서울중앙지방법원 2012.11.23.선고 2011가합90267 판결

beta

사건

원고

텍스트 조절

글꼴

크기(pt)

굵기

줄 간격

자간(%)

서울중앙지방법원 2012.11.23.선고 2011가합90267 판결

손해배상(기)

사건

2011가합90267 손해배상 ( 기 )

원고

별지 원고 명단 기재와 같다 .

원고들 소송대리인 법무법인 대륙아주

담당변호사 김형우

피고

1. 00000000000 주식회사

서울

대표이사 이 * *

소송대리인 변호사 전원열, 김진환, 이준희, 이언석, 지성호

2. 주식회사 □□□□□□

서울

대표이사 김 * *

소송대리인 법무법인 지후

담당변호사 마명원

3. 대한민국

법률상 대표자 법무부장관 권재진

소송대리인 정부법무공단

담당변호사 박시준

변론종결

2012. 11. 9 .

판결선고

2012. 11. 23 .

주문

1. 원고 박□□, 신□□, 윤□□, 조□□, 지□□, 지○○의 피고들에 대한 각 소를 각 하한다 .

2. 원고 박□□, 신□□, 윤□□, 조□□, 지□□, 지○○을 제외한 나머지 원고들의 피고들에 대한 각 청구를 기각한다 .

3. 소송비용은 원고들이 부담한다 .

청구취지

피고들은 각자 원고들에게 각 500, 000원 및 이에 대하여 2011. 7. 26. 부터 피고들에 대

한 이 사건 소장 부본 최종 송달일까지는 연 5 %, 그 다음날부터 다 갚는 날까지는 연

20 % 의 각 비율로 계산한 돈을 지급하라 .

이유

1. 기초사실

다음의 사실은 당사자 사이에 다툼이 없거나, 갑 제1호증 내지 제5호증, 갑 제7, 8호증, 을가 제31호증의 1, 2의 각 기재에 변론 전체의 취지를 종합하면, 이를 인정할 수 있다 .

가. 당사자의 지위 ( 1 ) 피고 ○○○○○○○○○○○ 주식회사 ( 이하 ' 피고 ○○○○ ' 라 한다 ) 는 인터넷 상에서 검색, 커뮤니티 등을 기반으로 각종 정보를 제공하는 포털서비스사업을 하는 회사로, ▼▼▼ ( * * * * ), ▼▼▼온 ( * * * * ON ), ▽▽▽▽ ( * * * * * * * ) 와 같은 온라인 서비스를 제공하고 있다 .

( 2 ) 피고 주식회사 □□□□□□ ( 이하 ' 피고 □□□□□□ ' 라 한다 ) 는 소프트웨어 개발 및 제조 공급업 등을 하는 회사로, 저장 용량을 줄이기 위해 파일을 압축하는 프로그램인 國, 컴퓨터 바이러스나 악성 코드 등을 미리 예방하거나 찾아내 제거하는 보안 프로그램인 AA 등을 개발하여 무료 또는 유료로 제공하고 있다 . ( 3 ) 피고 대한민국 산하 기관인 방송통신위원회는 방송통신위원회의 설치 및 운영에 관한 법률에 의해 설립된 중앙행정기관으로, 방송 · 통신 이용자 보호정책의 수립 등을 그 주요 기능의 하나로 하고 있다 .

( 4 ) 원고 이○○, 이□□을 제외한 나머지 원고들은 피고 OOOO가 제공하는 ▼▼▼와 ▽▽▽▽의 한쪽 또는 양쪽 서비스에 가입한 사람들로, 그 가입 당시 피고 ○ ○○○에 아이디 ( ID ), 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호 , 주소 등 개인정보를 제공하였다 .

나. 피고 OOOO가 제공하는 서비스의 내용 ( 1 ) ▼▼▼는 검색, 뉴스, 이메일, UCC ( User Created Contents ) 공유 서비스, 만화 등을 제공하는 포털사이트로, 2012. 6. 경 현재 약 3, 500만 명의 가입자가 이용하고 있다. ▼▼▼를 통하여 제공되는 검색, 뉴스, 이메일, UCC 공유 서비스 등은 무료로 제공 되고, 일부 무료로 제공되는 만화를 제외하면, ▼▼▼ 만화 서비스는 정액제 또는 권단위로 유료로 제공된다 .

( 2 ) ▼▼▼온은 ▼▼▼에서 제공하는 인스턴트 메신저 ( Instant Messenger ) 로, 인터넷과 같은 네트워크를 통해 연결된 두 명 이상의 이용자 사이에 즉각적인 문자 통신을 가능하게 해주는 프로그램이다. ▼▼▼온을 통해 이용자 사이에 문자, 쪽지 및 파일을 전송할 수 있으며, ▼▼▼나 ▽▽▽▽ 서비스를 통합적으로 이용할 수 있는데, 이러한 서비스는 무료로 제공된다 .

( 3 ) ▽▽▽▽는 인터넷을 기반으로 하여 사람들이 기존의 인적 관계를 강화하거나 새로운 인적 관계를 형성할 수 있도록 해주는 소셜 네트워크 서비스 ( Social Network Service ) 로, 2012. 6. 경 현재 약 2, 600만 명의 가입자가 이용하고 있다. ▽▽▽▽의 이용자들은 각자 홈페이지 ( 미니홈피 ) 를 운영하면서 글이나 사진을 게시하고, 배경음악을 설정하며, 방명록 등을 통해 다른 이용자와 소통할 수 있고, 공동의 커뮤니티 홈페이지 ( ▽▽▽▽ 클럽 ) 를 통해 서로의 관심사와 개성을 공유할 수 있다. 이용자의 컴퓨터 또는 휴대폰 등에서 사용할 수 있는 프로그램 ( 앱 ) 을 구매할 수 있는 앱스토어, 홈페이지 ( 미니홈피 ) 를 꾸미는 데 필요한 디지털 콘텐츠 ( 아이템 ) 등을 구매할 수 있는 선물가게 , 홈페이지 ( 미니홈피 ) 에 설정할 배경음악이나 컴퓨터 또는 휴대폰 등을 통해 감상할 음원을 구매하거나 재생할 수 있는 ▽▽▽▽ 뮤직 등에서 제공하는 서비스는 기본적으로 유료로 제공된다 .

다. 해킹 사고의 발생( 1 ) 중국에 거주하는 것으로 추정될 뿐 인적사항을 알 수 없는 해커 ( 이하 ' 이 사건 해커 ' 라 한다 ) 는 2011. 7. 21. 00 : 40경 피고 OOOO DB기술팀 직원인 김△△의 컴퓨터에 윈도우 예약작업을 이용하여, 이 사건 해커가 미리 설정해놓은 임의의 도메인인' * * * * on. duamlive. com ' 에 역접속을 시도하는 기능을 가진 악성프로그램을 유포하고 , 2011. 7. 26. 부터 2011. 7. 27. 까지 중국 내 불상지에서 자신의 컴퓨터로 김△△의 컴퓨터에 원격접속하여 피고 ○○○○ 정보통신망에 침입하였으며, ▼▼▼ 회원정보가 저장되어 있는 데이터베이스 서버, ⑦⑦⑦⑦ 회원정보가 저장되어 있는 데이터베이스 서버, 중복 저장 회원정보가 저장되어 있는 데이터베이스 서버에 침입하여 위 각 서버에서 처리, 보관하고 있는 개인정보를 아이피 주소 ' 211. 115. * * *. * * ' 이 할당된 컴퓨터인 00000 서버 ( www. # # # # #. co. kr ) 로 전송 ( 이하 ' 이 사건 해킹 사고 ' 라 한다 ) 하였다 . ( 2 ) 이 사건 해킹 사고를 통하여 ▼▼▼ 또는 ▽▽▽▽의 회원 중 34, 954, 887명의 개인정보가 유출되었는데, 유출된 개인정보에는 아이디, 비밀번호, 주민등록번호, 성명 , 생년월일, 이메일 주소, 전화번호, 주소가 포함되어 있고, 가입 당시 혈액형, 닉네임 등을 입력한 일부 회원들의 경우 위 혈액형, 닉네임 등도 포함되어 있다 . ( 3 ) 피고 ○○○○는 2011. 7. 28. 이 사건 해킹 사고를 경찰과 방송통신위원회에 신고하였고, ▼▼▼와 ▽▽▽▽ 회원들에게 이 사건 해킹 사고로 인한 개인정보 유출 사실을 공지하였다 .

라. 경찰의 수사 결과 ( 1 ) 경찰은 2011. 7. 28. 이 사건 해킹 사고에 대한 수사에 착수하였는데, 경찰의 수사 결과에 의하면, 이 사건 해커는 다음과 같은 경로로 ▼▼▼와 ▽▽▽▽ 회원들의 개인정보를 유출한 것으로 파악된다 .

( 가 ) 피고 □□□□□□는 압축 프로그램인 國 중 국내 공개용의 경우 무료로 배포하는 대신, 프로그램 실행시 프로그램 창의 일부에 광고가 게시되도록 하여 수익을 얻고 있는데, 피고 □□□□□□는 위 광고를 교체하기 위해 ▩▩ 업데이트 서버를 이용하여 ▩▩ 프로그램에 ALAD. dll이라는 파일을 전송한다 . ( 나 ) 이 사건 해커는 정상적인 ALAD. dll 파일이 아닌, 동일한 이름의 악성 프로그램인 ALAD. dll 파일을 만들었고, 이를 피고 □□□□□□의 ▩▩ 업데이트를 통해 국내 공개용 ▩▩의 사용자 컴퓨터에 설치하기 위해 다음과 같이 피고 □□□□□□의 ▩▩ 업데이트 서버를 이용하였다 .

