사건
2014다20905 위자료
원고,피상고인
피고,상고인
에스케이커뮤니케이션즈 주식회사
판결선고
2018. 6. 28 .
주문
원심판결 중 피고 패소부분을 파기하고, 이 부분 사건을 대구지방법원 합의부에 환송한다 .
이유
상고이유를 판단한다 .
1. 소액사건에서 구체적 사건에 적용할 법령의 해석에 관한 대법원판례가 아직 없는 상황에서 같은 법령의 해석이 쟁점으로 되어 있는 다수의 소액사건들이 하급심에 계속되어 있을 뿐 아니라 재판부에 따라 엇갈리는 판단을 하는 사례가 나타나고 있는 경우에는, 소액사건이라는 이유로 대법원이 그 법령의 해석에 관하여 판단을 하지 아니한 채 사건을 종결한다면 국민생활의 법적 안전성을 해칠 것이 우려된다. 따라서 이와 같은 특별한 사정이 있는 경우에는 소액사건에 관하여 상고이유로 할 수 있는 ' 대법원의 판례에 상반되는 판단을 한 때 ' 의 요건을 갖추지 아니하였더라도 법령해석의 통일이라는 대법원의 본질적 기능을 수행하는 차원에서 실체법 해석 · 적용의 잘못에 관하여 직권으로 판단할 수 있다고 보아야 할 것이다 ( 대법원 2004. 8. 20. 선고 2003다1878 판결, 대법원 2008. 12. 11. 선고 2006다50420 판결 등 참조 ) .
2. 가. 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 2012. 2. 17. 법률 제11322호로 개정되기 전의 것, 이하 ' 구 정보통신망법 ' 이라 한다 ) 제28조 제1항은 정보통신서비스 제공자가 개인정보를 취급할 때에는 개인정보의 분실 · 도난 · 누출 · 변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 그 각 호의 기술적 · 관리적 보호조치를 하여야 한다고 규정하고 있다. 이어 위 조항은 그 각 호로 ' 1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립 · 시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 · 운영 3. 접속기록의 위조 · 변조 방지를 위한 조치 4. 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치 5. 백신 소프트웨어의 설치 · 운영 등 컴퓨터 바이러스에 의한 침해 방지조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치 ' 를 규정하고 있다. 그리고 구 정보통신망법 제28조 제1항의 위임을 받은 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 ( 2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것, 이하 ' 구 정보통신망법 시행령 ' 이라 한다 ) 제15조는 정보통신서비스 제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 위와 같은 기술적 · 관리적 조치를 보다 구체적으로 규정하고 있다. 따라서 정보통신서비스 제공자는 구 정보통신망법 제28조 제1항 등에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적 · 관리적 조치를 취하여야 할 법률상 의무를 부담한다 .
나아가 정보통신서비스 제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스 제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실 · 도난 · 누출 · 변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다 .
나. 그런데 정보통신서비스가 ' 개방성 ' 을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스 제공자가 구축한 네트워크나 시스템과 그 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ' 해커 ' 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다. 또한, 해커 등은 여러 공격기법을 통해 정보통신서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적이다. 이처럼 정보통신서비스 제공자가 취해야 할 개인정보의 안전성 확보에 필요한 보호조치에 관해서는 고려되어야 할 특수한 사정이 있다 .
그러므로 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종 · 영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로
기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다 .
다. 특히 구 정보통신망법 시행령 제15조 제6항은 " 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다. " 라고 규정하고 있다. 이에 따라 방송통신위원회가 마련한 「 개인정보의 기술적 · 관리적 보호조치 기준 」 ( 방송통신위원회 고시 제2011 - 1호, 이하 ' 이 사건 고시 ' 라 한다 ) 은 해킹 등 침해사고 당시의 기술 수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항 등에 따라 준수해야 할 기술적 · 관리적 보호조치를 구체적으로 규정하고 있다. 그러므로 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다 ( 대법원 2015. 2. 12. 선고 2013다43994, 44003 판결 등 참조 ) .
라. 다만, 이 사건 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다. 따라서 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다. 나아가 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다고 하더라도, 불법행위에 도움을 주지 말아야 할 주의의무를 위반하여 타인의 불법행위를 용이하게 하였고 이러한 방조행위와 불법행위에 의한 피해자의 손해 발생 사이에 상당인과관계가 인정된다면 민법 제760조 제3항에 따른 책임을 면할 수 없다 ( 대법원 2007. 6. 14. 선고 2005다32999 판결 등 참조 ) .
