻은 피용자의 불법행위가 외형상 객관적으로 사용자의 사업활동 내지 사무집행행위 또는 그와 관련된 것이라고 보일 때에는 행위자의 주관적 사정을 고려함이 없이 이를 사무집행에 관하여 한 행위로 본다는 것으로, 피용자가 고의에 기하여 다른 사람에게 가해행위를 한 경우, 그 행위가 피용자의 사무집행 그 자체는 아니라 하더라도 사용자의 사업과 시간적, 장소적으로 근접하고, 피용자의 사무의 전부 또는 일부를 수행하는 과정에서 이루어지거나 가해행위의 동기가 업무처리와 관련된 것일 경우에는 외형적, 객관적으로 사용자의 사무집행행위와 관련된 것이라고 보아 사용자책임이 성립한다. 이 경우 사용자가 위험발생 및 방지조치를 결여하였는지 여부도 손해의 공평한 부담을 위하여 부가적으로 고려할 수 있다(대법원 2009. 2. 26. 선고 2008다89712 판결 등 참조).
나) 앞서 인정한 사실을 위 법리에 비추어 살피건대, D는 그 사용자인 피고 C와 피고 B 사이에 FDS 개발에 관한 계약에 따라 피고 B가 제공한 사무실에서 피고 C의 다른 직원들과 FDS 개발업무를 진행하는 과정에서 이 사건 고객정보 유출행위를 저질렀고, D가 유출한 카드고객정보는 FDS 개발에 필요하여 피고 B가 제공한 자료였던 점 등에 비추어 보면, D가 피고 B의 고객정보를 유출한 행위는 외형적, 객관적으로 피고 C와 피고 B 사이의 FDS 개발용역계약에 따른 사무집행행위와 관련된 것이라고 할 것이므로, D의 이 사건 고객정보 유출행위는 피고 C의 FDS 개발용역 수행이라는 사무집행에 관하여 이루어진 것으로 봄이 상당하고, 설령 FDS 개발을 위하여 변환되지 않은 카드고객정보가 반드시 필요한 것은 아니었다고 하더라도 달리 볼 수 없다.
2) 선임·감독상 상당한 주의
가) 민법 제756조 제1항 및 제2항의 책임에 있어서 사용자나 그에 갈음하여 사무를 감독하는 자는 그 피용자의 선임과 사무감독에 상당한 주의를 하였거나 상당한 주의를 하여도 손해가 있을 경우에는 손해배상의 책임이 없으나, 이러한 사정은 사용자 등이 주장 및 입증을 하여야 한다(대법원 1998. 5. 15. 선고 97다58538 판결 등 참조).
나) 을나 제8 내지 12, 20, 21, 29, 36, 39호증(각 가지번호 붙은 호증 포함)의 각 기재만으로 피고 C가 D에 대하여 선임 및 사무감독에 상당한 주의를 다하였다거나
상당한 주의를 하였어도 이 사건 고객정보 유출로 인한 손해가 발생하였을 것이라고 인정하기에 부족하고 달리 이를 인정할 증거가 없으므로, 피고 C의 주장은 이유 없다 (오히려 올나 제29호증의 기재에 의하면, D는 피고 회사에 입사하기 이전 AS에서 근무할 당시인 2010. 4.경 P사의 고객정보를 유출한 전력이 있었음에도 피고는 D를 채용하여 피고 B에 파견하였던 것으로 보인다)
라. 소결
그렇다면, 피고 C의 피용자인 D가 그 사무집행에 관하여 이 사건 고객정보를 유출하는 불법행위를 저질렀다고 할 것이므로, 피고 C는 D에 대한 사용자로서 민법 제756조 제1항에 따라 피고 B와 공동하여 원고에게 그로 인한 손해를 배상할 책임이 있다(민법상 사용자책임을 인정하므로 신용정보법 위반 여부에 대하여는 별도로 판단하지 아니한다).
