beta
사건
2013나20047 손해배상 ( 기 )
2013나20054 ( 병합 ) 손해배상 ( 기 )
2013나20061 ( 병합 ) 손해배상 ( 기 )
2013나20078 ( 병합 ) 손해배상 ( 기 )
원고(선정당사자),피항소인
1
2
3
4 . D .
원고 ( 선정당사자 ) 들 소송대리인 법무법인 ○○
담당변호사 OOO , OOO , OOO , OOO
피고,항소인
소송대리인 변호사 ○○○ , ○○○ , ○○○ , ○○○
제1심판결
서울서부지방법원 2013 . 2 . 15 . 선고 2011가합11733 , 2011가합
13234 ( 병합 ) , 2011가합14138 ( 병합 ) , 2012가합1122 ( 병합 ) 판결
변론종결
2015 . 2 . 11 .
판결선고
2015 . 3 . 20 .
주문
1 . 제1심판결 중 피고 패소부분을 취소하고 , 그 취소부분에 해당하는 원고 ( 선정당사자 )
들의 청구를 모두 기각한다 .
2 . 소송비용은 제1 , 2심 모두 원고 ( 선정당사자 ) 들이 부담한다 .
청구취지및항소취지
1 . 청구취지
피고는 원고 ( 선정당사자 ) 들 및 별지 1 . 선정자 목록 기재 선정자들에게 각 1 , 000 , 000
원 및 이에 대한 2011 . 7 . 26 . 부터 이 사건 소장부본 송달일까지는 연 5 % 의 , 그 다음
날부터 다 갚는 날까지는 연 20 % 의 각 비율로 계산한 돈을 지급하라 .
2 . 항소취지
주문과 같다 .
이유
1 . 일부 선정자들의 청구에 대한 판단
원고 ( 선정당사자 ) 들과 별지 1 . 선정자 목록 기재 선정자들 ( 이하 원고 ( 선정당사자 ) 들
과 선정자들을 합하여 ' 원고들 ' 이라 한다 ) 은 , 이 사건 청구원인으로 피고가 회원가입계
약에 의하여 수집한 원고들의 개인정보가 성명을 알 수 없는 해커에 의하여 유출되는
해킹사고가 발생하였는바 , 이는 피고가 별지 2 . 기재 관련 법령상 또는 계약상의 개인
정보 보호를 위한 주의의무를 다하지 못한 잘못으로 인한 것이므로 피고는 원고들이
위 해킹사고로 입은 재산상 손해 및 위자료 상당의 손해배상을 하여야 한다고 주장한
먼저 원고들 중 별지 1 . 선정자 목록의 전체 순번 1 내지 117번 , 1800 내지 2241
번 , 2653 내지 2827번 , 2855 내지 2882번 기재 각 선정자들 ( 이하 ' 일부 선정자들 ' 이라
하고 , 원고들 중 일부 선정자들을 제외한 원고들을 ' 나머지 원고들 ' 이라 한다 ) 의 경우에
는 그 각 개인정보가 위 해킹사고로 인하여 유출되었다는 사실을 인정할 아무런 증거
가 없으므로 ( 나머지 원고들의 경우에는 피고로부터 그 개인정보가 유출되었다는 취지
의 통지 또는 확인내역이 각 당사자선정서에 첨부되어 있다 ) , 일부 선정자들의 이 사건
청구는 나머지 점에 대하여 더 나아가 살필 필요 없이 이유 없다 .
2 . 기초사실
다음의 각 사실은 당사자 사이에 다툼이 없거나 , 갑 제1호증 , 갑 제3호증 , 갑 제43
호증 ( 갑 제54호증 , 갑 제57호증과 각 같다 ) , 갑 제56호증 , 을가 제17호증의 1 내지 14 ,
을가 제18호증의 1 내지 4 , 을가 제30호증 , 을가 제42호증 , 을가 제51호증 , 을가 제54
호증의 1 내지 4의 각 기재와 이 법원의 데이터베이스 서버 접속기록에 대한 검증결과
에 변론 전체의 취지를 종합하여 인정할 수 있다 .
가 . 당사자의 지위
1 ) 피고는 인터넷에서 검색 , 커뮤니티 등을 기반으로 각종 정보를 제공하는 포털
서비스사업을 하는 회사로 네이트 ( NATE ) 1 ) , 네이트온 ( NateON ) 2 ) , 싸이월드 ( CYWORL
D ) 3 ) 와 같은 온라인 서비스를 제공하고 있다 .
2 ) 나머지 원고들은 아래에서 살펴보는 바와 같은 해킹사고가 발생하기 전 피고
가 제공하는 네이트와 싸이월드의 한쪽 또는 양쪽 서비스에 가입한 사람들로 , 가입 당
시 피고에 성명 , 주민등록번호 , 아이디 ( ID ) , 비밀번호 , 이메일 주소 , 주소 , 전화번호 등
개인정보를 제공하였다 .
나 . 해킹사고의 발생
1 ) 중국에 거주하는 것으로 추정되는 인적사항을 알 수 없는 해커 ( 이하 ' 이 사건
해커 ' 라 한다 ) 는 2011 . 7 . 21 . 00 : 40경 피고 데이터베이스 ( 이하 ' DB ' 라 한다 ) 기술팀 소
속 직원인 F의 컴퓨터에 윈도우 예약작업을 이용하여 , 이 사건 해커가 미리 설정해놓
은 임의의 도메인인 ' nateon . OOOO . com ' 에 역접속을 시도하는 기능을 가진 악성프로
그램인 ' nateon . exe ' 를 유포하고 , 2011 . 7 . 26 . 부터 2011 . 7 . 27 . 까지 중국 내의 장소를
알 수 없는 곳에서 자신의 컴퓨터로 F의 컴퓨터에 원격접속하여 피고의 정보통신망에
침입하였으며 , 네이트 회원정보가 저장되어 있는 DB 서버 , 싸이월드 회원정보가 저장
되어 있는 DB 서버 , 네이트와 싸이월드에 모두 가입한 중복 회원정보가 저장되어 있는
DB 서버 ( 이하 위 각 DB 서버를 ' 이 사건 DB 서버 ' 라 한다 ) 에 침입하여 이 사건 DB
서버에서 처리 , 보관하고 있는 개인정보를 아이피 주소 ' 211 . 115 . 0○○ . ○○ ' 이 할당된
컴퓨터인 ◎◎◎◎◎ 서버 ( www . ⑨0 0 0 ③ . co . kr ) 로 전송 ( 이하 ' 이 사건 해킹사고 ' 라 한
다 ) 하였다 .
2 ) 이 사건 해킹사고로 인하여 네이트 또는 싸이월드의 회원 중 나머지 원고들을
포함한 34 , 954 , 887명의 개인정보가 유출되었는데 , 유출된 개인정보에는 위 회원들의 성
명 , 주민등록번호 , 아이디 ( ID ) , 비밀번호 , 이메일 주소 , 주소 , 전화번호 등이 포함되어
있다 .
3 ) 피고는 2011 . 7 . 28 . 이 사건 해킹사고를 경찰과 방송통신위원회에 신고하였
고 , 네이트와 싸이월드 회원들에게 이 사건 해킹사고로 인한 개인정보 유출사실을 공
지하였다 .
다 . 이 사건 DB 서버 접속방법
서울 소재 피고 사옥에 있는 피고의 직원 컴퓨터에서 서울 소재 IDC ( Internet
Data Center ) 4 ) 에 있는 이 사건 DB 서버에 정상적으로 접속하는 경로는 다음과 같다 .
1 ) 피고사옥에 있는 피고의 직원 컴퓨터를 켜고 해당 직원의 컴퓨터를 위한 아이
디 , 비밀번호로 로그인한다 .
2 ) 웹 브라우저를 실행한 뒤 ' https : / / sslypn . skcomms . co . kr ' 에 접속하여 아이디 ,
비밀번호로 로그인하면 가상사설전산망 ( Virtual Private Network , 이하 ' VPN ' 이라 한
다 ) 5 ) 인터페이스가 활성화되어 VPN 아이피 주소가 자동으로 할당된다 .
3 ) 그 다음 피고의 직원 컴퓨터에서 원격데스크톱6 ) 을 실행해서 게이트웨이 서
버7 ) 의 아이피 주소를 입력하면 게이트웨이 서버에 접속되고 , 아이디와 비밀번호를 입
력하면 원격으로 게이트웨이 서버를 사용할 수 있게 된다 .
4 ) 이 사건 DB 서버에 연결된 게이트웨이 서버는 총 4개였고 , 이 사건 DB 서버
에 연결하기 위해서는 위 4개의 게이트웨이 서버 중 어느 하나의 서버로 접속해야 하
고 , 게이트웨이 서버에 접속할 수 있는 VPN 아이피 주소는 제한되어 있었다 . 한편 , 하
나의 게이트웨이 서버에는 다시 여러 개의 개인정보 관련 DB 서버들이 연결되는 구조
인바 , 이 사건 DB 서버와 연결된 게이트웨이 서버에는 이글루스 DB 서버도 연결되어
있었고 F은 이글루스 DB 서버를 담당하고 있었기 때문에 F의 컴퓨터에서는 위 게이트
웨이 서버에 접근할 수 있었다 .