3. 원심판결 이유 및 원심이 적법하게 채택한 증거들에 의하면 다음과 같은 사실 또는 사정을 알 수 있다 .
가. 원고는 정보통신서비스 제공자인 피고와 서비스 이용계약을 체결하고 피고가 제공하는 온라인 서비스인 네이트와 싸이월드에 회원으로 가입하면서, 피고의 서비스 이용약관에 따라 피고에게 이름, 주민등록번호, 아이디, 비밀번호, 전화번호, 이메일 주소 등의 개인정보를 제공하였다 .
나. 2011. 7. 말경 피고의 서버에 해킹사고 ( 이하 ' 이 사건 해킹사고 ' 라 한다 ) 가 발생하여 네이트 · 싸이월드 회원들의 개인정보가 유출되었는데, 경찰수사결과에 의하면 중
국에 거주하는 것으로 추정되는 인적사항을 알 수 없는 해커 ( 이하 ' 이 사건 해커 ' 라 한다 ) 가 아래와 같은 경로로 네이트 · 싸이월드 회원정보가 저장되어 있는 데이터베이스 서버 ( 이하 ' 이 사건 DB 서버 ' 라 한다 ) 에 침입하여 여기에 저장되어 있던 회원들의 개인정보를 유출해 간 것으로 파악된다 .
( 1 ) 주식회사 이스트소프트 ( 이하 ' 이스트소프트 ' 라 한다 ) 는 파일 압축 프로그램인 알집을 국내 공개용, 국내 기업용, 공공기관용, 교육기관용, PC방용, 해외용 등으로 구분하여 공급하고 있다. 그 중 공개용 알집은 기업용 등 다른 제품과 달리 무료로 배포하는 대신 공개용 알집을 실행할 경우 프로그램 창의 상단에 광고가 게시되도록 하여 이를 통해 이익을 얻고 있다. 공개용 알집에는 위와 같이 광고가 게시될 수 있도록 광고콘텐츠 서버로부터 광고 내용을 불러와서 이를 실행하는 역할을 하는 ' ALAD. dll ' 이라는 파일이 포함되어 있어서, 공개용 알집을 최초로 설치하거나 업데이트하는 경우 위 ALAD. dll 파일이 이스트소프트의 알집 업데이트 서버로부터 사용자의 컴퓨터에 다운로드된다 .
( 2 ) 이 사건 해커는 정상적인 ALAD. dll 파일이 아닌, 같은 이름의 악성 프로그램인 ALAD. dll 파일을 만든 다음 알집 업데이트 웹사이트의 ISAPI 필터에 stmpxml. dll 파일을 등록하였다. 위 stmpxml. dll 파일이 ISAPI 필터에 등록되면 피고 등 선별된 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우, 이스트소프트가 설정한 본래의 다운로드 경로가 아니라 해커가 설정한 악성 프로그램 유포지에서 ALAD. dll을 다운로드받게 된다. 위 ALAD. dll은 악성 프로그램인 ALAD. exe을 생성 · 실행시키고, 이는 다시 키로깅 ( keylogging, 사용자가 키보드로 컴퓨터에 입력하는 내용을 몰래 가로채는 해킹 기법 ) 프로그램인 Nateon. dll 파일을 실행시켜 키보드 입력값이 컴퓨터에 파일로 저장되게 하는 악성 프로그램이다. 이에 따라 2011. 7. 18. 08 : 58 : 27 경 피고의 컴퓨터가 알집 업데이트 과정에서 악성 프로그램인 위 ALAD. dll 파일을 최초로 다운로드받았다 .
( 3 ) 또한 이 사건 해커는 2011. 7. 21. 00 : 40경 피고의 데이터베이스 ( 이하 ' DB ' 라 한다 ) B팀 소속 직원인 C의 컴퓨터에 윈도우 예약작업을 이용하여, 해커가 미리 설정해 놓은 임의의 도메인에 역접속을 시도하는 기능을 가진 악성프로그램인 nateon. exe를 유포하였다. 이에 따라 2011. 7. 21. 02 : 02경 C의 컴퓨터가 nateon. exe에 감염되었다 . ( 4 ) 이 사건 해커는 ① 2011. 7. 26. 02 : 07경 C의 컴퓨터를 경유하여 피고의 D의 아이디로 게이트웨이 서버에 접속한 후 이 사건 DB 서버에 침입하였고, ② 같은 날03 : 42경부터 같은 날 05 : 41경까지 이 사건 DB 서버에 저장되어 있는 개인정보를 덤프 ( dump ) 파일로 생성하여 압축한 다음 이를 게이트웨이 서버에 내려받았으며, ③ 같은 날 06 : 21경부터 2011. 7. 27. 06 : 30경까지 파일전송 프로토콜 ( File Transfer Protocol , 인터넷을 통해 컴퓨터 간에 파일을 송수신하는 데 사용되는 통신규약, 이하 ' FTP ' 라 한다 ) 을 이용하여 위 개인정보 파일을 게이트웨이 서버에서 C의 컴퓨터와 D의 컴퓨터로 내려받은 다음 이를 대한민국 내 경유지인 에듀티에스 사이트를 거쳐 중국으로 전송하였다 .