4. 정신적 손해의 발생 여부 및 손해배상책임의 범위
가. 당사자들의 주장
1) 원고 주장의 요지
원고는 이 사건 고객정보 유출사고로 인해 개인정보가 유출되어 정신적 고통을 받았을 뿐만 아니라, 개인정보는 정보화시대에 매우 중요한 재산적 가치가 있는 것이고, 실제로 위와 같은 개인정보는 금전적 대가를 받고 거래되기도 하는 것으로서 원고는 개인정보의 유출로 인하여 재산적 손해도 입게 되었는바, 위자료 산정에는 이러한점을 종합적으로 고려하여야 한다.
따라서 피고들은 공동하여 원고에게 위자료 1,000,000원을 지급할 의무가 있다.
2) 피고 B 주장의 요지
원고에게 이 사건 고객정보 유출사고에 따른 손해배상청구권을 인정하기 위해서는 원고에게 구체적·실질적인 손해가 발생하여야 하고, 단지 개인정보 자기결정권이 침해되었다거나 손해발생의 위험이 존재한다는 추정적인 사정만으로 위자료로서 배상할 만한 정신적 손해가 발생하였다고 할 수 없다. 유출된 개인정보가 저장된 저장매체는 모두 D, J를 제외한 제3자에게 전달되거나 유통될 가능성이 생기기 전에 압수, 임의제 출되거나 폐기되었고 카드비밀번호 등 중요정보는 유출되지 아니하여, 사생활의 비밀이나 자유와 같은 실질적인 침해나 추가적인 재산적 손해가 발생할 가능성이 전무하다. 피고 B는 법령이 요구하는 주의의무를 모두 준수하였고 이 사건 고객정보 유출사실이 확인된 즉시 신속하게 별도로 비상 대응반을 조직 · 가동하는 등 고객들의 추가피해 발생을 방지하기 위하여 최선의 노력을 다하였다. 따라서 이 사건 고객정보 유출사고로 원고에게 위자료를 인정할 만한 정신적인 손해가 발생하였다고 할 수 없다.
3) 피고 C 주장의 요지
① 이 사건에서 유출된 카드고객정보는 그 종류와 성격상 실제적인 금융거래에서 해당 정보들이 사용될 가능성은 매우 적고, 개인정보 유출에도 불구하고 구체적으로 정보주체를 식별할 가능성이 발생되었다고 보기는 어려우며, 제3자에게 유통되기 전에 유출된 정보가 전량 회수되었으므로 개인정보 유출의 범위가 공범을 넘어 확대되지는 않았다. 따라서 추가적인 법익침해 가능성이 거의 없고, 실제로도 2차 피해발생이 확인된 것이 전혀 없는바, 개인정보 유출 이후 피고 B가 신속하게 대처하여 피해발생 및 확산을 방지하기 위한 조치를 취한 사실까지 고려해 보면, 원고에게 정신적 손해가 발생되었다고 할 수 없다.
② 설령 피고 C에게 손해배상책임이 인정된다고 하더라도 이 사건 고객정보 유출사고에 대하여 피고 C의 책임보다 피고 B의 책임이 현저히 더 중하고, 국내 금융산업 신용리스크 관리 분야에서 중요한 역할을 담당하는 피고 C의 존속을 위하여 피고 C의 손해배상책임은 합리적으로 제한될 필요가 있다.
나. 관련 법리
1) 개인정보를 처리하는 자가 수집한 개인정보를 피용자가 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다(대법원 2012. 12. 26. 선고 2011다59834 판결 참조).
2) 불법행위로 인한 손해배상청구권은 현실적으로 손해가 발생한 때에 성립하는 것이고, 현실적으로 손해가 발생하였는지 여부는 사회통념에 비추어 객관적이고 합리적으로 판단하여야 한다(대법원 2003. 4. 8. 선고 2000다53038 판결 등 참조).다. 판단
1) 정신적 손해의 발생 여부
가) 우선, 위 법리에 비추어 이 사건에서 원고에게 정신적 손해가 발생한 것으로 볼 수 있는지에 관하여 살펴본다.