5 ) 이 사건 DB 서버를 포함한 DB 서버들에 대하여는 DB 접근통제 솔루션인 이
008 ) 로부터 인증을 받아야만 접속할 수 있다 . 게이트웨이 서버에는 OOO DAR9 ) 이
설치되어 있고 ○○○ ID별로 접근할 수 있는 DB 서버를 제한할 수 있는 기능이 있는
데 , 이 사건 DB 서버 관리자인 G과 H은 OOO ID에 이 사건 DB 서버에 접속할 수
있는 권한이 부여되어 있었던 반면 , F의 ○○○ ID에는 그러한 권한이 없었다 .
6 ) ○○○로부터 권한 인증을 받아 SecureCRT10 ) 를 통하여 이 사건 DB 서버의
운영체제인 유닉스의 아이디 , 비밀번호를 입력하면 이 사건 DB 서버에 로그인된다 .
7 ) 위와 같이 로그인된 상태에서 ' sqlplus 사용자계정 / 암호 ' 를 입력하면 이 사건
DB 서버에 접속하여 작업할 수 있다 . 11 )
라 . 이 사건 해킹사고의 경위
경찰은 2011 . 7 . 28 . 이 사건 해킹사고에 대한 수사에 착수하였는데 , 경찰의 수사
결과에 의하면 , 이 사건 해커는 다음과 같은 경로로 네이트와 싸이월드 회원들의 개인
정보를 유출해간 것으로 파악된다 .
1 ) 주식회사 I ( 이하 ' I ' 라 한다 ) 는 압축 프로그램인 ○○ 중 국내 공개용의 경우 무
료로 배포하는 대신 , 프로그램 실행 시 프로그램 창의 일부에 광고가 게시되도록 하여
수익을 얻고 있는데 , I는 위 광고를 교체하기 위해 ○○ 업데이트 서버를 이용하여 ○○
프로그램에 ' ALAD . dll ' 이라는 파일을 전송한다 .
2 ) 이 사건 해커는 정상적인 ALAD . dll 파일이 아닌 동일한 이름의 악성 프로그램
인 ALAD . dll 파일을 만들었고 , 이를 I의 ○○ 업데이트를 통해 국내 공개용 ○○의 사
용자 컴퓨터에 설치하기 위해 다음과 같이 I의 ○○ 업데이트 서버를 이용하였다 .
3 ) 이 사건 해커는 중국 내에 소재한 컴퓨터에 경유지를 설정하기 위한 목적으로
자신의 ' Y ' 드라이브를 공유한 채 , 원격데스크톱 연결을 하였고 , ' Y ' 드라이브에 저장되
어 있던 ' \ Y \ myxxx \ sb \ dangqian \ stmpxml . dll 파일을 ○○ 업데이트 서버 중 하
나에 최초 복사하여 ○○ 업데이트 웹사이트의 ISAPI 필터12 ) 에 stmpxml . dll 파일을 등
록시켰으며 , 이를 다시 ○○ 업데이트 서버 중 다른 4개의 서버에 복사하여 같은 방법
으로 ISAPI 필터에 stmpxml . dll 파일을 등록하였다 .
4 ) stmpxml . dll 파일이 ISAPI 필터에 등록되면 피고 등 선별된 IP 주소에서 사용
되는 컴퓨터가 ○○ 업데이트를 요청하는 경우 , I가 설정한 본래의 다운로드 경로인
' http : / / aldn . altools . co . kr ' 이 아닌 , 이 사건 해커가 설정한 악성 프로그램 유포지인
' http : / / inexon . softsforum . org ' 에서 악성 프로그램인 ALAD . dll 파일을 다운로드받게 된
다 . 악성 프로그램인 ALAD . dll 파일이 다운로드되면 , 위 파일은 악성 프로그램인
ALAD . exe 파일을 생성 · 실행시키고 , 위 프로그램은 키로깅 ( keylogging ) 13 ) 프로그램인
nateon . exe 프로그램을 실행시켜 키보드 입력값이 컴퓨터에 파일로 저장되게 한다 .
5 ) 2011 . 7 . 18 . 08 : 58 : 27경 피고의 직원 컴퓨터가 ○○ 업데이트 과정에서
'http : / / inexon . softforum . org ' 에서 악성 프로그램인 ALAD . dll 파일을 최초로 다운로드
받았고 , 그 후인 2011 . 7 . 20 . 14 : 59경 피고의 직원인 F의 컴퓨터에 nateon . exe 파일이
생성되어 2011 . 7 . 21 . 02 : 02경 nateon . exe에 감염되었으며 , 2011 . 7 . 23 . 13 : 09경 F의
컴퓨터가 update . exe 파일과 windowsrpc . dll 파일을 실행하였다 .
6 ) 그 후 2011 . 7 . 26 . 02 : 07경 이 사건 해커가 사용한 컴퓨터가 F의 컴퓨터를 거
쳐 피고의 DB 관리자인 G의 아이디로 게이트웨이 서버에 접속하였다 .
7 ) 이 사건 해커는 피고의 이 사건 DB 서버에 침입하여 개인정보를 덤프 ( dum
p ) 14 ) 파일로 생성하여 압축한 다음 , 이를 게이트웨이 서버에 내려 받고 , 파일을 송수신
하는 통신규약인 FTP ( File Transfer Protocol ) 15 ) 를 이용하여 위 개인정보 파일을 게이
트웨이에서 F의 컴퓨터와 G의 컴퓨터로 내려받은 다음 , 이를 대한민국 내 경유지인 ◎
◎◎◎◎ 사이트를 거쳐 중국으로 전송하였다 . 그 자세한 유출 경로는 다음과 같다 .
가 ) 네이트 회원의 개인정보 유출 경로
이 사건 해커는 , 2011 . 7 . 26 . 03 : 42경 custdb2 컴퓨터에서 리눅스 DB백업
명령어인 exp16 ) 명령으로 네이트 회원 개인정보 DB를 ' / data / cust . dmp ' 라는 덤프 포맷
파일로 저장하였고 , 04 : 18경 pinfodb 컴퓨터에서 서로 다른 컴퓨터 사이에 파일을 복
사하는 명령어인 scp17 ) 명령으로 custdb2에 저장된 ' / data / cust . dmp ' 파일을 / BACKUP
경로에 내려받았으며 , 04 : 25경 pinfodb 컴퓨터에서 ' / BACKUP / cus . dmp ' 파일을
' / BACKUP / cus . dmp . bz2 ' 파일로 압축하였고 , 05 : 36경 pinfodb에 저장된
' / BACKUP / cus . dmp . bz2 ' 파일을 게이트웨이 서버의 C : Wtemp에 내려받았으며 , 06 : 22 경
F의 컴퓨터에서 게이트웨이 서버에 저장된 ' C : WtempWcus . dmp . bz2 ' 파일을 내려 받았
고 , 06 : 33경 F의 컴퓨터에 저장된 ' cus . dmp . bz2 ' 파일을 ◎◎◎◎◎ 사이트로 전송하였
으며 , 10 : 03경 ◎◎◎◎◎ 사이트에서 중국으로 ' cus . dmp . bz2 ' 파일을 전송하였다 .
나 ) 싸이월드 회원의 개인정보 유출 경로
이 사건 해커는 , 2011 . 7 . 26 . 04 : 37경 custdb1 컴퓨터에서 exp 명령으로 싸
이월드 회원 개인정보 DB를 ' / data / cymem . dmp ' 라는 덤프 포맷 파일로 저장하였고 ,
05 : 08경 pinfodb 컴퓨터에서 scp 명령으로 custdb1에 저장된 ' / data / cymem . dmp ' 파일을
/ BACKUP 경로에 내려받았으며 , 05 : 15경 pinfodb 컴퓨터에서 ' / BACKUP / cymem . dmp '
파일을 ' / BACKUP / cymem . dmp . bz2 ' 파일로 압축하였고 , 05 : 36경 pinfodb에 저장된
'/ BACKUP / cymem . dmp . bz2 ' 파일을 게이트웨이 서버의 C : Wtemp에 내려받았으며 , 06 : 21
경 F의 컴퓨터에서 게이트웨이 서버에 저장된 ' C : Wtempwcymem . dmp . bz2 ' 파일을 내
려받았고 , 06 : 32경 F의 컴퓨터에 저장된 ' cymem . dmp . bz2 ' 파일을 ◎◎◎◎◎ 사이트로
전송하였으며 , 09 : 44경 ◎◎◎◎◎ 사이트에서 중국으로 ' cymem . dmp . bz2 ' 파일을 전송
하였다 .
다 ) 중복 저장 회원정보의 유출 경로
이 사건 해커는 , 2011 . 7 . 26 . 04 : 08경 custdb1 컴퓨터에서 exp 명령으로 싸
이월드 회원 개인정보 DB를 ' / tmp / pits . dmp ' 라는 덤프 포맷 파일로 저장하였고 , 04 : 24
경 pinfodb 컴퓨터에서 ' / tmp / pits . dmp ' 파일을 ' / tmp / pits . dmp . bz2 ' 파일로 압축하였으
며 , 05 : 41경 pinfodb에 저장된 ' / BACKUP / pits . dmp . bz2 ' 파일을 게이트웨이 서버의
C : Wtemp에 내려받았으며 , 2007 . 7 . 27 . 01 : 13경 G의 컴퓨터에서 게이트웨이 서버에
저장된 ' C : WtempWpits . dmp . bz2 ' 파일을 내려받았고 , 01 : 30경 G의 컴퓨터에 저장된
'pits . dmp . bz2 ' 파일을 00000 사이트로 전송하였으며 , 06 : 30경 ◎◎◎◎◎ 사이트
에서 중국으로 ' pits . dmp . bz2 ' 파일을 전송하였다 .