( 다 ) 이 사건 해커는 중국 내에 소재한 컴퓨터에 경유지를 설정하기 위한 목적으로 자신의 ' Y ' 드라이브를 공유한 채, 원격데스크톱 연결을 하였고, ' Y ' 드라이브에 저장되어 있던 ' \ Y \ myxxx \ sb \ danggian \ stmpxml. dll ' 파일을 33 업데이트 서버 중 하나에 최초 복사하여 화 업데이트 웹사이트의 ISAPI 필터1 ) 에 stmpxml. dll 파일을 등록시켰으며, 이를 다시 ▩▩ 업데이트 서버 중 다른 4개의 서버에 복사하여 같은 방법으로 ISAPI 필터에 stmpxml. ld dll 파일을 등록하였다 . ( 라 ) stmpxml. dll 파일이 ISAPI 필터에 등록되면, 피고 ○○○○ 등 선별된 IP 주소에서 사용되는 컴퓨터가 ▩▩ 업데이트를 요청하는 경우, 피고 □□□□□□가 설정한 본래의 다운로드 경로인 ' http : / / aldn. * * * * * * *. co. kr ' 이 아닌, 이 사건 해커가 설정한 악성 프로그램 유포지인 ' http : / / inexon. softsforum. org ' 에서 악성 프로그램인 ALAD. dll 파일을 다운로드 받게 된다. 악성 프로그램인 ALAD. dll 파일이 다운로드되면, 위 파일은 악성 프로그램인 ALAD. exe 파일을 생성, 실행시키고, 위 프로그램은 키로깅 ( keylogging ) 프로그램인 * * * * on. exe 프로그램을 실행시켜 키보드 입력값이 컴퓨터에 파일로 저장되게 한다 .

( 마 ) 2011. 7. 18. 08 : 58 : 27경 피고 ○○○○의 컴퓨터가 ▩▩ 업데이트 과정에서 ' http : / / inexon. softforum. org ' 에서 악성 프로그램인 ALAD. dll 파일을 최초로 다운로드 받았고, 그 후 2011. 7. 20. 14 : 59경 피고 ○○○○ 직원 김△△의 컴퓨터에 * * * * on. exe 파일이 생성되어 2011. 7. 21. 02 : 02 경 * * * * on. exe에 감염되었으며, 2011 . 7. 23. 13 : 09경 김△△의 컴퓨터가 update. exe 파일과 windowsrpc. dll 파일을 실행하였다 .

( 바 ) 그 후 2011. 7. 26. 02 : 07경 이 사건 해커가 사용한 컴퓨터가 김△△의 컴퓨터를 경유하여 게이트웨이 서버에 이◎◎의 DB 관리자 아이디로 접속하였다 . ( 사 ) 이 사건 해커는 피고 ○○○○의 서버에 침입하여 개인정보를 덤프 파일로 생성하여 압축한 다음, 이를 게이트웨이 서버에 내려받고, 김△△의 컴퓨터와 이◎◎의 컴퓨터로 내려받아 이를 피고 대한민국 내 경유지인 00000 사이트를 경유하여 중

국으로 전송하였다. 그 자세한 유출 경로는 다음과 같다 .

1 ) ▼▼▼ 회원의 개인정보 유출 경로

이 사건 해커는, 2011. 7. 26. 03 : 42경 custdb2 컴퓨터에서 리눅스 DB백업 명령어인 exp 명령으로 ▼▼▼ 회원 개인정보 DB를 ' / data / cust. dmp ' 라는 덤프 포맷 파일로 저장하였고, 04 : 18경 pinfodb 컴퓨터에서 서로 다른 컴퓨터 사이에 파일을 복사하는 명령어인 scp 명령으로 custdb2에 저장된 ' / data / cust. dmp ' 파일을 / BACKUP 경로에 내려받았으며, 04 : 25경 pinfodb 컴퓨터에서 ' / BACKUP / cus. dmp ' 파일을 ' / BACKUP / cus. dmp. bz2 ' 파일로 압축하였고, 05 : 36경 pinfodb에 저장된 ' / BACKUP / cus. dmp. bz2 ' 파일을 게이트웨이 서버의 C : \ temp에 내려받았으며, 06 : 22경 김△△의 컴퓨터에서 게이트웨이 서버에 저장된 ' C : Wtempwcus. dmp. bz2 ' 파일을 내려받았고, 06 : 33경 김△△의 컴퓨터에 저장된 ' cus. dmp. bz2 ' 파일을 00000 사이트로 전송하였으며, 10 : 03경 00000 사이트에서 중국으로 ' cus. dmp. bz2 ' 파일을 전송하였다 .

2 ) ▽▽▽▽ 회원의 개인정보 유출 경로이 사건 해커는, 2011. 7. 26. 04 : 37경 custdb1 컴퓨터에서 exp 명령으로 ▽▽▽▽ 회원 개인정보 DB를 ' / data / cymem. dmp ' 라는 덤프 포맷 파일로 저장하였고 , 05 : 08경 pinfodb 컴퓨터에서 scp 명령으로 custdb1에 저장된 ' / data / cymem. dmp ' 파일을 / BACKUP 경로에 내려받았으며, 05 : 15경 pinfodb 컴퓨터에서' / BACKUP / cymem. dmp ' 파일을 ' / BACKUP / cymem. dmp. bz2 ' 파일로 압축하였고, 05 : 36경 pinfodb에 저장된 ' / BACKUP / cymem. dmp. bz2 ' 파일을 게이트웨이 서버의 C : \ temp에 내려 받았으며, 06 : 21경 김△△의 컴퓨터에서 게이트웨이 서버에 저장된 ' C : Wtempwcymem. dmp. bz2 ' 파일을 내려받았고, 06 : 32경 김△△의 컴퓨터에 저장된 'cymem. dmp. bz2 ' 파일을 00000 사이트로 전송하였으며, 09 : 44경 10000 사이트에서 중국으로 ' cymem. dmp. bz2 ' 파일을 전송하였다 . 3 ) 중복 저장 회원정보의 유출 경로

이 사건 해커는, 2011. 7. 26. 04 : 08경 custdb1 컴퓨터에서 exp 명령으로 ⑦ ▽▽▽ 회원 개인정보 DB를 ' / tmp / pits. dmp ' 라는 덤프 포맷 파일로 저장하였고, 04 : 24경 pinfodb 컴퓨터에서 ' / tmp / pits. dmp ' 파일을 ' / tmp / pits. dmp. bz2 ' 파일로 압축하였으며, 05 : 41경 pinfodb에 저장된 ' / BACKUP / pits. dmp. bz2 ' 파일을 게이트웨이 서버의C : Wtemp에 내려받았으며, 2007. 7. 27. 01 : 13경 이◎◎의 컴퓨터에서 게이트웨이 서버에 저장된 ' C : Wtempwpits. dmp. bz2 ' 파일을 내려받았고, 01 : 30경 이◎◎의 컴퓨터에 저장된 ' pits. dmp. bz2 ' 파일을 10000 사이트로 전송하였으며, 06 : 30경 10000 사이트에서 중국으로 ' pits. dmp. bz2 ' 파일을 전송하였다 . ( 아 ) 한편, 이 사건 해커는 이 사건 해킹 사고 이전에 2010. 7. 7. 경부터 30회에 걸쳐 이 사건 해커가 설정한 도메인에 역접속을 시도하는 기능을 가진 악성 프로그램을 유포시켰고, 2010. 9. 14. 경부터 24회에 결쳐 정당한 접근권한 없이 피고 ○○○○ , 피고 □□□□□□의 각 정보통신망를 비롯한 수 개의 정보통신망에 침입하였다 . ( 2 ) 경찰은 2012. 6. 20. 이 사건 해커에 대해 기소중지 의견으로 서울중앙지방검 찰청에 사건을 송치하였고, 피고 ○○○○의 기술적 · 관리적 조치에 대해서는 관련 법령에서 정한 요건을 위반하지 않은 것으로 판단하였다 .

29. 대통령령 제23104호로 개정되기 전의 것, 이하 ' 정보통신망법 시행령 ' 이라 한다 ) , 개인정보의 기술적 · 관리적 보호조치 기준 ( 2012. 8. 23. 방송통신위원회 고시 제2012 - 50호로 개정되기 전의 것, 이하 ' 이 사건 고시 ' 라 한다 ) 중 이 사건과 관련된 규정은 별지 관련 법령 기재와 같다 .