다. 이 사건 해킹사고 당시 피고는 침입차단 및 탐지의 목적으로 주식회사 안철수연 구소, 인포섹 주식회사 등과 개인정보시스템에 대한 침입차단시스템 · 침입탐지시스템 설치, 유지보수 및 증설계약 등을 체결하여 침입차단시스템 · 침입탐지시스템을 설치 · 운영하고 있었다 .
라. 이외에도 피고는 와이즈허브 시스템즈의 디엘피 솔루션 ( Data Loss Prevention Solution, 기밀 또는 중요 정보의 유출을 차단 · 예방하는 활동을 구현한 하드웨어 또는 소프트웨어. 이하 ' DLP 솔루션 ' 이라 한다 ) 을 설치 · 운영하고 있었다. 이는 사용자 PC에 저장된 전자문서 및 데이터가 외부로 유출되는 것을 탐지 또는 차단, 로그를 생산하여 자료의 유출을 방지하고 감시 및 추적 기능을 제공하는 자료유출방지시스템이다. 위 DLP 솔루션은 이름, 주소, 전화번호, 이메일주소, 주민등록번호, 계좌번호 등 특정 패턴의 정보가 들어 있는 파일을 식별할 수 있고, 이들 정보가 특정 건수 이상 유출될 경우에는 관리자에게 경고를 발송하거나 유출을 차단시키는 등의 기능이 있었다 .
마. 그런데 피고가 설치 · 운영하고 있던 침입탐지시스템과 DLP 솔루션은 이 사건 해킹 사고 당시 위와 같은 개인정보의 유출을 탐지하지 못하였다 .
4. 원심은 위와 같은 사실관계를 기초로 다음과 같이 피고가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 · 계약상 의무를 위반하였다고 판단하였다 .
가. 대용량 개인정보의 유출 탐지와 방지를 위한 기술적 · 관리적 보호조치의무 위반 ( 1 ) 피고는 개인정보에 대한 불법적인 접근 및 유출을 차단하기 위하여 개인정보가 보관된 DB의 접속내역 및 DB에 접속하여 수행하는 업무내역을 감시 ( 모니터링 ) 하고 , 통상적으로 수행되는 업무와 다른 형태의 업무가 수행되거나 비정상적인 트래픽이 발생할 경우 이를 탐지하여 보안관리자에게 즉시 경고함으로써 보안관리자가 이에 대해 조처를 할 수 있도록 하는 침입탐지시스템을 갖출 법률상 · 계약상 의무가 있다 . ( 2 ) 피고는 이 사건 해킹사고 당시 침입차단시스템과 침입탐지시스템을 설치 · 운영하고 있었으나, 피고가 설정한 침입탐지시스템의 수준이 지나치게 완화되어 있어서 개인정보를 보호하기에 매우 부족한 수준이었다 . ( 3 ) 따라서 피고는 구 정보통신망법 제28조 제1항, 같은 법 시행령 제15조 및 이용자의 개인정보보호를 위한 적절한 보안시스템의 구축과 기술적 · 관리적 보호조치를 취할 계약상의 의무를 위반하여 개인정보에 대한 불법적인 접근을 차단하기 위한 침입탐 지시스템을 적절히 운영하지 못한 잘못으로 이 사건 해킹사고 당시 개인정보의 유출을 탐지하지 못하였다고 봄이 타당하다 .
나. 게이트웨이 서버와 DB 서버 관리자 PC에 보안상 취약한 FTP 방식의 프로토콜을 설정한 잘못 ( 1 ) 피고가 제정하여 내부적으로 시행해 온 개인정보보호 업무지침서 제26조 제4항 에는 " 개인정보 접근 PC에 대한 NULL session 접근이 불가능하도록 보안설정을 하고 , telnet 및 ftp 서비스 등 보안상 취약한 서비스는 제공하지 않도록 한다. " 고 규정되어 있다. NULL session 접근이란 사용자인증을 거치지 않고 시스템에 접근하는 것을 말한다 .