8 ) 한편 , 이 사건 해커는 이 사건 해킹사고 이전에 2010 . 7 . 7 . 부터 30회에 걸쳐
이 사건 해커가 설정한 도메인에 역접속을 시도하는 기능을 가진 악성 프로그램을 유
포시켰고 , 2010 . 9 . 14 . 부터 24회에 걸쳐 정당한 접근권한 없이 피고와 I의 각 정보통
신망을 비롯한 수 개의 정보통신망에 침입하였다 .
9 ) 경찰은 2012 . 6 . 20 . 이 사건 해커에 대해 기소중지 의견으로 서울중앙지방검
찰청에 사건을 송치하였고 , 피고의 이 사건 해킹사고와 관련한 기술적 · 관리적 조치에
대해서는 관련 법령에서 정한 요건을 위반하지 않은 것으로 판단하였다 .
3 . 나머지 원고들의 청구에 관한 판단
가 . 나머지 원고들의 주장 요지
피고는 정보통신서비스 제공자로서 별지 2 . 기재 관련 법령에 따라 피고가 운영
하는 네이트 또는 싸이월드의 회원인 나머지 원고들이 회원가입 시 제공한 성명 , 주민
등록번호 , 아이디 , 비밀번호 등의 개인정보를 보호할 의무가 있음에도 , 아래와 같이 개
인정보에 대한 불법적인 접근을 차단하기 위한 기술적 · 관리적 보호조치를 위반한 과
실로 이 사건 해킹사고의 발생을 미연에 방지하지 못하고 , 그로 인하여 나머지 원고들
의 개인정보가 유출되도록 하였으므로 구 정보통신망 이용촉진 및 정보보호 등에 관한
법률 ( 2012 . 2 . 17 . 법률 제11322호로 개정되기 전의 것 , 이하 ' 구 정보통신망법 ' 이라 한
다 ) 제32조18 ) 에 따라 나머지 원고들에게 개인정보 유출에 따른 손해배상을 할 의무가
있다 . 또한 , 피고는 나머지 원고들과 사이에 네이트와 싸이월드의 회원가입계약을 체결
하면서 서비스이용약관에 따라 나머지 원고들의 개인정보를 보호하기 위한 보안시스템
을 구축하고 , 개인정보를 취급함에 있어 안전성 확보에 필요한 기술적 및 관리적 대책
을 수립 · 운영할 계약상 의무가 있음에도 아래와 같이 이러한 의무를 위반하여 이 사
건 해킹사고의 발생을 미연에 방지하지 못하고 , 그로 인하여 나머지 원고들의 개인정
보가 유출되도록 하였으므로 회원가입계약상 채무불이행에 따른 손해배상책임도 부담
한다 .
1 ) 실시간 모니터링을 하지 않는 등 침입탐지시스템이나 DLP 솔루션 19 ) 을 적절하
게 사용하지 못한 과실
피고는 개인정보의 기술적 · 관리적 보호조치 기준 ( 방송통신위원회 고시 제
2011 - 1호 , 이하 ' 이 사건 고시 ' 라 한다 ) 제4조 제5항 제2호에 따라 개인정보처리시스템
에 접속한 IP 주소20 ) 등을 재분석하여 불법적인 개인정보유출시도를 탐지하는 기능을
포함한 시스템 , 즉 침입탐지시스템을 설치 · 운영하여야 하는바 , 이러한 침입탐지시스템
에는 모니터링이 탐지의 전제가 된다는 의미에서 이 사건 DB 서버에서 외부로 유출되
는 정보에 대한 실시간 모니터링 의무가 포함되어 있고 , 또한 구 정보통신망법 제45조
와 이에 따른 ' 정보보호조치 및 안전진단의 방법 · 절차 · 수수료에 관한 지침 ( 방송통신
위원회 고시 제2010 - 3호 , 이하 ' 정보보호지침 ' 이라 한다 ) ' 에 의하면 정보통신서비스 제
공자는 침입차단시스템 , 침입탐지시스템 등 정보보호시스템을 설치 · 운영하고 네트워
크 모니터링 도구를 이용하여 주요 회선의 실시간 모니터링을 할 기술적 · 관리적 보호
조치를 취할 의무가 있다 . 또한 이 사건 해킹사고 당시 피고가 사용하던 DLP 솔루션
의 여러 기능에 의하면 이 사건 해커가 정보유출을 위하여 이용한 FTP 파일 안에 있
는 암호화되지 않은 개인정보를 확인하거나 암호화된 부분이라 하더라도 구조적인 형
태의 정보를 식별할 수 있었고 이를 통하여 FTP 파일전송을 통제할 수 있었음에도 피
고는 위 DLP 솔루션에 있는 위와 같은 기능을 설정하지 않거나 보안설정을 임의로 완
화하여 운영한 잘못이 있다 .
이 사건 해킹사고 당시 약 3 , 500만 명 회원의 개인정보가 유출되는 동안 대규모 데
이터 전송이 발생하였으므로 , 피고가 침입탐지시스템이나 DLP 솔루션을 제대로 설
치 · 운영하여 이상징후를 실시간 모니터링하고 이 사건 DB 서버와 관련된 IP주소 , 트
래픽 , FTP 파일전송 등을 분석하였다면 개인정보 전부에 대한 복사명령 , 전송명령이
이루어지는 것을 파악하여 정보유출을 충분히 막을 수 있었다 . 그러나 피고가 이 사건
해킹사고 당시 이러한 기능을 사용하지 아니하여 트래픽이 많지 않은 심야시간에
2GB , 2GB , 6GB 합계 10GB에 해당하는 대량의 개인정보가 외부로 유출되는 것을 발
견하지 못하였는바 , 이는 피고가 보안관제정책을 완화하여 명백한 위험징후인 이 사건
DB 서버에서의 대용량 트래픽 ( FTP 파일전송 ) 을 실시간 모니터링하거나 탐지해야 할
기술적 · 관리적 보호조치를 위반한 잘못 때문이다 .
2 ) FTP 프로그램을 사용하고 FTP 파일전송을 탐지하지 못한 과실
FTP는 파일전송을 위한 프로토콜로서 대량의 파일을 쉽게 송수신하는 역할을
수행하고 보안상 취약하기 때문에 개인정보를 보관하는 DB 서버와 관련된 곳에서는
사용되어서는 안 된다 . 정보보호지침 제2조 [ 별표 1 ] 의 2 . 2 . 8 . 항 및 피고가 내부적으로
규정한 ' 개인정보보호 업무지침서 ' 제26조 제4항에 따르면 피고는 정보통신망의 안정성
등을 확보하기 위하여 게이트웨이 서버와 DB 서버 관리자의 컴퓨터에서 FTP 클라이
언트 프로그램을 제거할 의무가 있다 . 그럼에도 피고가 게이트웨이 서버와 DB 서버 관
리자의 컴퓨터에 FTP 클라이언트 프로그램을 제거하지 않았기 때문에 이 사건 해커는
게이트웨이 서버와 DB 서버 관리자인 F , G의 각 컴퓨터에 설정되어 있던 FTP 방식의
프로토콜을 이용하여 DB 서버로부터 개인정보를 유출해 갈 수 있었다 .
또한 , 이 사건 해커가 FTP를 이용하여 개인정보파일을 전송해나가는 동안 IDC에
설치된 침입탐지시스템뿐만 아니라 피고사옥에 설치된 침입탐지시스템에서도 이러한
파일전송을 전혀 탐지하지 못한 잘못이 있다 .
3 ) 개인정보의 출력 시 사전승인 조치를 취하지 아니한 과실
이 사건 고시 제8조 및 피고의 개인정보보호 업무지침서 제31조에 의하면 개
인정보의 출력 시 개인정보관리책임자의 사전승인을 받도록 규정하고 있는바 , 이는 개
인정보관리책임자의 사전승인을 받지 않으면 개인정보의 출력이 불가능하도록 하는 내
용의 결재시스템을 갖추라는 것이다 . 그럼에도 피고는 그러한 결재시스템을 갖추지 아
니한 과실이 있고 그 결과 이 사건 해커는 이 사건 DB 서버에서 개인정보를 전자파일
로 출력하여 외부로 유출할 수 있었다 .