2. 당사자의 주장

가. 원고들의 주장 요지 ( 1 ) 피고 ○○○○에 대한 주장 ( 가 ) 피고 ○○○○는 그 직원들이 유료로 제공되는 국내 기업용 3 프로그램을 사용하도록 관리할 의무가 있음에도, 그 직원들이 개인 사용자에게 무료로 제공되는 국내 공개용 ▩▩ 프로그램을 사용하는 것을 방치하였는데, 이는 저작권법 위반행위에 해당하고, 피고 ○○○○의 직원들이 자동 광고 업데이트 기능이 포함되지 않은 국내 기업용 ▩▩ 프로그램을 사용하였더라면, 이 사건 해킹 사고가 발생하지 아니하였을 것이므로, 피고 ○○○○가 그 직원들이 국내 공개용 ▩▩ 프로그램을 불법적으로 사용하는 것을 방치함으로써 이 사건 해킹 사고를 초래한 것으로 볼 수 있다 . ( 나 ) 피고 ○○○○는 다음과 같이 서비스 약관과 정보통신망법 등 관련 법령에서 정한 기술적 · 관리적 보호조치를 이행하지 아니하였다 . 1 ) 피고 ○○○○는 전화번호, 주소, 주민등록번호, 혈액형 등 개인정보를 수집하였고, 특히 주민등록번호는 수집하지 않더라도 실명제 운영에 지장이 없음에도, 이를 수집하였는바, 피고 ○○○○는 최소수집의무 등 개인정보 수집에 관한 주의의무를 위반하였다 .

2 ) 국내 공개용 國國 프로그램은 자동 광고 업데이트 기능이 있어, 두터운 방화벽이 존재하더라도 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진입할 수 있는데, 피고 ○○○○는 이러한 국내 공개용 ▩▩ 프로그램을 아무런 방비책 없이 사용하였는바, 피고 ○○○○는 정당한 권한 없는 자가 정보통신망에 접근 · 침입하는 것을 방지할 의무를 위반하였다 .

3 ) 이 사건 해커가 약 3, 500만 명 회원의 개인정보를 유출시키는 동안 대규모 데이터 전송이 발생하였을 것이고, 피고 ○○○○의 개인정보처리시스템에 접속한 IP , 트래픽 등을 분석하면, 개인정보 전부에 대한 복사명령, 전송명령이 이루어짐을 알 수 있었을 것인데, 피고 ○○○○가 침입탐지시스템을 제대로 설치 · 운영하고 이상 징후를 실시간 모니터링하였다면 개인정보 유출을 충분히 막을 수 있었을 것임에도, 피고 OOOO는 이를 탐지하거나 방지하지 못하였으므로, 피고 ○○○○는 정보의 불법 유출을 방지하기 위한 기술적 보호조치와 이를 위한 인력 · 조직 · 경비의 확보 및 관련계획 수립 등 관리적 보호조치를 할 의무를 위반하였다 . 4 ) 사상 최대 규모의 이 사건 해킹 사고가 발생할 정도로 피고 ○○○○의 보안시스템은 취약한 것으로 보이는바, 안전진단 수행기관으로부터 매년 정보보호지침에 따른 정보보호 안전진단을 받았는지 의문이고, 다른 대형 포털사이트들이 이미 정보보호 관리체계 ( ISMS, Information Security Management System ) 인증을 받았음에도, 피고 ○○○○는 정보보호 관리체계 인증을 받지 않았으며, 오랜 기간 포털사이트를 운영해왔음에도, 2011. 초경에 이르러서야 개인정보보호 관리체계 ( PIMS, Personal Information Management System ) 인증을 신청하는 등 정보통신망의 안전성을 확보할 의무를 이행하지 않았다 .

5 ) 악성 프로그램이 2011. 7. 18. 경 피고 ○○○○의 내부망에 침입하여 이 사건 해킹 사고가 발생할 때까지 피고 ○○○○는 악성 프로그램을 발견하지 못하였는바, 피고 ○○○○는 악성 프로그램을 항시 점검 · 치료할 수 있는 백신소프트웨어를 설치하고, 이를 주기적으로 갱신 · 점검할 의무를 위반하였다 . 6 ) 이 사건 해킹 사고가 발생하기까지 이미 수백 건 이상의 해킹 사고가 발생한 점, 이 사건 해킹 사고가 저작권법 위반행위로 인한 것인 점, 피고 ○○○○가 악성프로그램을 장기간 발견하지 못한 점에 비추어 보면, 피고 ○○○○는 개인정보를 보호하기에 충분한 내부관리계획을 수립 · 시행할 의무를 위반한 것으로 볼 수 있다 .

7 ) 이 사건 해커가 데이터베이스 서버의 관리자 아이디와 비밀번호를 습득하였고, 직원의 컴퓨터로 데이터베이스 서버에 접속하여 개인정보를 유출하였다는 것은 피고 ○○○○가 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하는 방법으로 인가받지 않은 접근을 제한하지 않은 것을 의미하므로, 피고 ○○○○는 불법접근을 탐지하거나 방지하기 위한 시스템을 설치 · 운영하지 않았다 . 8 ) 피고 ○○○○는 정보통신망을 통해 외부 인터넷을 통한 개인정보시스템으로의 불법적인 접근을 원천적으로 불가능하도록 망분리 조치를 할 수 있었음에도, 망분리를 하지 않았다 .

9 ) 외부에서 개인정보처리시스템 접속을 할 때에는 아이디, 비밀번호를 통한 개인정보취급자 인증과 더불어 공인인증서 등 추가적인 인증수단을 적용하여야 하는데, 이러한 추가적인 인증수단을 도입하지 않아, 이 사건 해커가 키로깅 방식으로 쉽게 해킹할 수 있었다 .

10 ) 피고 ○○○○는 MD5 방식을 사용하여 비밀번호를 암호화하였는데, MD5 방식은 보안상 취약점이 지적되는 암호화 방식으로, 위 방식만으로는 안전한 보호조치가 이루어진 것으로 보기 어렵고, 피고 ○○○○가 여기에 개별 이용자별로 별개의 값을 추가해서 해쉬 함수를 적용하여 변형된 암호화 방식을 사용하였다 하더라도, 피고 ○○○○가 사용한 해쉬 함수는 이용자의 패스워드에 이용자의 아이디를 붙인 것에 불과하여, 이 사건 해킹 사고로 이용자의 아이디가 유출된 이상 피고 ○○○○가 암호화한 개인정보는 쉽게 해독 가능하며, AES 128비트 방식으로 암호화된 주민등록번호도 0에서 9까지의 조합이어서 쉽게 해독이 가능하므로, 피고 ○○○○는 개인정보가 안전하게 저장 · 전송될 수 있는 암호화 기술을 사용할 의무를 위반하였다 . 11 ) 피고 ○○○○는 2011. 7. 26. 이미 해킹 시도를 인지하였음에도, 2011. 7 .

28. 오전에서야 비로소 개인정보 유출 사실을 확인하고 경찰에 신고하였는바, 만일 인지 직후에 경찰 등에 의뢰하여 보안강화조치를 하였다면, 약 3, 500만 명의 개인정보가 전부 유출되는 상황은 방지할 수 있었을 것이므로, 피고 ○○○○는 사후 조치에 관한 주의의무를 위반하였다 .

( 2 ) 피고 □□□□□□에 대한 주장

피고 □□□□□□의 국내 공개용 ▩▩ 프로그램은 자동 광고 업데이트 기능이 있어, 두터운 방화벽이 존재하더라도 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진입할 수 있는바, 피고 □□□□□□는 ▩▩ 프로그램이 언제든지 해킹 대상이 될 수 있음을 충분히 인식하여, ① 3 프로그램과 광고 업데이트 서버에 외부의 침입이 있을 경우 위 침입을 탐지하여 이를 철저히 방지해야 하고, ② 내부에 바이러스 또는 악성코드가 유입된 경우 이를 항상 점검하여 치료할 수 있도록 해야 하며, ③ ▩▩ 프로그램과 광고 업데이트 파일이 바이러스, 악성 코드에 감염되었을 경우 정상파일인지를 항상 검사하여 감염된 파일이 홈페이지 또는 자동 업데이트 기능을 통해 외부로 유출되는 일이 절대로 발생하지 않도록 주의를 기울여야 할 의무가 있음에도, 이러한 의무를 게을리하여 ▩▩ 업데이트 서버의 해킹을 방지하지 못하였으므로 , 피고 □□□□□□는 이 사건 해킹으로 인해 원고들이 입은 손해를 배상할 책임이 있다 .

( 3 ) 피고 대한민국에 대한 주장 ( 가 ) 피고 ○○○○에 대해 몇 년 전부터 매년 수백 건의 해킹 사고가 신고되었고, 피고 ○○○○ 보안시스템의 취약점이 지적되어 왔으며, 피고 ○○○○는 정보보호 관리체계와 개인정보보호 관리체계 등 공식적인 정보보호 관리체계 인증을 받은 사실이 없음에도, 피고 대한민국 산하 방송통신위원회는 피고 ○○○○에 정보보호조치를 하도록 할 의무를 이행하지 아니하여 감독기관으로서의 의무를 위반하였다 . ( 나 ) 이 사건 해킹 사고 외에도 해킹 사고가 점차 빈번하게 발생하며 고도화되고 있음에도, 방송통신위원회는 해킹을 유효하게 방지할 수준의 기술적 조치와 구체적인 기준을 정해 고시하지 아니하여 법령상의 의무를 위반하였다 . ( 4 ) 원고들의 손해액에 대한 주장

피고들의 위법행위로 인해 원고들의 개인정보가 유출됨으로써 원고들은 사생활이 노출되어 불쾌감이 초래되거나 사회 활동에 지장이 초래될 위험에 노출되었고, 보이스 피싱, 메신저 피싱 및 명의 도용에 따른 경제적 손실을 입게 될 가능성도 있으며 , 유출된 개인정보가 유괴 · 살인 등 범죄목적으로 활용될 수도 있고, 스팸메일 발송에 악용될 우려가 있는 등 개인정보를 제3자가 알게 되거나 이를 도용 또는 악용할지 모를 위험에 노출되었는바, 2차적 손해의 발생사실을 입증하지 않더라도, 원고들이 이 사건 해킹 사고로 인해 정신적 고통을 입게 되었을 것임이 경험칙상 인정되므로, 피고들은 각자 원고들에게 청구취지 기재와 같은 돈을 지급할 의무가 있다 .