( 2 ) 그럼에도 피고는 보안상 취약한 FTP가 게이트웨이 및 개인정보 접근권한이 있는 컴퓨터에서 기능하도록 하였다 .
( 3 ) 이로써 피고는 이 사건 해커가 FTP 방식으로 개인정보가 대량으로 외부에 유출되도록 하는 데에 기여하였다고 봄이 타당하다 .
다. 피고 직원 컴퓨터에서 기업용이 아닌 국내 공개용 알집을 사용하는 것을 방지하지 않은 잘못 ( 1 ) 이스트소프트의 라이센스 정책에 의하면 국내 공개용 알집은 개인이 가정에서 사용하는 용도로만 무료로 제공되며, 피고와 같은 기업은 국내 기업용 알집을 유료로 구매 또는 대여하여 사용하여야 한다 .
( 2 ) 그럼에도 피고는 직원들이 국내 공개용 알집을 사용하는 것을 방지하지 않은 잘못으로 이스트소프트의 알집 저작권을 침해하였다 . ( 3 ) 국내 공개용 알집이 이 사건 해킹사고의 도구로 이용된 점, 국내 공개용 알집이 국내 기업용 알집보다. 보안이 취약하여 국내 공개용 알집을 사용할 경우 개인정보 유출 가능성이 증가하는 점 등에 비추어 볼 때, 피고가 직원들의 공개용 알집의 사용을 방지하지 않은 잘못과 이 사건 해킹사고 발생 사이에 상당인과관계를 인정할 수 있다 .
라. 보안강도가 낮은 개인정보 암호화 방식을 사용한 잘못 ( 1 ) 피고는 구 정보통신망법 제28조 제1항 제4호, 같은 법 시행령 제15조 제4항 제1 호, 이 사건 고시 제6조에 따라 개인정보를 안전한 방법으로 암호화하여 저장하여야 하고, 특히 비밀번호의 경우 일방향 해쉬함수를 통해 암호화하여 안전하게 저장할 의무가 있다 .
( 2 ) 피고는 이 사건 해킹사고 발생 당시 MD5 방식의 해쉬함수를 이용하여 회원들의 비밀번호를 암호화하여 저장하고 있었는데, MD5는 그 보안강도가 다른 해쉬함수에 비해 낮아서 일반적으로 권고되지 않는 암호화 방법이다 . ( 3 ) 따라서 피고는 비밀번호 등 개인정보를 안전한 방법으로 저장할 의무를 위반하였다고 봄이 타당하다 .
5. 그러나 원심판결 이유를 앞에서 본 법리에 비추어 살펴보면, 원심의 판단은 다음과 같은 이유에서 그대로 수긍하기 어렵다 .
가. 먼저 국내 공개용 알집 프로그램의 사용에 관한 원심의 판단을 살펴본다 . 앞에서 본 법리에 비추어 보면, 정보통신서비스 제공자가 직원들로 하여금 보안에 취약하여 해킹도구로 악용될 우려가 있는 프로그램을 사용하지 않도록 하는 것은, 비록 이 사건 고시에서 정하고 있는 기술적 · 관리적 보호조치에는 해당하지 않으나, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치에 해당한다. 따라서 정보통신서비스 제공자가 이러한 보호조치를 다하지 아니하였다면 위법행위로 평가될 수 있다. 또한 정보통신서비스 제공자가 이러한 보호조치를 미이행하여 제3자가 이와 같이 보안에 취약한 프로그램을 해킹도구로 악용하여 개인정보 도난 등의 행위를 하는 것을 용이하게 하였다면 이는 불법행위에 도움을 주지 말아야 할 주의의무를 위반한 것이다. 만약 이러한 방조행위와 피방조자의 불법행위 사이에 상당인과관계가 인정된다면 공동불법행위자로서의 책임을 면할 수 없다 .
그러나 원심이 인정한 것과 같이 국내 공개용 알집 프로그램이 보안에 취약한 프로그램이고 피고에게 직원들의 위 프로그램 사용을 방지하지 못한 과실이 있다고 하더라도, 피고가 이스트소프트의 저작권이 침해된다는 것을 넘어서서 이 사건 해킹사고와 같이 알집 업데이트 사이트가 변조되어 알집 업데이트 과정에서 악성 프로그램을 다운로드받게 됨으로써 해킹수단으로 이용될 것까지 구체적으로 예견할 수 있었다고 인정하기 어렵다 .