4 ) IP 통제를 하지 않거나 직원들간 계정을 공유한 과실
피고의 직원 중 이 사건 DB 서버에 접속할 권한은 G과 H만이 가지고 있었을
뿐이고 F은 이 사건 DB 서버에 접근할 권한조차 없었으므로 , F의 컴퓨터를 통해서는
이 사건 DB 서버에 접속할 수 없음에도 불구하고 이 사건 해커가 F의 컴퓨터를 이용
하여 이 사건 DB 서버에 접속하였던 점에 비추어 보면 , 피고는 이 사건 고시 제4조
제5항에 규정된 IP 통제를 하여야 할 법령상 의무를 준수하지 않았다고 할 것이고 , 또
한 F이 평소에도 G의 아이디 , 비밀번호를 공유하고 있었던 것이므로 이는 DB 서버에
대한 접근을 제한할 의무도 위반한 것이다 . 이로 인하여 이 사건 해커는 이 사건 DB
서버에 대한 접속권한이 없는 F의 컴퓨터에서 관리자의 권한을 모두 행사하여 해킹을
할 수 있었다 .
또한 피고의 DB 서버 관리자들은 DB 서버에 접속을 할 때 사용자계정의 아이디와
비밀번호를 일일이 입력하는 불편을 덜기 위하여 사전에 아이디와 비밀번호를 환경설
정에 입력하여 놓고 이를 선택만 하면 자동으로 로그인되는 Quick Connect 기능을 사
용하고 있었는바 , 이로 인하여 이 사건 해커는 G의 아이디와 비밀번호를 모르는 상태
에서도 위와 같은 Quick Connect 기능을 이용함으로써 이 사건 DB 서버에 접속할 수
있었으므로 결국 피고는 이러한 보안에 취약한 기능의 사용을 방치한 잘못으로 이 사
건 해킹사고를 초래하였다 .
5 ) 공인인증서 등을 사용하지 아니한 과실
피고가 서울 서대문구 미근동 소재 피고사옥에 있는 컴퓨터에서 장소적으로 떨
어져 있는 서울 성동구 성수동 소재 IDC의 이 사건 DB 서버에 접속하는 것은 외부에
서 개인정보처리시스템에 접속하는 경우에 해당하므로 , 피고는 이 사건 고시 제4조 제
4항에 따라 아이디 , 비밀번호를 통한 개인정보취급자 인증과 더불어 공인인증서 등 추
가적인 인증수단을 적용하여야 하는데 , 이러한 추가적인 인증수단을 도입하지 아니한
과실이 있고 이로 인하여 이 사건 해커가 키로깅 방식으로 손쉽게 이 사건 DB 서버를
해킹할 수 있었다 .
6 ) 역접속을 차단하지 못한 과실
이 사건 해킹사고의 경위에 따르면 악성프로그램을 다운받은 F의 컴퓨터는 악
성프로그램의 실행에 의하여 이 사건 해커가 미리 설정해놓은 임의의 IP 주소로 역접
속을 시도하여 성공함으로써 이 사건 해킹사고가 가능하게 되었다 . 그런데 K 주식회사
( 포털사이트인 ▽▽▽ 등을 운영하는 회사 , 이하 ' K ' 이라 한다 ) 의 컴퓨터에서도 같은 방
식의 역접속이 시도되었지만 침입탐지시스템에 의하여 차단된 점에 비추어 보면 , 피고
는 기술적 · 관리적 보호조치를 위반하여 침입탐지시스템의 보안정책을 K에 비하여 허
술하게 설정하였기 때문에 위와 같은 역접속을 막지 못하여 이 사건 해킹사고를 초래
한 잘못이 있다 .
7 ) 퇴근 시 컴퓨터 전원을 차단하지 아니한 과실
이 사건 해커는 F이 근무시간에 컴퓨터를 사용하는 동안에는 F의 컴퓨터에 원
격접속하는 것이 사실상 불가능하여 F이 퇴근한 후에야 접속을 시도한 것인바 , 만약 F
이 자신의 컴퓨터 전원을 끄고 퇴근하였더라면 이 사건 해커가 F의 컴퓨터에 원격접속
할 수 없었을 것이다 . 그런데 개인정보를 관리하는 정보통신서비스 제공자로서는 퇴근
한 뒤 더 이상 컴퓨터를 사용하지 않는 경우 그 전원을 차단하는 것이 기초적인 보안
수칙이라 할 것임에도 F이 자신의 컴퓨터 전원을 끄지 않고 퇴근하는 바람에 이 사건
해커가 F의 컴퓨터를 통하여 이 사건 게이트웨이 서버에 접속하는 방법으로 이 사건
해킹사고를 저지를 수 있었다 .
8 ) 퇴근 시 로그아웃을 하지 않거나 자동 로그아웃 기능을 설정하지 아니한 과실
이 사건 해킹사고가 발생하기 전날인 2011 . 7 . 25 . 16 : 48경부터 17 : 29경까지 F
은 자신의 컴퓨터로 DB 서버에서 업무를 수행하였는데 그 작업이 종료된 이후에도
DB 서버에서 로그아웃을 하지 아니하였다 . 이 사건 해킹사고 당시 이 사건 해커는 G
의 DB 관리자 계정의 아이디 , 패스워드를 알지 못했을 가능성이 높으므로 , 만약 F이
DB 서버에서 로그아웃을 하고 퇴근하였다거나 DB 서버 관리자가 DB 서버에서 일정
시간 작업을 수행하지 않으면 자동으로 로그아웃되도록 설정하였다면 이 사건 해커가
F의 컴퓨터를 이용하여 DB 서버에 접속할 수 없었을 것임에도 , 피고가 이러한 조치를
취하지 아니한 잘못이 있다 .
9 ) ○○○의 기능을 활용한 DB 보안을 제대로 하지 못한 과실
피고가 DB 보안을 위하여 사용한 침입탐지시스템과 OOO 프로그램은 정보
유출에 핵심적인 기능을 한 exp 명령어 , FTP 프로그램 , 특정 SQL21 ) 명령어 사용을 모
니터링하거나 통제할 수 있고 , 이 사건 DB 서버로부터 게이트웨이 서버로 개인정보가
저장되거나 외부로 출력될 때 사전승인을 받게 할 수 있으며 , 다양한 모니터링과 정보
유출에 대한 경고를 전송할 수 있고 , 업무시간 외에는 DB 서버에의 접근이나 DB 정보
의 저장 , 출력을 금지시킬 수 있는 다양한 기능을 가지고 있음에도 , 피고는 침임탐지시
스템과 ○○○ 프로그램의 위와 같은 기능을 전혀 활용하지 않아 이 사건 해킹사고를
초래한 잘못이 있다 .
나 . 관련 법리
구 정보통신망법 제28조 제1항은 " 정보통신서비스 제공자 등이 개인정보를 취급
할 때에는 개인정보의 분실 · 도난 · 누출 · 변조 또는 훼손을 방지하기 위하여 대통령령
으로 정하는 기준에 따라 다음 각 호의 기술적 · 관리적 조치를 하여야 한다 . " 고 규정
하면서 , 그 기술적 · 관리적 조치로서 ' 개인정보를 안전하게 취급하기 위한 내부관리계
획의 수립 · 시행 ( 제1호 ) ' , ' 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시
스템 등 접근 통제장치의 설치 · 운영 ( 제2호 ) ' , ' 접속기록의 위조 · 변조 방지를 위한 조
치 ( 제3호 ) ' , ' 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안
조치 ( 제4호 ) ' , ' 백신 소프트웨어의 설치 · 운영 등 컴퓨터 바이러스에 의한 침해 방지조치
( 제5호 ) ' , ' 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치 ( 제6호 ) ' 를 규정하
고 있다 . 따라서 정보통신서비스 제공자는 구 정보통신망법 제28조 제1항 각호에서 정
하고 있는 개인정보의 보호를 위하여 필요한 기술적 · 관리적 조치를 취하여야 할 법률
상 의무를 부담한다 . 나아가 정보통신서비스 제공자가 정보통신서비스를 이용하려는
이용자와 정보통신서비스 이용계약을 체결하면서 , 이용자로 하여금 이용약관 등을 통
해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면 , 정보
통신서비스 제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실 · 도난 · 누출 · 변
조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야
할 정보통신서비스 이용계약상의 의무를 부담한다 .
그런데 정보통신서비스가 ' 개방성 ' 을 특징으로 하는 인터넷을 통하여 이루어지고 정
보통신서비스 제공자가 구축한 네트워크나 시스템 및 그 운영체제 등은 불가피하게 내
재적인 취약점을 내포하고 있어서 이른바 ' 해커 ' 등의 불법적인 침입행위에 노출될 수
밖에 없고 , 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용
등을 고려할 때 기대하기 쉽지 아니한 점 , 해커 등은 여러 공격기법을 통해 정보통신
서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서
비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고 , 해커의 침입행위를
방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이
를 보완하는 방식으로 이루어지는 것이 일반적인 점 등의 특수한 사정이 있으므로 , 정
보통신서비스 제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에
따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상
의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알
려져 있는 정보보안의 기술 수준 , 정보통신서비스 제공자의 업종 · 영업규모와 정보통
신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용 , 정보보안에 필요한 경제적
비용 및 그 효용의 정도 , 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발
생의 회피가능성 , 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누
출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보
통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도
의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다 . 특히 구 정보통신망 이
용촉진 및 정보보호 등에 관한 법률 시행령 ( 2012 . 8 . 17 . 대통령령 제24047호로 개정되
기 전의 것 , 이하 ' 구 정보통신망법시행령 ' 이라 한다 ) 제15조는 구 정보통신망법 제28
조 제1항 각호에 규정된 각 기술적 · 관리적 조치의 기준으로 제1항 내지 제5항에서 구
체적인 보호조치를 정하고 있을 뿐만 아니라 , 제6항에서 " 방송통신위원회는 제1항부터
제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의
안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다 . "
라고 규정하고 있고 , 이에 따라 방송통신위원회가 마련한 이 사건 고시는 해킹 등 침
해사고 당시의 기술수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망법 제
28조 제1항 , 구 정보통신망법 시행령 제15조 제6항에 따라 준수해야 할 기술적 · 관리적
보호조치의 구체적인 기준을 규정하고 있으므로22 ) , 정보통신서비스 제공자가 이 사건
고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다면 , 특별한 사정이 없는 한 ,
정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할
법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다 ( 대법원 2015 . 2 . 12 . 선고
2013다43994 , 44003 판결 등 참조 ) .