나. 피고들의 주장 요지 ( 1 ) 피고 ○○○○의 주장

피고 ○○○○는 관련 법령에서 정한 기술적 · 관리적 보호조치를 모두 준수하였는바, 원고들의 개인정보가 유출되었다는 이유만으로 피고 ○○○○에 책임을 묻는 것은 결과책임을 묻는 것과 마찬가지이고, 원고들의 개인정보가 유출되었다는 사실만으로 원고들에게 실질적인 손해가 발생한 것으로 볼 수 없으며, 가사 원고들에게 손해가 발생하였다 하더라도, 지적재산권을 보호하는 저작권법의 보호법익을 고려하면, 피고 ○○○○의 저작권법 위반행위와 원고들의 손해 발생 사이에는 상당인과관계가 없고 , 국내 기업용 33 프로그램의 업데이트 방식도 국내 공개용 33 프로그램의 업데이트 방식과 동일한 이상 피고 ○○○○가 국내 기업용 ▩▩ 프로그램을 사용하였다 하더라도, 이 사건 해커의 침입 가능성을 배제할 수 없어 피고 ○○○○의 국내 공개용 ▩▩ 프로그램 사용 여부가 이 사건과 인과관계 있다고 할 수 없으며, 이 사건 해커는 국내 공개용 ▩▩ 프로그램 외에도 수많은 다른 경로를 통해 목표로 삼은 대상에 침투하는 것이 가능했을 것이다 .

( 2 ) 피고 □□□□□□의 주장

① 피고 □□□□□□는 관련 법령에서 요구하는 기술적 · 관리적 보호조치를 다하였고, 안전진단 결과 아무런 문제가 없음을 확인하였으며, ② 이 사건 해킹 사고 당시 피고 □□□□□□는 ISAPI 필터에 특별히 모듈 파일을 등록하지 않았고, 선별된 IP 주소에서의 접속 외에는 서비스 제공이 정상적으로 이루어졌으며, 이 사건 해킹 사고 전에 ISAPI 필터에 해커가 만든 모듈을 등록하는 방식으로 서버를 조작한다는 선례를 들어보지 못했기 때문에, 피고 □□□□□□로서는 ISAPI 필터를 별도로 점검할 이유가 없었으므로, 피고 □□□□□□가 이 사건 해킹 사고 무렵 ISAPI 필터에 stmpxml. dll 파일을 등록한 사실을 알지 못했다 하더라도, 이러한 사정만으로는 피고 □□□□□□에 ▩▩ 업데이트 서버에 대한 관리상 과실이 있는 것으로 볼 수 없고, ③ 가사 그렇지 않다 하더라도, 피고 □□□□□□는 개인정보유출이라는 특별한 사정에 대해서 예견할 수 없었으며, ④ 피고 □□□□□□가 유료로 제공하는 국내 기업용 3國 프로그램은 ALAD. dll 파일을 사용하지 않아, 만일 피고 ○○○○가 국내 기업용 을 사용하였더라면, 이 사건 해킹 사고는 발생하지 않았을 것이므로, stmpxml. dll 파일 등록사실을 알지 못한 과실과 이 사건 해킹 사고 사이에는 상당인과관계가 인정될 수 없 ( 3 ) 피고 대한민국의 주장

① 피고 대한민국 산하 방송통신위원회는 사업자가 제출한 정보보호 안전진단의 결과와 개선권고내용 및 처리결과에 따라 필요하면 개선명령을 할 수 있을 뿐인데, 피고 ○○○○가 제출한 정보보호 안전진단 결과 개선권고사항이 없는 것으로 통지 · 보고되었는바, 방송통신위원회가 피고 ○○○○에 정보보호조치 개선명령을 해야 하는 것으로 볼 수 없고, 정보보호 관리체계 인증은 권고사항에 해당하므로, 방송통신위원회가 감독기관으로서의 의무를 불이행한 것으로 볼 수 없으며, ② 방송통신위원회는 이 사건 고시를 제정하여 시행하는 등 법령상의 의무를 성실히 이행하였고, ③ 방송통신위원회에 주의의무 위반이 있다 하더라도, 그것이 객관적 정당성을 상실한 것으로 볼 수 없으므로, 피고 대한민국은 국가배상책임을 부담하지 아니한다 .

3. 원고 박□□, 신□□, 윤□□, 조, 지그, 지ㅇㅇ의 피고들에 대한 각 소의 적법 여부에 관한 판단

직권으로 살피건대, 미성년자는 법정대리인에 의하여서만 소송행위를 할 수 있고 ( 민사소송법 제55조 ), 법정 대리권이 있는 사실은 서면으로 증명하여야 하며 ( 민사소송법 제58조 제1항 ), 친권은 부모가 혼인 중인 때에는 부모가 공동으로 행사하여야 하고 ( 민법 제909조 ), 원고 박□□, 신□□, 윤□□, 조□□, 지□□, 지○○은 이 사건 변론종결일 현재 미성년자인바, ① 원고 박□□, 지○○의 소송대리인 선임행위는 무효이며, ② 원고 신□□, 윤□□, 지□□의 각 소송위임장에는 각 그 법정대리인으로 김 ( 680320 - * * * * * * * ), 임 ( 651020 - * * * * * * * ), 강소 ( 680515 - * * * * * * * ) 가 기재되어 있기는 하나, 원고 신□□, 윤□□, 지□□의 법정대리인이 누구인지를 확인할 수 있는 증거가 없고, ③ 원고 조□□의 소송대리인은 그 모 문이 법정대리인으로서 선임하기는 하였으나, 부가 법정대리인으로서 선임한 점을 인정할 증거가 없어, 원고 박□□ , 신, 윤□□, 조, 지□□, 지○○의 소송대리인은 적법한 소송대리권의 위임을 받지 못한 경우에 해당하므로, 원고 박□□, 신□□, 윤□□, 조□□, 지□□, 지○○의 소송대리인이 제기한 피고들에 대한 이 사건 소는 부적법하다. 2 )

4. 원고 이ㅇㅇ, 이□□의 각 청구에 관한 판단

원고 이○○, 이□□은 이 사건 해킹 사고 당시 ▼▼▼ 또는 VVVV의 회원들임을 전제로 이 사건 해킹 사고로 개인정보가 유출되었다고 주장하나, 위 원고들이 이 사건 해킹 사고 당시 ▼▼▼와 ▽▽▽▽의 한쪽 또는 양쪽 서비스에 가입한 회원들이라는 위 원고들의 주장사실을 인정할 증거가 없으므로, 이를 전제로 한 위 원고들의 피고들에 대한 위 주장은 더 나아가 살필 필요 없이 이유 없다 ( 이하 원고 박□□, 신□□, 윤□□, 이○○, 이□□, 조□□, 지□□, 지○○을 제외한 나머지 원고들을 ' 이 사건 나머지 원고들 ' 이라 한다 ) .

5. 이 사건 나머지 원고들의 각 청구에 관한 판단

가. 정보통신서비스 제공자의 해킹 사고 방지를 위한 주의의무의 정도 정보통신서비스 제공자가 정보통신서비스를 제공하기 위해 이용자로부터 수집한 개인정보를 해킹으로 인해 도난당하였을 때 정보통신서비스 제공자에게 이용자들에 대한 손해배상책임을 지우기 위하여는, 정보통신서비스 제공자가 해킹 사고를 방지하기 위해서 선량한 관리자로서 취해야 할 기술적 · 관리적 조치 의무를 위반함으로써 해킹 사고를 예방하지 못한 경우여야 할 것이다 .

그리고 정보통신서비스가 ' 개방성 ' 을 특징으로 하는 인터넷을 통하여 이루어지고 , 이를 위해 정보통신서비스 제공자가 구축하는 시스템 운영체제나 서버 프로그램은 취약점을 내포하고 있어 끊임없는 해킹 시도에 노출되고 있으며, 운영체제 등 소프트웨어 제조 업체나 보안 프로그램 개발 업체들은 새로운 해킹 기법을 방어하기 위한 보안기술을 사후적으로 보완하는 방식으로 해킹에 대응하고 있는 점 등을 고려하면, 정보통신서비스 제공자가 해킹 사고 방지를 위해 취해야 할 선량한 관리자로서의 주의의무를 위반하였는지는 ① 관련 법령이 정보통신서비스 제공자에게 요구하고 있는 기술적 · 관리적 보안 조치의 내용, ② 해킹 당시 당해 정보통신서비스 제공자가 취하고 있던 보안 조치의 내용, ③ 해킹 방지 기술의 발전 정도, ④ 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도, ⑤ 해커가 사용한 해킹 기술의 수준, ⑥ 개인정보 유출로 인해 이용자가 입게 되는 피해의 정도 등을 종합적으로 고려하여 판단하여야 할 것이다 .