또한 다음과 같은 사정들을 종합해 보면, 이 사건 해킹사고 당시 피고의 직원들이 국내 기업용 알집을 사용하고 있었는지 아니면 국내 공개용 알집을 사용하고 있었는지와 관계없이 업데이트 과정에서 악성 프로그램인 ALAD. dll 파일을 내려받아 키로깅 프로그램인 Nateon. dll 파일이 실행되었을 가능성을 배제하기도 어렵다 .
①① 국내 기업용 알집 프로그램도 업데이트 시 업데이트 서버로부터 국내 공개용 알집 프로그램과 동일한 ALAD. dll 파일이 포함된 업데이트 파일을 전송받고, 공개용 알 집과 기업용 알집의 업데이트 서버가 같다 .
② 국내 기업용 알집 프로그램은 국내 공개용 알집 프로그램과는 달리 ALAD AD. dll 파일을 사용하지 않도록 프로그램되어 있다. 그러나 이 사건 해커가 만든 악성 프로그램의 파일 이름이 ALAD. dll로 국내 공개용 알집 프로그램의 업데이트 과정에서 다운로드 되는 파일과 동일하기는 하나, 이는 키로깅 프로그램을 실행시키도록 하는 파일이다 .
따라서 국내 기업용 알집이 위와 같이 프로그램되어 있다고 하여 악성 프로그램인 ALAD. dll 파일도 실행되지 않았을 것이라고 단정하기는 어렵다 .
따라서 피고에게 위와 같은 과실이 있다고 하더라도 그 과실과 이 사건 해킹사고로 인하여 원고가 입은 손해 사이에 상당인과관계가 인정된다고 보기 어렵다 .
그럼에도 불구하고 원심은 그 판시와 같은 이유만으로 피고의 과실과 이 사건 해킹 사고로 원고가 입은 손해 사이에 상당인과관계가 인정된다고 판단하였다. 이러한 원심판단에는 상당인과관계에 관한 법리를 오해하여 판결에 영향을 미친 위법이 있다. 이점을 지적하는 상고이유 주장은 이유 있다 .
나. 원심의 나머지 판단 부분 역시 다음과 같은 이유로 수긍하기 어렵다 . ( 1 ) 원심이 적법하게 채택한 증거들과 기록에 의하면, 다음과 같은 사정을 알 수 있( 가 ) 대용량 개인정보의 유출 미탐지 등과 관련하여
① 이 사건 해킹사고 당시 피고는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 이 사건 고시 등 관련 법령에 따라 침입차단시스템과 침입탐지시스템을 설치 · 운영하고 있었고, 위 시스템에는 이 사건 고시 제4조 제5항 제, 2호에서 정한 기능이 포함되어 있었다 .
② 이외에도 피고는 자료유출방지 시스템인 DLP 솔루션을 설치 · 운영하고 있었으나, 당시 DLP 솔루션은 command 상태 ( 일명 DOS창 ) 에서 FTP명령을 실행하여 파일을 전송할 경우 이름, 주소, 전화번호, 이메일 주소 등 개인정보 유출을 탐지하지 못하는 프로그램 오류 ( bug ) 가 있었다. 또한 이 사건 해킹 사고 당시 DLP 솔루션의 설치는 피고와 동종업계 사업자들 사이에서 보편적으로 사용되던 기술적 조치는 아니었다 .
③ 이 사건 해커는 이 사건 DB 서버에 침입하여 이용자들의 개인정보를 덤프 파일로 생성 · 압축하였기에 그 파일 용량이 10GB 정도에 불과하였다 .
④ 한편 구 정보통신망법 제46조의3 제1항, 「 정보보호조치 및 안전진단 방법 · 절차 · 수수료에 관한 지침 」 ( 방송통신위원회 고시 제2010 - 3호 ) 제5조 제1항 [ 별표 3 ] 에 의하면, ' 주요정보통신서비스 제공자 및 인터넷접속역무 제공자 ' 와 ' 집적정보통신시설 사업자 ( 단, 집적정보통신시설재판매사업자 제외 ) ' 는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 기술적 보호조치 중 하나인 ' 트래픽 모니터링 ' ( 2. 1. 1. ) 에 대한 안전진단을 받아야 할 의무가 있는데, 피고는 위와 같은 사업자에 해당하지 않는다 . ( 나 ) FTP 방식의 프로토콜 설정과 관련하여
① 피고의 개인정보보호 업무지침서 제26조 제4항은 개인정보 접근 PC에서 FTP 서비스를 제공하는 행위, 즉 개인정보 접근 PC를 FTP 서버로 설정하는 행위를 금지하고 있다 .