한편 , 정보통신서비스 제공자가 설치한 하드웨어 또는 소프트웨어의 기능을 활용하
지 않았고 , 그 기능을 활용하였더라면 해킹을 충분히 막을 수 있었다는 사유만으로 정
보통신서비스 제공자가 기술적 · 관리적 보호조치를 다하지 못한 잘못이 있다고 추정할
수는 없고 , 정보통신서비스 제공자가 설치한 하드웨어 또는 소프트웨어상의 특정한 기
능을 기술적 · 관리적 보호조치로서 사용할 정보통신망 관련 법령상 또는 계약상 의무
가 있었다는 점에 관하여 이를 주장하는 자가 입증하여야 할 것이다 .
다 . 판단
앞서 본 법리에 따라 나머지 원고들이 피고가 계약상 또는 정보통신망 관련 법령
상 개인정보의 보호를 위한 기술적 · 관리적 보호조치를 위반한 과실이 있다고 주장하
는 각 항목에 대하여 살펴본다 .
1 ) 실시간 모니터링을 하지 않는 등 침입탐지시스템이나 DLP 솔루션을 적절하게
사용하지 못한 과실에 관하여
가 ) 실시간 모니터링 또는 DLP 솔루션 사용의무의 유무
먼저 피고가 개인정보 보호를 위하여 이 사건 DB 서버에서 대량으로 유출
되는 정보를 실시간으로 모니터링하거나 DLP 솔루션을 사용할 것을 내용으로 하는 기
술적 · 관리적 보호조치를 취하여야 할 의무가 있는지 여부에 관하여 살피건대 , 갑 제
83호증 , 갑 제89호증 , 갑 제105호증 , 갑 제106호증의 1 , 2 , 을가 제17호증의 1 내지
14 , 을가 제46호증 , 을가 제47호증의 각 기재에 변론 전체의 취지를 종합하면 , 이 사건
해킹사고 당시 많은 사업자가 DLP 솔루션을 일반적으로 사용하고 있었고 , 특히 피고
가 설치한 주식회사 J의 > DLP 솔루션은 100여 개 사업자가 사용하고 있었
던 사실 , 위 2 DLP 솔루션은 사용자 컴퓨터에 저장된 전자문서 및 데이터가
외부로 유출되는 것을 탐지 또는 차단 , 로그를 생산하여 자료의 유출을 방지하고 감시
및 추적 기능을 제공하는 자료유출방지시스템인바 , 이름 , 주소 , 전화번호 , 이메일주소 ,
주민등록번호 , 계좌번호 등 특정 패턴의 정보가 들어 있는 파일을 식별할 수 있는 기
능 , 이들 정보가 특정 건수 이상 유출될 경우에는 관리자에게 경고를 발송하거나 위
유출을 차단시키거나 일시적으로 차단 후 상급자가 승인을 하여야 위 차단이 해제되는
기능 , 모니터링에 있어서 실시간 유출조회 화면을 통해 유출상황을 관리자가 한눈에
파악할 수 있는 기능 등을 제공하고 있는 사실 , 또한 피고가 사용한 △△△△ 모니터
링 프로그램은 동시에 여러 개의 probe ( 측정기 ) 를 사용하여 특정지점의 트래픽 , 스피드
등을 모니터링할 수 있고 , 윈도우 , 리눅스 OS 뿐만 아니라 SQL Server의 모니터링까지
도 가능한 사실을 인정할 수 있다 . 그러나 한편 , 구 정보통신망법 시행령 제15조 제2항
제2호는 개인정보처리시스템에 대한 불법적인 접근을 차단하기 위한 침입차단시스템
및 침입탐지시스템의 설치 · 운영을 보호조치의 하나로 규정하고 있고 , 이에 따라 이
사건 고시 제4조 제5항은 정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접
근 및 침해사고 방지를 위해 ' 개인정보처리시스템에 대한 접속권한을 IP 주소 등으로
제한하여 인가받지 않은 접근을 제한 ( 제1호 ) ' 하고 , ' 개인정보처리시스템에 접속한 IP 주
소 등을 재분석하여 불법적인 개인정보유출시도를 탐지 ( 제2호 ) ' 하는 기능을 포함한 시
스템을 설치 · 운영하여야 한다고 규정하고 있는바 , 위 각 규정의 내용 및 취지에 비추
어 보면 제1호는 침입차단시스템을 의미하고 제2호는 침입탐지시스템을 의미하는데 그
렇다고 하여 더 나아가 이 사건 DB 서버에서 대량으로 유출되는 정보를 실시간으로
모니터링하는 기능이나 사용자 컴퓨터에 저장된 전자문서 및 데이터가 외부로 유출되
는 것을 탐지 또는 차단하고 이를 감시 및 추적하는 기능을 갖춘 DLP 솔루션을 설
치 · 운영해야 하는 것까지 규정한 것으로 보기는 어렵고 달리 이를 인정할 증거가 없
다 . 이에 대하여 나머지 원고들은 , 피고가 사용한 오 DLP 솔루션이나 △△△
△ 모니터링 프로그램으로 데이터 전송량과 FTP에 대한 모니터링을 하여 정보유출을
막는 것이 가능함에도 이를 제대로 활용하지 아니한 잘못이 있다고 주장하나 , 위와 같
은 기능을 구현할 수 있다는 것과 그 기능을 구현해야 할 정보통신망 관련 법령상 또
는 계약상 의무가 있다는 것은 서로 다른 차원의 문제이고 , 피고가 위와 같은 기능을
사용하지 않았다는 점만으로는 개인정보에 대한 불법적인 접근을 차단하기 위한 기술
적 · 관리적 보호조치를 위반한 것이라고 볼 수도 없다 .
한편 , 구 정보통신망법 제45조 제1항에서 " 정보통신서비스 제공자는 정보통신서비
스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조
치를 하여야 한다 . " 라고 규정하고 , 제2항에서 " 방송통신위원회는 제1항에 따른 보호조
치의 구체적 내용을 정한 정보보호조치 및 안전진단의 방법 · 절차 · 수수료에 관한 지
침을 정하여 고시하고 정보통신서비스 제공자에게 이를 지키도록 권고할 수 있다 . " 라
고 규정하며 , 제3항에서 정보보호지침에 포함되어야 할 사항으로 ' 정당한 권한이 없는
자가 정보통신망에 접근 침입하는 것을 방지하거나 대응하기 위한 정보보호시스템의
설치 · 운영 등 기술적 · 물리적 보호조치 ( 제1호 ) ' , ' 정보의 불법 유출 · 변조 · 삭제 등을 방지
하기 위한 기술적 보호조치 ( 제2호 ) ' , ' 정보통신망의 지속적인 이용이 가능한 상태를 확
보하기 위한 기술적 · 물리적 보호조치 ( 제3호 ) ' , ' 정보통신망의 안정 및 정보보호를 위한
인력 · 조직 · 경비의 확보 및 관련 계획수립 등 관리적 보호조치 ( 제4호 ) ' 를 규정하고 있는
바 , 이에 따라 정보보호지침 제2조에서는 구 정보통신망법 제45조 제2항에 따라 정보
통신서비스 제공자가 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위하여 마련
하여야 하는 관리적 · 기술적 · 물리적 보호조치의 구체적인 내용으로 , ' 네트워크 모니터
링 도구를 이용하여 백본망23 ) , 주요 노드24 ) 및 외부망과 연계되는 주요 회선의 트래픽
소통량을 24시간 모니터링 ' , ' 이상징후 탐지를 알리는 경고기능을 설정하여 운영 ' , ' 정보
보호시스템 보안기능 ( 비정상 트래픽 차단 등 ) 의 정상작동 여부를 주기적으로 점검 ( 월 1
회 이상 ) ' 등을 규정하고 있다 . 그러나 앞서 본 바와 같이 구 정보통신망법은 제4장
' 개인정보의 보호 ' 부분에서 제28조를 두어 정보통신서비스 제공자 등의 개인정보 보호
를 위한 기술적 · 관리적 조치를 규정하고 이에 따라 구 정보통신망법시행령 제15조 및
이 사건 고시를 통하여 개인정보 보호를 위한 구체적인 기술적 · 관리적 보호조치 기준
을 규정하고 있으므로 정보통신서비스 제공자는 정보통신망 관련 법령상의 기술적 · 관
리적 보호조치를 이행함으로써 개인정보 보호조치를 다한 것으로 볼 것이고 , 구 정보
통신망법 제45조는 제6장 ' 정보통신망의 안정성 확보 등 ' 부분에 규정되어 있고 그 보
호조치의 목적이 ' 정보통신망의 안정성 및 정보의 신뢰성 ' 을 확보하기 위한 것에 있을
뿐만 아니라 정보보호지침을 정하여 정보통신서비스 제공자에게 이를 지키도록 권고할
수 있다고만 규정하고 있는 점 , 피고는 구 정보통신망법 제46조의3 제1항 , 정보보호지
침 제5조 제1항 [ 별표 3 ] 에 규정된 정보보호 안전진단을 받아야 하는 자 중 ' 주요정보
통신서비스 제공자 및 인터넷접속역무 제공자 ' , ' 집적 정보통신시설 사업자 ' 에 해당하지
아니하므로25 ) 기술적 보호조치 중 네트워크 보안으로 2 . 1 . 1 . 항의 트래픽 모니터링에 대
한 안전진단을 받아야 할 의무는 없는 것으로 보이는 점에 비추어 보면 , 피고가 준수
해야 할 정보통신망 관련 법령상의 개인정보 보호를 위한 기술적 · 관리적 보호조치에
개인정보처리시스템에서 대량으로 유출되는 정보를 실시간으로 모니터링하는 보호조치
가 포함되어 있다고 보기는 어렵다 .