나. 피고 ○○○○에 대한 청구에 관한 판단 ( 1 ) 국내 공개용 ▩▩ 프로그램 사용으로 인한 손해배상책임 발생 여부 ( 가 ) 먼저, 피고 ○○○○가 저작권법 위반행위로 인해 손해배상책임을 부담하는지에 관하여 살피건대, 피고 ○○○○의 직원들이 이 사건 나머지 원고들 주장과 같이 저작권법을 위반하여 국내의 개인 사용자에게 무료로 제공되는 國 프로그램을 사용하였다 하더라도, 피고 ○○○○가 이 사건 나머지 원고들에게 손해배상책임을 지려면 위 저작권법 위반행위와 이 사건 나머지 원고들의 손해 발생 사이에 상당인과관계가 있어야 할 것인바, 상당인과관계 유무를 판단함에 있어서는 결과 발생의 개연성은 물론 저작권법의 입법목적과 보호법익, 저작권법 위반행위의 태양 및 피침해이익의 성질

등을 종합적으로 고려하여 판단하여야 할 것이다 .

이 사건에서 피고 □□□□□□의 라이선스 정책에 의하면, 피고 □□□□□□가 제공하는 국내 공개용 ▩▩ 프로그램은 국내의 개인 사용자에게 무료로 제공되는 프로그램이고, 영리기업은 유료로 제공되는 국내 기업용 ▩▩ 프로그램을 구매하여 사용하도록 하고 있는 사실에 대하여는 이 사건 나머지 원고들과 피고 ○○○○ 사이에 다툼이 없으며, 피고 ○○○○가 영리기업임에도, 피고 ○○○○의 직원들이 국내 공개용 3 프로그램을 설치하여 사용한 사실은 앞서 인정한 바와 같으나, 한편 가사 피고 ○○○○가 국내 공개용 ▩▩ 프로그램을 사용한 것이 저작권법 위반행위에 해당한다 하더라도, 저작권법의 입법취지는 저작자의 권리를 보호하고 저작물의 공정한 이용을 도모하고자 함에 있는 것이지, 저작자의 권리를 침해하는 방법으로 컴퓨터프로그램 저작물을 이용하는 과정에서 제3자의 해킹으로 인하여 개인정보가 유출됨으로써 손해가 발생한 경우 그 손해를 입은 자들을 보호하고자 함에 있는 것은 아니라 할 것이어서, 이러한 저작권법의 목적과 보호법익, 그리고 피고 ○○○○가 사용한 국내 공개용 ▩▩ 프로그램이 불법 복제된 소프트웨어로 보이지 않는 점, 이 사건 해커가 피고 미□□□□□의 업데이트 서버를 이용하여 피고 ○○○○ 직원의 컴퓨터에 악성 프로그램을 설치하도록 함으로써 이 사건 나머지 원고들의 개인정보가 유출되었고, 피고 ○ ○○○가 사용한 국내 공개용 ▩▩ 프로그램 자체에 악성 프로그램이 포함되어 있던 것으로 보이지 않는 점, 정보통신망법, 정보통신망법 시행령, 이 사건 고시 등 관련 법령에서 정보통신서비스 제공자 등에게 요구하는 기술적 · 관리적 조치에 국내 공개용 ▩▩ 프로그램과 같이 저작자가 개인 사용자에게만 사용할 권한을 부여한 컴퓨터프로 그램저작물의 사용을 금지하거나 규제하는 내용은 포함되어 있지 않은 점 등을 종합하여 보면, 앞서 인정한 사실만으로는 피고 ○○○○의 저작권법 위반행위와 이 사건 나머지 원고들의 주장과 같은 손해 발생 사이에 상당인과관계가 있는 것으로 보기에 부족하고, 달리 이와 같이 인정할 증거가 없으므로, 상당인과관계가 있음을 전제로 한 이 사건 나머지 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다 . ( 나 ) 다음으로, 피고 ○○○○가 국내 기업용 3 프로그램을 사용하였더라면 , 이 사건 해킹 사고를 막을 수 있었는지에 관하여 살피건대, 이 사건 해커는 국내 공개용 3 프로그램이 광고 업데이트를 할 때 다운로드되는 정상적인 ALAD. dll 파일과 동일한 이름의 악성 프로그램을 만들어 해킹에 이용한 사실, 광고 업데이트는 무료로 제공되는 국내 공개용 ▩▩ 프로그램에 포함된 기능인 사실을 인정할 수 있으나, 한편 이 사건 해커는 악성 프로그램이 목표로 한 컴퓨터에 설치되도록 하기 위해 먼저 피고 □□□□□□가 운영하는 3 업데이트 웹사이트의 ISAPI 필터에 stmpxml. dll 파일을 등록한 사실, ISAPI 필터에 stmpxml. dll 파일이 등록되면, 피고 ○○○○ 등 선별된 IP 주소에서 사용되는 컴퓨터가 ▩▩ 업데이트를 요청하는 경우 피고 □□□□□□가 설정한 본래의 다운로드 경로가 아닌, 이 사건 해커가 설정한 악성 프로그램 유포지에서 악성 프로그램을 다운로드 받게 되는 사실은 앞서 인정한 바와 같고, 여기에 앞서 든 증거 등에 의하여 인정되는 다음과 같은 사정, 즉 국내 기업용 3 프로그램에도 기능 향상이나 오류 수정 등을 위한 업데이트 기능이 포함되어 있고, 다만 국내 공개용 ▩▩ 프로그램은 국내 기업용 3 프로그램과 달리 광고 업데이트가 수시로 이루어지는 점, 이 사건 해커가 만든 악성 프로그램의 파일 이름이 ALAD. dll로 국내 공개용 ▩ 프로그램의 광고 업데이트 과정에서 다운로드되는 파일과 동일하기는 하나, 이는 정상적인 파일과 혼동되도록 그 파일 이름을 위와 같이 사용한 것으로 보이고, 위 악성 프로그램 자체는 키로깅 프로그램을 실행시키도록 하는 파일인 점, 피고 □□□□□□가 2011. 10. 17. 자 준비서면에서 국내 기업용 ▩▩ 프로그램은 ALAD. dll 파일을 사용하지 않는다는 이유로 피고 ○○○○가 국내 기업용 ▩▩ 프로그램을 사용하였더라면, 이 사건 해킹 사고가 발생하지 않았을 것이라고 진술하였으나, 이는 피고 □□□ □□□의 국내 공개용 33 업데이트 서버를 해킹하여 감염시킬 대상을 지정하고 정상업데이트 파일을 악성 파일로 바꿔치기 하는 수법으로 피고 ○○○○의 컴퓨터를 감염 시켰다는 경찰의 2011. 8. 11. 자 보도자료에 기초하였던 것으로 보이고, 이 사건 해킹 사고의 경위가 경찰의 최종 수사결과에 따라 밝혀지기 전에 이루어져, 이를 피고 ○○○○의 책임을 인정하는 근거로 삼기는 어려운 점 등을 종합하여 볼 때, 이 사건 해커가 사용한 것으로 보이는 해킹 기법에 의하면, 피고 ○○○○가 국내 기업용 33 프로그램을 사용한 경우에도 국내 기업용 3 프로그램의 업데이트 과정에서 위와 같은 방식으로 본래의 다운로드 경로가 아닌 악성 프로그램 유포지에서 악성 프로그램을 다운로드 받도록 피고 □□□□□□의 업데이트 웹사이트 ISAPI 필터를 조작하는 것이 가능하였을 것으로 보여, 피고 ○○○○가 국내 기업용 ▩▩ 프로그램을 사용하였더라도, 이 사건 해킹 사고를 막을 수 없었을 가능성을 배제할 수 없어, 비록 국내 공개용 ▩▩ 프로그램이 수시로 광고 업데이트를 하고, 국내 기업용 ▩▩ 프로그램보다 그 이용자가 많아 이 사건 해커가 해킹에 이용하는 것이 보다 용이하였을 것으로 추측된다 하더라도, 위에서 인정한 사실만으로는 피고 ○○○○의 국내 공개용 ▩▩ 프로그램 사용행위와 이 사건 나머지 원고들 주장과 같은 손해 발생 사이에는 상당인과관계가 있는 것으로 보기에 부족하고, 달리 이와 같이 인정할 증거가 없으므로, 상당인과관계가 있음을 전제로 한 이 사건 나머지 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다 .