나) 이 사건에서 유출된 원고의 개인정보는 앞서 본 바와 같이 '성명, 주민등록번호, 전화번호, 주소, 이메일, 직장정보, 결제계좌, 신용등급 기타 신용정보 등이 포함되어 있고, 이는 원고 개인을 식별할 수 있을 뿐만 아니라 개인의 사생활과 밀접한 관련이 있고 이를 이용한 2차 범죄에 악용될 수 있는 개인정보이다. 이는 그 수집이나 처리 자체가 원칙적으로 제한되는 개인정보 보호법 제23조의 민감정보와는 달리 그 자체로서는 가치중립적이고 일정 범위의 제3자에게 열람되어 이용될 것을 전제로 한 정보에 해당한다.
그러나 이 사건에서 유출된 개인정보 역시 정보 주체의 의사에 의하지 아니하고 제3자가 이를 열람하고 나아가 이를 이용해서는 안 된다는 점에서 법적으로 보호받아야 할 정보임이 분명하므로, 이러한 개인정보가 유출됨으로 인해 발생하는 정신적 고통은 해당 개인정보가 정보 주체의 의사에 반하여 제3자에게 열람되었다는 것 자체, 또는 과거 또는 미래에 열람되었거나 열람될지 모른다는 염려에서 발생하는 것이라고 할 수 있다.
다) 앞서 본 바와 같이, 개인정보 유출로 인한 손해배상이 문제되는 경우, 그로 인한 정신적 손해는 현실적으로 발생되어야 하는 것이므로, 이와 같은 개인정보 유출로 인하여 개인정보 자기결정권이 침해되었다는 사정만으로 곧바로 정신적 손해의 발생이 인정된다고 할 수는 없고, 나아가 유출된 개인정보가 제3자에 의해 악용될지도 모른다는 막연한 불안감만으로 해당 정보주체에게 정신적 손해가 발생하였다고 단정하기도 어렵다.
라) 그러나, 이 사건에서 인정된 사실관계에 비추어 알 수 있는 다음과 같은 사정, 즉 D는 위와 같이 유출한 카드고객정보를 J에게 넘겼고, J는 이를 대출중개 영업에 이용하려는 의도를 가진 L, N 등 업자에게 거액의 대가를 받고 다시 매도하였으며, 이후 그 업체 직원 등이 이러한 개인정보를 이용하여 고객들에게 전화를 걸어 영업활동을 하기도 하는 등 그 유출된 카드고객정보가 주로 대출중개 또는 대출상품판매를 업으로 하는 사람들에게 전파되어 전화로 대출상품을 판매하는 텔레마케팅 등 영업에 활용된 점, 이와 같이 전파된 카드고객정보가 상당 부분 압수 폐기되기는 하였으나, 그 전부가 현실적으로 회수되지는 못한 것으로 보이고, 유출된 카드고객정보가 유통되거나 다른 제3자의 지배 하에 있을 가능성이 완전히 배제되었다고 단정하기 어려운 점, 원고나 그 지인들이 이 사건 고객정보 유출사고로 유출된 정보를 이용한 보이스피싱 등 범죄의 표적이 될 가능성을 전혀 배제할 수 없고, 시간이 지날수록 진화하는 보이스피싱과 같은 범죄에 유출된 카드고객정보가 어떠한 방식으로 활용될지 여부도 가늠하기 어려운 점, 그 밖에 피고 B가 피고 C에게 변환되지 않은 카드고객정보를 제공하는 의사결정 과정이나 제공방식 및 사후 감독 여부 등 이 사건 고객정보 유출사고의 전반적인 경위 등을 종합하면, 결국 위와 같이 유출된 원고의 카드고객정보는 그 전파 및 확산과정에서 이미 제3자에 의해 열람되었거나 제반 사정에 비추어 앞으로 그 개인정보가 열람될 가능성이 매우 크다고 할 것이다. 따라서 원고에게는 사회통념상 이 사건 고객정보 유출사고로 인한 정신적 손해가 현실적으로 발생하였다고 봄이 타당하다.