나 ) 실시간 모니터링 조치의 위반 여부
설령 피고가 대용량 트래픽과 FTP 파일전송에 대하여 실시간으로 모니터링
을 하거나 DLP 솔루션을 설치 , 운영할 의무가 있었다고 하더라도 , 갑 제43호증 , 을가
제9호증 , 을가 제42호증의 각 기재 및 제1심증인의 증언만으로는 피고가 침입탐지시스
템과 DLP 솔루션을 통하여 트래픽과 FTP 파일전송을 실시간 모니터링하여 이상징후
를 탐지해야 할 기술적 · 관리적 보호조치를 위반하였다고 인정하기에 부족하고 달리
이를 인정할 증거가 없을 뿐만 아니라 , 오히려 을가 제5호증 , 을가 제16호증 , 을가 제
17호증의 1 내지 14 , 을가 제57호증 , 을가 제69호증의 1 내지 4의 각 기재에 변론 전
체의 취지를 종합하여 인정되는 다음과 같은 사정 , 즉 ① 피고는 L 등과 개인정보처리
시스템에 대한 침입차단시스템 또는 침입탐지시스템의 설치 , 유지보수 , 증설계약 등을
체결하여 위 각 시스템을 설치 · 운영하고 있는바 , 침입차단시스템은 개인정보처리시스
템에 대한 접속권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한하는 방화
벽을 설치하는 방법으로 운영하고 있고 , 침입탐지시스템은 침입차단 시 개인정보처리
시스템에 접속한 IP 주소 등을 재분석하여 불법적인 개인정보 유출시도를 탐지하도록
하는 등의 방법으로 운영하고 있는 점 , ② 피고가 사용한 20 DLP 솔루션은
피고 직원의 컴퓨터에서 외부로 전송되는 내역만을 탐지 대상으로 삼을 수 있었을 뿐 ,
이 사건 DB 서버에서 게이트웨이 서버로 전송되는 내역 및 윈도우 서버 운영체제를
사용하는 게이트웨이 서버에서 피고 직원의 컴퓨터로 전송되는 내역이나 암호화된 비
밀번호와 주민등록번호를 탐지할 수 없었던 점 , ③ 이 사건 해킹사고 당시 이 사건 해
커가 사용한 방식처럼 ' command 상태 ( 일명 DOS ) ' 에서 FTP 프로그램을 실행하여 파
일을 전송할 경우 , 위 DLP 솔루션이 이름 , 주소 , 전화번호 , 이메일 주소 등 개인정보
유출을 탐지하지 못하는 프로그램 오류 ( bug ) 가 존재하여 위와 같은 개인정보 유출이
탐지된 내역이 없었던 점 , ④ 피고와 보안관제계약을 체결한 L의 모니터링은 네트워크
장비의 정상작동 여부를 확인하기 위한 것이어서 그 모니터링상의 임계치를 심야시간
과 업무시간을 나누어 설정할 이유가 없었으므로 , 야간에 2GB , 2GB , 6GB 합계 10GB
에 해당하는 트래픽을 명백한 이상징후로 포착하지 못하였다고 하여 모니터링 조치에
문제가 있었다고 단정하기 어려운 점 , ⑤ 0 DLP 솔루션에는 파일 용량을 기
준으로 정보 유출을 차단하는 기능이 없었을 뿐만 아니라 , 평소 트래픽에 비하여 이
사건 해커가 2GB , 2GB , 6GB로 나누어 외부로 유출한 파일로 인하여 발생한 트래픽이
이상징후로 판단하여야 할 정도의 대용량이라고 보기도 어려운 점 , ⑥ 아래 2 ) 항에서
보는 바와 같이 피고는 업무상 FTP 프로그램을 사용할 필요가 있었으므로 FTP 파일
전송을 모니터링하고 통제하는 기능을 사용하지 않았다는 점만으로는 보안상 주의의무
를 위반하였다고 보기 어려운 점 등에 비추어 보면 , 피고가 정보통신망법 관련 법령에
서 규정한 개인정보 보호를 위한 기술적 · 관리적 보호조치를 적절하게 이행하였다고
봄이 상당하다 .
다 ) 소결
따라서 피고가 개인정보 보호를 위해 이 사건 DB 서버에서 유출되는 정보
를 실시간 모니터링하거나 DLP 솔루션을 사용해야 할 기술적 · 관리적 보호조치 의무
가 있다고 볼 수 없고 , 그렇지 않다고 하더라도 침입탐지시스템과 DLP 솔루션을 통하
여 트래픽과 FTP 파일전송을 모니터링하여 이상징후를 탐지해야 할 기술적 · 관리적
보호조치를 위반하였다고 보기 어려우므로 , 이와 다른 전제에 선 나머지 원고들의 위
주장은 이유 없다 .
2 ) FTP를 사용하거나 FTP 파일전송을 탐지하지 못한 과실에 관하여
살피건대 , 이 사건 해커가 이 사건 DB 서버에서 게이트웨이 서버로 개인정보
를 다운받은 후 FTP를 이용하여 F과 G의 컴퓨터를 거쳐 중국으로 전송해간 사실은
앞서 본 바와 같고 , 을가 제5호증의 기재에 의하면 피고의 개인정보보호 업무지침서
제26조 제4항은 " 개인정보 접근 PC에 대한 NULL session 접근이 불가능하도록 보안
설정을 하고 , telnet 및 ftp 서비스 등 보안상 취약한 서비스는 제공하지 않도록 한다 . "
라고 규정하고 있는 사실은 인정할 수 있다 . 그러나 한편 , 을가 제44호증 , 을가 제49호
증 ( 을가 제56호증과 같다 ) , 을가 제50호증의 1 , 2 ( 을가 제55호증의 1 , 2와 같다 ) 의 각
기재와 제1심증인의 증언에 변론 전체의 취지를 종합하여 인정되는 다음과 같은 사정 ,
즉 ① 구 정보통신망법 제45조에 따른 정보보호지침 제2조는 보호조치의 구체적인 내
용으로 [ 별표 1 ] 2 . 2 . 5 . ( 라우터 / 스위치 보안 ) 항은 ACL26 ) 등의 접근제어 기능을 적용할
수 있는 설비사용을 , 같은 표 2 . 2 . 8 . ( 접근통제 및 보안설정 관리 ) 항은 불필요한 프로토
콜 및 서비스 제거 등 보안설정을 각 규정하고 있으나 , 위에서 말하는 라우터란 인터
넷접속서비스에서 네트워크 사이의 데이터 패킷을 전달할 때 경로를 지정하는 장비이
고 , 이에 비하여 피고의 게이트웨이 서버는 서로 다른 네트워크 프로토콜을 사용하는
두 네트워크를 연결하는 응용서버이므로 정보보호지침 [ 별표 1 ] 의 2 . 2 . 5 . 항에 규정된
라우터에 해당하지 아니할 뿐만 아니라 , 정보보호지침 [ 별표 1 ] 의 2 . 2 . 8 . 항에 규정된
' 라우터에서 불필요한 프로토콜을 제거하는 등 보안설정 ' 을 해야하는 대상은 주요정보
통신서비스 제공자 및 인터넷접속역무 제공자 , 집적 정보통신시설 사업자인데 피고는
위 각 사업자에 해당하지 않으므로 , 결국 피고로서는 DB 서버 관리자의 컴퓨터에서
FTP 프로그램을 삭제해야 할 법령상 의무를 부담하지 아니하는 점 , ② FTP 서비스란
사용자가 인터넷상에서 파일을 전송할 수 있게 하려는 것으로서 윈도우 웹서버에는 기
본적으로 제공되지 아니하여 FTP 서비스를 설치한 후에 직접 실행하여야 함에 비하
여27 ) FTP 클라이언트 ( ftp . exe ) 는 FTP 사이트로 접속할 수 있도록 하는 프로그램으로
서 MS 윈도우 , 애플 Mac OS와 Linux , Unix 등 모두 컴퓨터 운영체제에 기본적으로 포
함되어 있는 것이라는 점에서 서로 구별되는 점 , ④ 피고의 개인정보보호 업무지침서
제26조 제4항은 개인정보 접근 PC를 FTP 서버로 이용할 때 , 즉 FTP 서비스를 제공하
는 경우에는 클라이언트로 이용할 때와는 전혀 다른 보안문제가 발생하기 때문에 개인
정보 접근 PC를 FTP 서버로 설정하는 행위 , 즉 개인정보 접근 PC에서 파일 공유를
열어주는 방식을 통해 타 컴퓨터로의 접속 및 파일전송을 가능하게 만드는 기능을 금
지하는 취지인데 , 이 사건 해킹사고는 개인정보 접근 PC를 FTP 서버로 설정함으로써
발생한 것이 아니라 해커가 개인정보 접근 PC를 FTP 클라이언트로 사용하여 개인정보
를 전송한 것이므로 , 이 사건 해킹사고와 관련하여 개인정보보호 업무지침서 제26조
제4항을 위반하였다고 볼 수 없는 점 , ⑤ 피고의 게이트웨이 서버의 FTP 프로그램과
DB 서버 관리자 컴퓨터의 FTP 클라이언트 기능은 여행정보 및 향토문화 DB 수신 , 외
부기관에 대한 배경음악사용 정산내역 발신 , DB 서버 보안패치를 위한 파일전송 등 평