② 그런데 이 사건 해킹사고는 개인정보 접근 PC에서 FTP 서비스를 제공함으로써 발생한 것이 아니라 해커가 개인정보 접근 PC를 FTP 클라이언트로 사용하여 개인정보를 전송한 것이다 .
③ 한편 이 사건 해킹사고 당시 FTP 프로그램이 아니더라도 네이트온 등의 메신저 , 대용량 웹 메일서비스, 웹서버 업로드, 간이 전자우편 전송 프로토콜 ( Simple Mail Transfer Protocol ) 등 다양한 프로그램이나 방식을 이용하여 대량정보 전송이 가능했다 .
( 다 ) 개인정보 암호화 방식과 관련하여
① 구 정보통신망법 제28조 제1항 제4호에서는 ' 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치 ' 를 하여야 한다고 규정하고 있고, 이에 따라 같은 법 시행령 제15조 제4항 제1, 2호 및 이 사건 고시 제6조 제1, 2항에서는 비밀번호는 일방향 암호화하여, 주민등록번호는 암호화하여 각 저장하도록 규정하고 있다. 일방향 암호화란 원래의 자료에 함수를 적용하여 얻은 결과 ( 이를 ' 해쉬 값 ' 이라 한다 ) 를 구하는 것은 간단하지만, 해쉬 값에서 원래의 자료를 구하는 것은 어려운 특성이 있는 일방향 해쉬함수를 통해 암호화하는 것을 의미한다 .
② 방송통신위원회와 한국인터넷진흥원이 2009년도에 발간한 이 사건 고시 해설서에서는 2010년까지는 보안강도 80 비트 이상의 해쉬함수를, 2011년 이후에는 보안강도 112비트 이상의 해쉬함수를 각 사용할 것을 권고하고 있다. 그러나 80비트 이하의 보안강도를 가진 SHA - 1도 현재 광범위하게 사용되고 있으며, 그 안전성 유지기간이 2010년까지라고 기재되어 있다 .
③ 이 사건 해킹사고 당시 피고는 이 사건 고시 제6조 제1, 2항에 따라 이용자의 비밀번호를 일방향 암호화하고, 주민등록번호도 별도로 암호화하여 저장 · 관리하고 있었다. 다만, MD5는 보안강도가 80비트 이하인 일방향 해쉬함수를 사용한 암호화 방식이다 .
④ 한편 암호화 방식에 따라 암호를 해독하는 데 걸리는 시간이 다를 뿐 어떠한 암호화 방식을 사용하더라도 암호화된 자료를 원래의 자료대로 만드는 것이 결국에는 가능하다. 따라서 설령 피고가 비밀번호를 MD5가 아닌 다른 해쉬함수를 이용하여 암호 화하였다고 하더라도, 이 사건 해킹사고를 통해 암호화된 상태로 유출된 원고의 개인 정보는 원래의 자료대로 노출될 가능성이 상당하다 . ( 2 ) 이와 같이 이 사건 해킹사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 피고의 업종 · 영업규모와 피고가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성 등을 종합적으로 살펴보면, 원심 판시와 같이 이 사건 해킹사고 당시 피고가 설치 · 운영하고 있던 침입탐지시스템이나 DLP 솔루션 이 개인정보 유출을 탐지하지 못했고 게이트웨이 서버 등에 FTP 클라이언트 프로그램이 설치되어 있었으며 MD5 방식의 해쉬함수를 이용한 암호화 방식으로 이용자들의 비밀번호를 저장하고 있었다고 하더라도, 그러한 사정만으로는 피고가 이 사건 해킹사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하지 않았다고 볼 수 없다. 따라서 피고가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다 . ( 3 ) 그런데도 원심은 피고가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 · 계약상 의무를 위반하였다고 판단하였다. 이러한 원심의 판단에는 구 정보통신망법 제28조 제1항 제2호의 해석 등에 관한 법리를 오해하여 판결에 영향을 미친 위법이 있다 .
이 점을 지적하는 상고이유 주장은 이유 있다 .
6. 그러므로 원심판결 중 피고 패소부분을 파기하고, 이 부분 사건을 다시 심리 · 판단하도록 원심법원에 환송하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다 .
대법관
재판장 대법관 박상옥
대법관김신
대법관이기택
주 심 대법관 박정화