( 2 ) 기술적 · 관리적 보호조치 위반으로 인한 손해배상책임 발생 여부 ( 가 ) 서비스 약관에 따른 기술적 · 관리적 보호조치 위반 여부

갑 제10호증의 기재에 변론 전체의 취지를 종합하면, 피고 ○○○○가 제공하는 서비스와 관련하여 피고 ○○○○와 회원 사이에 서비스의 이용조건 및 절차, 피고 ○○○○와 회원 사이의 권리 · 의무 및 책임사항 기타 필요한 사항을 정한 서비스 약관 제23조 제2항이 ' 피고 ○○○○는 회원의 회원정보를 보호하기 위해 보안시스템을 구축 운영하며, 개인정보취급방침을 공지하고 준수합니다. 또한, 피고 ○○○○는 개인정보취급방침에 따라 회원정보를 취급함에 있어 안정성 확보에 필요한 기술적 및 관리적 대책을 수립 · 운영합니다. ' 라고 규정하고 있는 사실을 인정할 수 있는바, 피고 ○○○○는 이 사건 나머지 원고들에 대하여 이에 따라 개인정보보호에 관해 기술적 · 관리적 보호조치를 이행할 의무를 부담한다 할 것이나, 그 기술적 · 관리적 보호조치의 구체적인 내용은 결국 정보통신망법 등 관련 법령에서 정한 바에 따라 결정될 것으로 보이므로, 피고 ○○○○의 서비스 약관 제23조 제2항 위반 여부는 아래의 정보통신망법 등 관련 법령에서 정한 의무 위반 여부 부분에 포함시켜 살핀다 . ( 나 ) 정보통신망법 등 관련 법령에서 정한 기술적 · 관리적 보호조치 위반 여부 1 ) 최소수집의무 위반 여부

현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 2012. 2. 17. 법률제11322호로 개정된 것 ) 제23조의2 제1항은 원칙적으로 주민등록번호의 수집 · 이용을 금지하고, 예외적인 경우에만 이를 수집 · 이용할 수 있는 것으로 개정되었는데, 이 사건 해킹 사고 당시 시행되던 정보통신망법 제23조의2 제1항에서는 정보통신서비스 제공자로서 제공하는 정보통신서비스의 유형별 일일 평균 이용자 수가 대통령령으로 정하는 기준에 해당하는 자는 이용자가 정보통신망을 통하여 회원으로 가입할 경우에 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다 .

고 규정하고 있었고, 제2항에서는 제1항에 해당하는 정보통신서비스 제공자는 주민등록번호를 사용하는 회원가입 방법을 따로 제공하여 이용자가 회원가입 방법을 선택하게 할 수 있다고 규정하고 있었는바, 여기에 이 사건 나머지 원고들이 이 사건 해킹 사고 이전에 ▼▼▼ 또는 ▽▽▽▽에 가입한 회원들이라는 점을 더하여 보면, 적어도 이 사건 해킹 사고 이전에는 정보통신망법에 따라 회원들로부터 주민등록번호를 수집하는 것이 가능하였던 것으로 볼 수 있어, 가사 피고 ○○○○가 주민등록번호 없이 실명제를 운영하는 것이 가능하였다 하더라도, 이러한 사정만으로는 피고 ○○○○가 이 사건 해킹 사고 이전에 회원들로부터 주민등록번호를 수집한 것이 최소수집의무를 위반한 것이라는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하고, 달리 이를 인정할 증거가 없으며, 나아가 피고 ○○○○가 회원들의 전화번호, 주소, 혈액형 등 개인정보를 수집하였다 하더라도, 이런 점만으로 피고 ○○○○가 개인정보 수집에 관한 의무를 위반하였다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하고 , 달리 이를 인정할 증거가 없다 .

2 ) 정당한 권한 없는 자의 정보통신망 접근 · 침입 방지 관련 보호조치 위반 여부

이 사건 나머지 원고들은 국내 공개용 ▩ 프로그램에 자동 광고 업데이트 기능이 있어, 이를 사용할 경우 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진입할 수 있다고 주장하나, 이를 인정할 증거가 없으므로, 이를 전제로 피고 OOOO가 정당한 권한 없는 자가 정보통신망에 접근 · 침입하는 것을 방지하지 아니하였다는 이 사건 나머지 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이를 받아들이기 어렵다 .

3 ) 정보의 불법 유출 탐지와 방지를 위한 기술적 · 관리적 보호조치 위반 여부 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적 · 관리적 보호조치에 관해서는 정보통신망법 제28조 제1항 제2, 3호, 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4, 5조에서 규정하고 있는데, 이러한 규정에서 정한 기술적 · 관리적 보호조치에는 개인정보처리시스템에서 대량으로 유출되는 정보를 실시간으로 모니터링 하는 보호조치가 포함되어 있는 것으로 보기 어렵고, 나아가 을가 제6호증, 을가 제15호증의 1 내지 을가 제21호증의 2, 을가 제31호증의 1, 2의 각 기재에 변론 전체의 취지를 종합하면, 피고 ○○○○가 작성한 개인정보보호 업무지침서에서는 개인정보관리 책임자의 허가를 얻어 개인정보 접근권한이 부여될 수 있도록 하고 ( 제22조 ), 개인정보 접근권한 대장과 관련 기록을 작성하여 보관하도록 규정하면서 ( 제23조 ), 업무 특성에 따른 접근권한 부여 기준 ( 제24조 ), 접근권한의 변경과 말소에 대한 기준 ( 제25조 ), 접근 권한 프로그램의 보안을 위한 비밀번호의 작성 규칙 ( 제26조 ), 개인정보 접근 로그 제장, 로그의 보관 · 관리, 로그에 대한 확인 · 감독을 통한 불법적인 접근 · 사용 모니터링 ( 제29조 ) 등에 대하여 정하고 있는 사실, 피고 ○○○○는 개인정보취급자가 외부에서 개인정보관리시스템에 접근하는 경우 가설사설망 ( VPN ) 을 통해 접근하도록 하고 있는 사실, 피고 ○○○○는 주식회사 ◈◈◈◈◈, ①①① 주식회사 등과 개인정보시스템에 대한 침입차단시스템 또는 침입탐지시스템 설치, 유지보수, 증설계약 등을 체결하여 침입차단시스템과 침입탐지시스템을 설치 · 운영하고 있는 사실을 인정할 수 있는바 , 이에 비추어 보면, 피고 ○○○○는 정보통신망법 제28조 제1항 제2, 3호, 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4, 5조에서 정한 기술적 · 관리적 보호조치를 이행하고 있는 것으로 보이며, 여기에 앞서 본 바와 같이 이 사건 해커는 이 사건 해킹 사고 발생 1년 전부터 이미 해킹을 위한 도메인을 만들어 놓고 수 개의 정보통신망에 대해 오랜 기간 지속적으로 해킹을 시도해왔으며, 피고 ○○○○ 등 선별된 특정 IP 주소에서 사용되는 컴퓨터가 ▩▩ 업데이트를 요청하는 경우에만 다운로드 경로를 변경하도록 조작하여 그 탐지가 쉽지 않은 방법을 사용하는 등 이 사건 해커가 사용한 해킹의 수법, 해킹 방지 기술의 한계, 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등을 종합하면, 피고 ○○○○가 이 사건 해킹 사고 당시 대량의 정보가 유출되는 이상 징후를 감지하지 못하였다 하더라도, 이러한 사정만으로는 피고 ○○○○가 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적 · 관리적 보호조치를 위반하였다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다 .

4 ) 정보보호 안전진단 및 정보보호 관리체계 인증 등 정보통신망의 안전성 확보 관련 보호조치 위반 여부

먼저, 피고 ○○○○가 정보보호 안전진단과 관련하여 정보통신망의 안전성 확보 관련 보호조치를 이행하지 아니하였다는 이 사건 나머지 원고들의 주장사실은 이를 인정할 증거가 없고, 오히려 을가 제28호증의 1, 2, 을가 제30호증의 1, 2의 각 기재에 변론 전체의 취지를 종합하면, 피고 ○○○○는 정보통신망법 제46조의3에 따라

2009. 10. 12. 부터 2009. 10. 16. 까지 주식회사 시큐리티로부터, 2010. 8. 23. 부터 2010. 9. 3. 까지 주식회사 로부터 각 정보보호 안전진단을 받은 사실 , 각 정보보호 안전진단 결과 정보보호조치를 양호하게 또는 적절히 이행하고 있다는 확인을 받은 사실을 인정할 수 있다 .

다음으로, 이 사건 해킹 사고 당시 피고 ○○○○가 정보통신망법이 정한 정보보호 관리체계 인증을 받지 않은 사실에 대하여는 이 사건 나머지 원고들과 피고 ○○○○ 사이에 다툼이 없으나, 한편 정보통신망법 제47조는 정보보호 관리체계가 방송통신위원회가 고시한 기준에 적합한지에 관하여 방송통신위원회나 한국인터넷진흥원 이 지정하는 기관으로부터 인증을 받을 수 있다고 규정하고 있는바, 이에 비추어 보면 , 이 사건 해킹 사고 당시에는 정보통신망법에 따른 정보보호 관리체계 인증이 정보통신서비스 제공자의 의무사항에 해당하는 것으로 보기 어려워, 피고 ○○○○가 정보통신망법에 따른 정보보호 관리체계 인증을 받지 않은 사정만으로는 정보통신망의 안전성을 확보 관련 보호조치를 위반하였다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다 .