소 업무처리에 필요한 것이었던 점 ( 을가 제55호증의 1 , 2 , 을가 제49호증 ) , ⑥ FTP 프
로그램이 아니더라도 네이트온 등의 메신저 , 대용량 웹 메일서비스 , 웹서버 업로드 ,
SMTP ( Simple Mail Transfer Protocol ) 등 다양한 프로그램이나 방식을 이용하여 대량
정보 전송이 가능한 이상 피고가 FTP 프로그램을 사용했다는 사실만으로 어떠한 주의
의무를 위반하였다고 단정하기도 어려운 점 , ⑦ 아래 6 ) 항에서 보는 바와 같이 피고의
침입탐지시스템에서 2011 . 7 . 28 . 피고 내부의 PC에서 FTP 포트 접근을 하나의 침입
으로 탐지하였던 것은 이 사건 해킹사고 이후에 밝혀진 사고내용에 따라 피고가 보안
상 테스트를 한 것에 불과하므로 구체적인 해킹 내용이 밝혀지지 않았던 이 사건 해킹
사고 이전에도 FTP 프로그램의 사용시도를 하나의 침입패턴으로 탐지할 수 있었던 것
으로 보이지는 않는 점 , ⑧ 앞서 본 바와 같이 이 사건 해커가 command 상태 ( 일명
DOS창 ) 에서 FTP 명령을 실행하여 파일을 전송하는 방식을 사용하면 피고가 사용한
◇◇◇◇◇ DLP 솔루션이 이름 , 주소 , 전화번호 , 이메일 주소 등 개인정보 유출을 탐
지하지 못하는 프로그램 오류 ( bug ) 로 인하여 이 사건 해킹사고 당시 개인정보 유출이
탐지되지 않았던 점 등에 비추어 보면 , 피고가 FTP 프로그램을 설정하였다거나 FTP
파일전송을 탐지하지 못하였다는 사정만으로는 피고가 개인정보에 대한 불법적인 접근
을 차단하기 위한 기술적 · 관리적 보호조치를 위반하였다거나 위와 같은 피고의 행위
가 이 사건 해킹사고의 발생과 상당인과관계에 있다고 볼 수 없다 . 따라서 나머지 원
고들의 위 주장은 이유 없다 .
3 ) 개인정보 출력시 사전 승인조치를 취하지 아니한 과실에 관하여
살피건대 , 이 사건 고시 제8조 제1항은 " 정보통신서비스 제공자 등은 개인정보
처리시스템에서 개인정보의 출력 시 ( 인쇄 , 화면표시 , 파일생성 등 ) 용도를 특정하여야
하며 , 용도에 따라 출력 항목을 최소화한다 . " 라고 규정하고 있고 , 제2항은 " 정보통신서
비스 제공자 등은 개인정보가 포함된 종이 인쇄물 , 개인정보가 복사된 외부 저장매체
등 개인정보의 출력 · 복사물을 안전하게 관리하기 위해 출력 · 복사 기록 등 필요한 보
호조치를 갖추어야 한다 . " 라고 규정하고 있으며 28 ) , 피고의 개인정보보호 업무지침서 제
31조에서도 기본적으로 개인정보 출력은 사전에 개인정보관리책임자의 승인 하에 이루
어지는 것을 원칙으로 한다고 규정하고 있으나 , 위와 같은 규정만으로는 피고가 개인
정보관리책임자의 사전승인을 받지 않으면 개인정보 출력 ( 인쇄 , 화면표시 , 파일생성
등 ) 자체가 이루어질 수 없도록 하는 결재시스템을 구비해야 할 의무가 있다고 단정하
기 어려울 뿐만 아니라 , 갑 제43호증 ( 개인정보의 기술적 · 관리적 보호조치 기준 해설
서 , 을가 제45호증은 그 일부이다 ) 의 기재에 의하면 , 이 사건 고시 제8조를 둔 취지는
접근통제 ( Access Control ) , 암호화 등의 방법은 개인정보취급자가 아닌 비인가자에 의
한 개인정보 유출을 방지하는데 효과적이나 개인정보취급자로 인한 유출을 방지하기
위해서는 별도의 조치가 필요하므로 , 개인정보취급자가 개인정보를 복사 · 인쇄 등을
하고자 할 경우 개인정보관리책임자의 사전승인을 받도록 하는 등 통제절차를 마련하
여 개인정보의 유출을 방지하고자 하는데 있다는 사실을 인정할 수 있으므로 , 결국 이
사건 고시 제8조는 정상적인 경로를 통하여 권한을 가진 자가 개인정보파일 등을 출력
할 때 지켜야 할 보호조치를 규정한 것으로서 이 사건 해킹사고와 같이 권한 없는 자
에 의한 정보유출의 경우에 적용될 수는 없다고 할 것이다 ( 을가 제22호증의 1 , 2의 각
기재에 변론 전체의 취지를 종합하면 , 피고는 평소 개인정보 추출 , 전송 시에 신청자가
개인정보신청서를 작성하여 추출 , 전송을 요청하고 결재권자가 결재를 한 후 데이터가
추출될 수 있도록 관리한 사실을 인정할 수 있으므로 , 피고는 이 사건 고시 제8조와
개인정보보호 업무지침서 제31조를 준수한 것으로 보인다 ) . 따라서 이와 다른 전제에
선 나머지 원고들의 위 주장은 이유 없다 .
4 ) IP 통제를 하지 않거나 직원들간 계정을 공유한 과실에 관하여
살피건대 , 이 사건 고시 제4조 제5항 제1호에서는 정보통신서비스 제공자 등이
정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 대
한 접속권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한하는 기능을 포함
한 시스템을 설치 · 운영하여야 한다고 규정하고 있는바 , 앞서 본 바와 같이 이 사건
해커가 이 사건 DB 서버에 대한 접근 권한이 없는 F의 IP 주소로 VPN 서버에 접속한
다음 게이트웨이 서버와 이 사건 DB 서버에는 이 사건 DB 서버에 대한 접근 권한이
있는 G의 DB 관리자 아이디와 비밀번호를 이용하여 접속한 사실을 인정할 수 있고 ,
갑 제121호증의 1 내지 3 , 갑 제122호증 , 을가 제54호증의 4의 각 기재에 의하면 피고
의 SecureCRT에는 DB 서버에 접속할 때 사용자계정의 아이디와 비밀번호를 일일이
입력하는 불편을 덜기 위하여 사전에 아이디와 비밀번호를 환경설정에 입력하여 놓음
으로써 목록에서 선택만 하면 해당 계정으로 자동으로 로그인할 수 있게 해주는 Quick
Connect 기능이 포함되어 있는 사실을 인정할 수 있으나 , 위 인정사실만으로 피고가
IP 주소에 대한 통제를 통하여 인가받지 않은 접근을 제한하는 기능을 포함한 시스템
을 설치 · 운영하지 않았다거나 피고의 DB 관리자들이 DB 서버에 접속할 때 위와 같
은 Quick Connect 기능을 사용하여 접속하였다고 단정하기 어렵고 , 더 나아가 F이 G
과 사이에 게이트웨이 서버 접속을 위한 G의 아이디와 비밀번호를 공유하고 있었다고
점을 인정할 증거가 없을 뿐만 아니라 , 오히려 을가 제42호증 , 을가 제43호증 , 을가 제
51호증의 각 기재에 변론 전체의 취지를 종합하여 인정되는 다음과 같은 사정 , 즉 F ,
G , H은 모두 DB 기술팀 소속으로 DB 서버 접속권한이 있고 ( 다만 F은 이글루스 DB
서버 관리자이고 G , H은 이 사건 DB 서버 관리자들이다 ) , DB 기술팀의 직원들이 DB
서버에 접속하기 위해서는 VPN을 통해 먼저 게이트웨이 서버에 접속해야 하는 점 , 피
고는 이러한 접속과정에서 게이트웨이 서버에 접속가능한 IP 주소를 DB 서버에 접속
할 권한이 있는 직원들이 사용하는 컴퓨터의 IP 주소로 한정시키고 , DB 서버에 접속가
능한 IP 주소는 게이트웨이 서버의 IP 주소로 한정시키는 방법으로 허용되지 않은 IP
주소를 통해 게이트웨이 서버나 DB 서버에 접근할 수 없도록 조치를 취하고 있는 점 ,
이 사건 DB 서버로의 연결을 담당하는 게이트웨이 서버는 모두 4대였는바 , 이 사건
DB 서버 관리자가 게이트웨이 서버에 접속하는 경우 게이트웨이 서버의 이용상황에
따라 임의로 그 사용자계정이 배정되었기 때문에 이 사건 DB 서버 관리자가 2명임에
도 로그기록상 사용자계정이 4개 존재하게 된 것일 뿐 DB 서버 관리자들이 IP 주소와
아이디 , 비밀번호를 공유하면서 사용한 것으로 보이지는 않는 점 등에 비추어 보면 , 피
고는 게이트웨이 서버나 이 사건 DB 서버에 대하여 적절한 수준으로 IP 통제를 하고
있었다고 봄이 상당하다 .