2) 손해배상책임의 범위
나아가 손해배상책임의 범위에 관하여 보건대, 위에서 살펴본 바와 같은 피고 측의 카드고객정보 관리실태와 그 유출의 구체적인 경위, 유출된 개인정보의 전파 및 확산 범위, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 피고 측이 마련한 사후적 조치의 내용 등과 더불어, 이 사건에서 유출된 개인정보에는 개인에게 유일하고 영구적이며 일신전속적인 성격을 지닌 주민등록번호가 포함되어 있고, 이를 도용한 2차적 피해 발생과 확대의 가능성을 배제하기 어려운 점, 다만 이 사건에서 유출된 카드고객정보의 내역이나 이를 취득한 사람들의 카드고객정보 취득목적 등에 비추어 유출된 카드고객정보를 이용한 카드 위·변조나 부정사용으로 인한 재산적 손해가 발생할 가능성은 그리 크지 않아 보이고, 현재까지 그와 같은 구체적인 재산상 피해가 실제로 발생한 사례는 확인되지 않고 있는 점, 이 사건에서 유출된 고객정보가 불특정 다수인에게 공개되었거나 열람할 수 있는 상태에 놓였던 것은 아니고 특정한 목적(대 출영업)을 보유한 사람들에게 제한적으로 전파된 것으로 보이는 점, 유출된 카드고객정보의 양이 매우 방대한 탓에 이를 취득한 사람들도 카드고객정보를 선별적으로 사용하였을 것으로 보이는 점, 현실적으로 파일형태로 보관 처리되는 개인정보의 유출방지가 기술적으로 완벽할 수는 없는 반면, 오늘날 기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객 개인정보를 수집·보관하는 것이 필수적인 경우가 많아 소비자로서도 위와 같은 위험을 어느 정도 감수할 수밖에 없는 점, 피고 B가 이 사건 고객정보 유출사고를 인지한 직후 카드고객들을 대상으로 해당 고객의 개인정보가 유출되었는지 여부를 확인할 수 있도록 필요한 서비스를 제공하는 등으로 카드고객정보 유출사고의 2차 피해방지를 위해 상당한 노력을 기울였던 것으로 보이는 점, 피고 C의 경우 시간 및 공간상 제약으로 인해 현실적으로는 D에 대한 관리·감독이 쉽지 아니하였을 것으로 보이며, 이 사건 고객정보 유출사고는 D의 고의 또는 계획적인 범행으로 발생한 것이라는 점 등 이 사건 변론과 증거조사에 나타난 제반 사정들을 종합적으로 고려하면, 피고들이 이 사건 고객정보 유출사고로 인하여 정신적 손해를 입게 된 원고에게 배상하여야 할 위자료는 100,000원으로 정함이 상당하다.
라, 소결
그렇다면, 피고들은 공동하여 원고에게 100,000원 및 이에 대하여 이 사건 고객정보 유출사고 이후인 2013. 6. 30.부터 피고들이 이 사건 이행의무의 존재 여부나 범위에 관하여 항쟁하는 것이 타당하다고 인정되는 이 사건 제1심판결 선고일인 2016. 3. 3.까지는 민법이 정한 연 5%의, 그 다음날부터 다 갚는 날까지는 소송촉진 등에 관한 특례법이 정한 연 15%의 각 비율로 계산한 지연손해금을 지급할 의무가 있다(원고는 2013. 3. 1.부터의 지연손해금의 지급도 아울러 구하고 있으나, 앞서 본 바와 같이 D에 의한 이 사건 고객정보 유출사고는 2013. 2.경과 2013. 6.경 두 차례에 걸쳐 이루어졌는데, 원고의 개인정보가 2013. 6.경 이전에 유출되었음을 인정할 증거가 없으므로, 앞서 인정한 지연손해금을 초과하는 지연손해금청구는 이유 없다).
5. 결론
그렇다면, 원고의 피고들에 대한 각 청구는 위 인정범위 내에서 이유 있어 이를 인용하고, 나머지 각 청구는 이유 없어 이를 기각하여야 할 것인바, 제1심판결은 이와 결론을 같이 하여 정당하므로 피고들의 항소를 각 기각하기로 하여, 주문과 같이 판결한
판사
재판장판사김래니
판사박성민
판사차주희