5 ) 백신소프트웨어 설치 등 보호조치 위반 여부

백신소프트웨어의 설치 · 운영에 관해서는 정보통신망법 제28조 제1항 제5호, 정보통신망법 시행령 제15조 제5항 및 이 사건 고시 제7조에서 규정하고 있는데 , 을가 제25호증의 1 내지 제27호증, 을가 제31호증의 1, 2의 각 기재에 변론 전체의 취지를 종합하면, 피고 ○○○○는 Symantec Corporation의 백신소프트웨어를 개인용 컴퓨터와 서버에 설치하여 악성 프로그램의 침투 여부를 점검하고 있는 사실, 이 사건 해킹 사고 당시 피고 ○○○○의 직원 김△△3 ), 이 ◎◎의 컴퓨터에도 위 백신소프트웨어가 설치되어 있었던 사실, 이 사건 해킹 사고 직전과 직후에도 피고 ○○○○에서는 위 백신소프트웨어의 업데이트를 하였던 사실, Symantec Corporation은 세계적인 보안업체 중 하나인 사실을 인정할 수 있는바, 가사 피고 ○○○○가 사용하고 있는 위 백신소프트웨어가 이 사건 해커가 만든 악성 프로그램의 침투 사실을 탐지하지 못하였다 . 하더라도, 이러한 사정만으로는 피고 ○○○○가 백신소프트웨어를 설치하고 주기적으로 갱신 · 점검하지 아니하였다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다 .

6 ) 개인정보보호 내부관리계획의 수립 · 시행 관련 보호조치 위반 여부 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립 · 시행에 관해서는 정보통신망법 제28조 제1항 제1호, 정보통신망법 시행령 제15조 제1항 및 이 사건 고시 제3조에서 규정하고 있는데, 을가 제6호증 내지 제14호증의 각 기재에 변론 전체의 취지를 종합하면, 피고 ○○○○는 2002. 12. 28. 개인정보에 대한 정보보호활동을 위한 기반조직의 구성, 운영, 관련 사항을 규정함으로써 피고 ○○○○의 정보보호활동이 지속적으로 이루어지도록 하기 위한 목적으로 개인정보보호 업무지침서를 마련하여 이를 시행해온 사실, 개인정보보호 업무지침서에서는 개인정보취급조직의 구성과 운영 , 개인정보취급 교육의 계획, 횟수, 대상 및 내용 등에 대하여 규정하고 있는 사실, 피고 ○○○○는 정보보호활동 이행 여부를 점검하고 이를 개선하기 위해 보안감사 기준과 절차를 정하고, 피고 ○○○○와 협력사에 대한 보안감사를 실시하고 있는 사실, 피고 ○○○○는 개인정보취급자들에 대해 정기적으로 개인정보 관련 교육을 실시하고 있는 사실, 피고 ○○○○는 2010. 7. 13. 개인정보사고대응 · 징계규정을 제정하여 개인정보 유출 · 도용, 관리 소홀 등의 사유로 개인정보와 관련한 사고가 발생하는 경우 이에 대한 대응 및 처리절차와 임직원에 대한 징계에 관한 사항을 규정하고 있는 사실, 피고 OOOO는 개인정보관리책임자의 변경시 업무인수인계서와 개인정보보완서약서를 작성하게 하고 있는 사실을 인정할 수 있는바, 이에 비추어 보면, 피고 ○○○○는 정보통신망법 제28조 제1항 제1호, 정보통신망법 시행령 제15조 제1항 및 이 사건 고시 제3조에서 정한 내부관리계획을 수립하여 시행하고 있는 것으로 보여, 가사 이 사건 해킹 사고 발생 전에 ▼▼▼온을 통한 메신저 피싱으로 인한 피해 사례가 발생하였고 , 피고 ○○○○가 저작권법 위반행위를 하였으며, 피고 ○○○○ 직원의 컴퓨터에 악성프로그램이 다운로드된 후 이 사건 해킹 사고 발생시까지 그 악성 프로그램을 발견하지 못하였다 하더라도, 이러한 사정만으로는 피고 ○○○○가 개인정보를 안전하게 취급하기 위한 내부관리계획을 수립 · 시행하지 아니하였다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다 .

7 ) 불법 접근 탐지 · 방지를 위한 시스템 설치 · 운영 관련 보호조치 위반 여부 피고 ○○○○가 침입차단시스템 등 접근 통제장치를 설치 · 운영하는 등 정보통신망법 제28조 제1항 제2, 3호, 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4, 5조에서 정한 기술적 · 관리적 보호조치를 이행하고 있는 점은 앞서 살핀 바와 같고, 을가 제31호증의 1, 2의 각 기재에 변론 전체의 취지를 종합하면, 피고 ○○○○는 개인정보처리시스템에 아이디와 비밀번호를 입력한 후 계속해서 2차 로그인을 위해 이메일로 OTP 번호를 발송하여 로그인하도록 하고, 개인정보처리시스템에 대한 접속 권한을 아이피 주소 등으로 제한하여 인가받지 않은 접근을 제한하는 방화벽을 설치하는 방법으로 침입차단시스템을 설치 · 운영하고 있는 사실, 피고 ○○○○는 침입 차단시 개인정보처리시스템에 접속한 아이피 주소 등을 재분석하여 불법적인 개인정보 유출시도를 탐지하도록 하는 침입탐지시스템을 설치 · 운영하고 있는 사실, 개인정보 데이터베이스에 접속하기 위한 절차는, 피고 ○○○○의 담당자 컴퓨터에서 접속한다고 가정하면, 순차적으로 ① 아이디, 비밀번호로 로그인, ② 웹 브라우저를 실행한 뒤' sslvpn. skcomms. co. kr ' 에 접속, ③ SSL - VPN에 아이디, 비밀번호 입력, ④ VPN 네트워크 인터페이스가 활성화되어 VPN 아이피 주소가 자동 할당, ⑤ 원격데스크탑을 실행해서 게이트웨이에 아이피 주소를 입력하여 접속, ⑥ 다른 아이디, 비밀번호로 로그인 , ⑦ 오라클 데이터베이스에 접속하는 프로그램인 오렌지 ( Orange ) 를 실행해서 다른 아이디, 비밀번호를 입력하면, 데이터베이스에 질문을 보내고 결과를 내보내도록 함으로써 데이터베이스에 대한 접근을 통제하고 있는 사실을 인정할 수 있는바, 이에 비추어 보면, 피고 ○○○○는 정보통신망법 제28조 제1항 제2, 3호, 정보통신망법 시행령 제15조 제2항 및 이 사건 고시 제4, 5조에서 정한 기술적 · 관리적 보호조치를 이행하고 있는 것으로 보이며, 여기에 이 사건 해커가 사용한 해킹 수법, 해킹 방지 기술의 한계 , 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등을 종합하면, 이 사건 해커가 해킹을 통해 피고 ○○○○의 데이터베이스 서버의 관리자 아이디와 비밀번호를 습득하였다 하더라도, 이러한 사정만으로는 피고 ○○○○가 불법 접근을 탐지 · 방지하기 위한 시스템 설치 · 운영 관련 보호조치를 위반하였다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다 . 8 ) 망분리 조치 위반 여부

현행 개인정보의 기술적 · 관리적 보호조치 기준 ( 2012. 8. 23. 방송통신위원회 고시 제2012 - 50호로 개정된 것 ) 제4조 제6항은 정보통신서비스 제공자 등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리하여야 한다고 규정하고 있으나, 이 사건 해킹 사고 당시의 이 사건 고시는 개인정보취급자 컴퓨터 등의 망분리 의무를 별도로 규정하고 있지 않았는바, 가사 피고 ○○○○가 담당 직원의 컴퓨터를 외부 인터넷망과 분리하여 망 차단조치를한 경우 이 사건 해킹 사고를 막을 수 있었다 하더라도, 위와 같은 망분리가 정보통신망법 등 관련 규정에서 정한 기술적 · 관리적 보호조치에 포함되지 않았던 이상 피고 ○○○○가 위와 같은 망분리 조치를 하지 않았다는 사정만으로는 피고 ○○○○가 기술적 · 관리적 보호조치를 위반하였다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다 .

9 ) 공인인증서 등 추가적인 인증수단 적용 관련 보호조치 위반 여부 이 사건 나머지 원고들은 외부에서 개인정보처리시스템에 접속할 때 공인인증서 등 추가적인 인증수단이 필요함에도, 피고 ○○○○는 이와 같은 인증수단을 마련하지 않았다고 주장하나, 위에서 살핀 바에 의하면, 이 사건 해커는 외부에서 직접 개인정보처리시스템에 접속한 것이 아니라, 피고 ○○○○의 내부로 침입한 후 직원의 컴퓨터에서 개인정보처리시스템에 접속한 것으로 보이는바, 이와 달리 외부에서 개인정보처리시스템에 직접 접속하는 경우를 전제로 공인인증서 등 추가적인 인증수단을 강구하지 않아 피고 ○○○○가 기술적 · 관리적 보호조치를 위반하였다는 이 사건 나머지 원고들의 이 부분 주장은 이를 받아들이기 어렵다 .

10 ) 암호화 기술 사용 관련 보호조치 위반 여부

암호화 기술 등을 이용한 보안조치에 관해서는 정보통신망법 제28조 제1항 제4호, 정보통신망법 시행령 제15조 제4항 및 이 사건 고시 제6조에서 규정하고 있는데, 을가 제6, 22호증, 을가 제23호증의 1, 2의 각 기재에 변론 전체의 취지를 종합하면, 피고 ○○○○는 이용자의 비밀번호를 일방향 암호화하고, 주민등록번호도 별도로 암호화하여 저장 · 관리하고 있는 사실, 또한 피고 ○○○○는 개인정보처리시스템 외의 시스템으로 개인정보를 전송하거나 저장할 때 암호화하도록 하고 있고, 개인정보를 전송할 때에는 개인정보의 추출요청자, 추출항목, 사용목적, 추출대상자, 자료활용기간 , 자료보관방법, 파기책임자 및 파기예정일 등을 특정하여 관리하고 있는 사실을 인정할 수 있는바, 이에 비추어 보면, 피고 ○○○○는 정보통신망법 제28조 제1항 제4호, 정보통신망법 시행령 제15조 제4항 및 이 사건 고시 제6조에서 정한 암호화기술 등을 이용한 보안조치를 이행하고 있는 것으로 보이고, 한편 이 사건 나머지 원고들의 주장과 같이 이용자가 ▼▼▼온의 자동 로그인 기능을 사용하는 경우 윈도우 레지스트리에 생성되는 UserID와 UserKey가 생성된다 하더라도, 이러한 사정만으로 위 UserKey가 바로 MD5 방식으로 암호화된 해쉬값이며, 피고 ○○○○가 이용자의 비밀번호에 이용자의 아이디를 추가하여 MD5 방식으로 암호화한 것으로 단정하기에 부족하고, 달리이와 같이 인정할 증거가 없으며, 나아가 앞서 살핀 바와 같이 피고 ○○○○가 정보통신망법 등 관련 법령에서 정한 기술적 · 관리적 보호조치를 이행하였고, 피고 ○○○○의 저작권법 위반행위와 이 사건 나머지 원고들의 주장과 같은 손해 발생 사이에 상당인과관계가 인정되지 않는 이상, 가사 피고 ○○○○가 사용한 암호화 방식이 구식이어서 상대적으로 해독 가능성이 큰 것이 사실이라 하더라도, 이러한 사정만으로는 피고 ○○○○가 암호화 기술 사용 관련 기술적 · 관리적 보호조치를 위반한 것으로 인정하기에 부족하고, 달리 이와 같이 인정할 증거가 없다 .

11 ) 사후 조치에 관한 주의의무 위반 여부

을가 제31호증의 1, 2의 각 기재에 변론 전체의 취지를 종합하면, 피고 ○ ○○○는 2011. 7. 27. 13 : 40경 김△△이 컴퓨터 cmd창에서 FTP 작업내용을 최초 발견한 후 2011. 7. 28. 07 : 00 ~ 08 : 00경 유출된 자료가 회원들의 개인정보임을 최종 확인한 사실을 인정할 수 있는바, 피고 ○○○○가 이 사건 해킹 사고를 인지하였을 때에는 이미 이 사건 해커에 의해 회원들의 개인정보가 모두 유출된 후인 것으로 보여, 그인지 직후 경찰 등에 신고하였더라도, 이 사건 나머지 원고들의 주장과 같이 개인정보가 유출되는 상황을 방지할 수 있었을 것으로 보기 어려우므로, 개인정보 전부의 유출을 방지할 수 있었음을 전제로 피고 ○○○○가 사후 조치에 관한 주의의무를 위반하였다는 이 사건 나머지 원고들의 이 부분 주장은 이를 받아들이기 어렵다 . 12 ) 소결론

이상에서 살핀 바와 같은 이 사건 해킹 사고 당시 정보통신망법 등 관련 법령에서 정한 기술적 · 관리적 보호조치의 내용, 피고 ○○○○가 이행한 기술적 · 관리적 보호조치의 수준, 이 사건 해커가 사용한 해킹의 수법, 해킹 방지 기술의 한계, 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등을 종합적으로 고려하면 , 피고 ○○○○가 개인정보 유출 방지에 관한 보호조치를 이행하지 않아 이 사건 해킹 사고를 막지 못한 것으로 보기 어려워, 결국 피고 ○○○○가 계약상 또는 법령상 의무를 위반하였다는 이 사건 나머지 원고들의 주장사실을 인정할 수 없으므로, 이를 전제로 한 이 사건 나머지 원고들의 위 주장은 더 나아가 살필 필요 없이 이유 없다. 4 )

다. 피고 □□□□□□에 대한 청구에 관한 판단 ( 1 ) 이 사건 나머지 원고들은, 국내 공개용 國 프로그램에는 자동 광고 업데이트 기능이 있어, 이를 사용할 경우 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진입할 수 있다고 주장하나, 이를 인정할 증거가 없음은 앞서 살핀 바와 같고 , 을나 제1호증의 1 내지 제2호증의 2의 각 기재에 변론 전체의 취지를 종합하면, 정보통신망법 제46조의3에 따라 피고 □□□□□□는 2010. 10. 4. 부터 2010. 10. 8. 까지 , 2011. 7. 18. 부터 2011. 7. 22. 까지 주식회사 C000C로부터 정보보호 안전진단을 받은 사실, 위 각 진단 결과 정보보호지침의 이행을 확인받았으며, 별도의 개선권고사항이 없었던 사실을 인정할 수 있고, 이러한 사실과 더불어 앞서 본 바와 같은 이 사건 해커의 해킹 수법, 해킹 방지 기술의 한계, 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등을 종합하면, 가사 이 사건 해커가 피고 □□□□□□가 운영하는 ▩▩ 업데이트 웹사이트의 ISAPI 필터에 stmpxml. dll 파일을 등록하여 ▩▩ 업데이트의 다운로드 경로를 변경하였다 하더라도, 이러한 사정만으로 피고 □□□□□□가 해킹 방지와 관련된 주의의무를 위반하였다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하며, 달리 이를 인정할 증거가 없으므로, 이를 전제로 한 이 사건 나머지 원고들의 위 주장은 더 나아가 살필 필요 없이 이유 없다 . ( 2 ) 가사 피고 □□□□□□가 이 사건 해킹 사고 당시 ▩▩ 업데이트 웹사이트의 ISAPI 필터에 stmpxml. dll 파일이 등록된 사실을 탐지하지 못한 것이 피고 □□□□□□의 주의의무 위반에 해당하는 것으로 인정된다 하더라도, 피고 □□□□□□가 이 사건 나머지 원고들의 개인정보를 수집하여 보관하는 주체에 해당하지 않는 이상, 특별한 사정이 없는 한 피고 □□□□□□로서는 피고 ○○○○ 회원들의 개인정보가 유출될 수 있다는 점을 예견할 수 없었던 것으로 보이는바, 위와 같은 주의의무 위반과 이 사건 나머지 원고들의 개인정보 유출로 인한 손해 발생 사이에는 상당인과관계가 있는 것으로 보기 어려우므로, 상당인과관계가 있음을 전제로 한 이 사건 나머지 원고들의 위 주장은 더 나아가 살필 필요 없이 이유 없다 .

라. 피고 대한민국에 대한 청구에 관한 판단 ( 1 ) 감독기관으로서의 의무 위반 여부

정보통신망법 제46조의3 제6항은, 방송통신위원회는 제2항에 따라 제출된 정보보호 안전진단의 결과와 제5항에 따른 통보내용에 따라 필요하면 정보보호 안전진단을 받은 사업자에게 정보보호조치에 관한 개선명령을 할 수 있다고 규정하고 있는바, 피고 ○○○○에 대한 안전진단 수행기관인 주식회사 ◈◇◈◇◈◇가 2010. 실시한 정보보호 안전진단 결과 피고 ○○○○가 정보보호조치를 양호하게 이행하고 있는 것으로 확인된 사실은 앞서 인정한 바와 같아, 방송통신위원회가 피고 ○○○○에 대해 정보보호조치 개선명령을 해야 하는 것으로 보기 어렵고, 나아가 이 사건 해킹 사고 당시 정보통신망법에 따른 정보보호 관리체계 인증이 정보통신서비스 제공자의 의무사항에 해당하는 것으로 보기 어려운 점은 앞서 살핀 바와 같으므로, 피고 대한민국 산하 방송통신위원회가 피고 ○○○○에 정보보호조치를 하도록 할 의무를 이행하지 않았다는 이 사건 나머지 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이유 없다 . ( 2 ) 법령상의 의무 위반 여부

피고 대한민국 산하 방송통신위원회가 정보통신망법과 정보통신망법 시행령에 따라 이 사건 고시를 제정하여 고시한 사실은 앞서 인정한 바와 같고, 점차 고도화, 지능화되고 있는 해킹을 유효하게 방지할 수 있는 모든 기술적 조치와 구체적인 기준을 사전에 마련하는 것이 현실적으로 어려운 것으로 보이는 점, 이 사건 고시에서 정한 기술적 · 관리적 조치를 모두 이행하였음에도, 이 사건 해킹 사고를 방지하지 못하였다 하더라도, 이러한 결과만으로 이 사건 고시의 내용이 당시 기술적 수준에 비추어 개인정보보호에 현저히 적합하지 않은 것으로 단정하기 어려운 점 등을 종합하여 보면, 해 킹을 유효하게 방지할 수 있는 모든 기술적 조치와 구체적인 기준을 고시하지 않아 피고 대한민국이 법령상 의무를 위반하였다는 이 사건 나머지 원고들의 이 부분 주장은 더 나아가 살필 필요 없이 이를 받아들이기 어렵다 .

6. 결 론

그렇다면, 부적법한 원고 박□□, 신□□, 윤□□, 조□□, 지□□, 지○○의 피고들에 대한 이 사건 소를 각하하고, 원고 이○○, 이□□ 및 이 사건 나머지 원고들의 피고들에 대한 이 사건 청구는 각 이유 없어 이를 기각하기로 하여 주문과 같이 판결한다 .