이에 대하여 나머지 원고들은 , 위와 같은 접속방식에 의하면 결과적으로 이 사건
DB 서버의 관리권한이 없는 F의 컴퓨터 IP 주소로도 이 사건 DB 서버에 접속하는 것
을 가능하도록 허용하게 되므로 이 사건 고시에 따른 IP 통제의무를 제대로 이행하지
않는 것이라고 주장하나 , 앞서 본 바와 같이 이 사건 해커가 이미 키로깅을 통하여 이
사건 DB 서버 관리자인 G의 아이디와 비밀번호를 취득하고 게이트웨이 서버부터는 이
를 이용하여 접속한 이상 , 피고에게 게이트웨이 서버 이후의 단계에서 해당 접속행위
가 애초 F의 컴퓨터로부터 시작되었다는 것까지 인식하여 이를 막을 의무가 있었다거
나 피고가 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적 · 관리적 보호조치
를 위반하였다고 볼 수는 없다 .
결국 나머지 원고들의 위 주장은 모두 이유 없다 .
5 ) 공인인증서 등을 사용하지 아니한 과실에 관하여
먼저 이 사건 고시 제4조 제4항은 " 정보통신서비스 제공자 등은 개인정보취급
자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인
인증서 등 안전한 인증수단을 적용하여야 한다 . " 라고 규정하고 있는바 , 위 규정상 ' 외
부에서 개인정보처리시스템에 접속하는 경우 ' 의 의미에 관하여 살피건대 , 갑 제56호증 ,
갑 제60호증 , 을가 제60 내지 63호증의 각 기재에 변론 전체의 취지를 종합하면 , ' 개인
정보의 안전성 확보조치기준 ( 행정안전부고시 제2011 - 43호 ) ' 에서는 내부망이란 인터넷
구간과 물리적으로 망이 분리되어 있거나 비인가된 불법적인 접근을 차단하는 기능 등
을 가진 접근통제시스템에 의하여 인터넷 구간에서의 직접 접근이 불가능하도록 통제 ·
차단되어 있는 구간으로 정의하고 있는 사실 , 사업환경에 따라 지리적으로 떨어진 지
사나 대리점 등에서 개인정보처리시스템에 접속할 경우 인터넷망을 이용하지 않고 전
용회선이나 VPN을 이용하여 내부 네트워크처럼 구성하여 사용할 수 있는 사실 , 이러
한 VPN은 두 곳의 전산설비 사이를 물리적으로 직접 연결하지 않고 일반 공중망을 통
하여 연결하지만 거기에 암호 프로토콜을 사용한 터널링 기술을 적용하여 외부로부터
의 침입을 차단함으로써 논리적으로 전용의 상태를 만들어주는 기능을 하는 사실을 인
정할 수 있는바 , 위 인정사실에 의하면 장소적으로 떨어져 있는 두 개의 전산 네트워
크 사이를 VPN 등의 전용선을 통하여 연결하고 있으면 이 네트워크 전체를 하나의 내
부망으로 볼 수 있고 , 이러한 내부망의 한쪽 네트워크에서 다른 쪽 네트워크로 접속하
는 것은 이 사건 고시 제4조 제4항에 규정된 ' 외부에서 개인정보처리시스템에 접속하
는 경우 ' 에 해당하지 않는다고 볼 것이다 .
이러한 전제에서 이 사건을 보건대 , 피고의 경우 피고사옥의 컴퓨터 네트워크와
IDC를 VPN으로 연결하고 있는바 , 이 사건 해커가 인터넷망 외부에서 직접 개인정보처
리시스템인 IDC에 접속한 것이 아니라 피고사옥에 있는 직원 F , G의 컴퓨터에 침입한
후 그 컴퓨터에서 정상적인 접속경로와 같이 VPN을 통하여 IDC에 있는 이 사건 DB
서버에 접속한 사실은 앞서 본 바와 같으므로 , 이 사건 해킹사고는 이 사건 고시 제4
조 제4항이 적용되는 경우에 해당하지 않는다고 할 것이고 , 나아가 이 사건 해킹사고
당시 피고가 내부에서 개인정보처리시스템에 접속하는 경우에는 추가적인 인증수단을
거치도록 하지는 않았다고 하더라도 정보통신망 관련 법령상 기술적 · 관리적 보호조치
에는 내부에서 개인정보처리시스템에 접속하는 경우까지 추가적인 인증수단을 적용하
도록 규정하고 있지는 아니하므로 , 결국 이 사건 해킹사고 당시 피고가 피고사옥에서
IDC로 접속함에 있어 공인인증서 등 추가적인 인증수단을 강구하지 않았다고 하여 어
떠한 잘못이 있다고 볼 수는 없다 . 따라서 나머지 원고들의 위 주장은 이유 없다 .
6 ) 역접속을 차단하지 못하였다는 과실에 관하여
살피건대 , 을가 제35호증 , 을가 제42호증 , 을가 제68호증의 각 기재에 변론 전
체의 취지를 종합하면 , 이 사건 해커가 2011 . 7 . 18 . 이 사건 해킹사고와 동일한 방법
으로 I의 ○○ 업데이트 서버를 이용해서 K 직원의 컴퓨터에 ALAD2 . exe라는 악성파일
을 감염시킨 사실 , 위 컴퓨터에서 Nateon . dll 파일이 생성 , 실행되어 이 사건 해커가 중
국 내에 설치한 IP 주소로 역접속을 시도하였으나 K의 침입방지시스템에 의하여 차단
된 사실 , L이 2011 . 7 . 28 . 23 : 44경 피고의 내부 컴퓨터에서 중국에 있는 IP 주소로
FTP 포트 접근을 탐지하였던 사실은 인정할 수 있으나 , 위 증거들에 변론 전체의 취지
를 종합하여 인정되는 다음과 같은 사정 , 즉 K이 그 직원의 컴퓨터에서 이 사건 해커
의 컴퓨터로의 역접속 시도를 차단한 방법이나 구체적인 경위를 알 수 없는 이상 ( 즉 K
이 별도로 등록한 IP 주소와 일치하여 차단된 것인지 , 비정상 접속행위에 해당하여 차
단된 것인지 , 사전 등록한 침입패턴에 부합하여 차단된 것인지 등 다양한 방법이 있을
수 있으나 이를 구체적으로 알 수 없다 ) , K은 위와 같은 역접속 시도를 차단하였음에
도 피고가 이를 차단하지 못하였다고 하여 피고의 침입탐지시스템 등의 운영에 어떠한
잘못이 있다고 단정하기는 어려운 점29 ) , L이 2011 . 7 . 28 . 탐지한 FTP 포트 접근 내용
은 피고의 보안문화추진팀에서 이 사건 해킹사고가 발생한 이후에 밝혀진 사고내용에
따라 보안상의 취약점을 테스트하기 위한 목적에서 시도한 것에 불과하므로 , 이러한
사실만으로 피고가 이 사건 해킹사고의 발생 이전에 역접속을 충분히 탐지하여 차단할
수 있었다고 보기도 어려운 점 등에 비추어 보면 , 피고가 기술적 · 관리적 보호조치를
위반하여 역접속을 차단하지 못한 것으로 볼 수는 없다 . 따라서 이와 다른 전제에 선
나머지 원고들의 위 주장은 이유 없다 .
7 ) 컴퓨터 전원을 차단하지 아니한 과실에 관하여
살피건대 , 이 사건 해커가 F의 컴퓨터에 원격접속한 후 F의 컴퓨터를 통하여
이 사건 DB 서버로 접속한 것은 앞서 본 바와 같고 , 갑 제98호증의 1 내지 8의 각 기
재에 의하면 주요회사의 홈페이지에서 개인정보보호를 위한 안전수칙의 하나로 ' 하루
한번 컴퓨터를 껐다 켜고 , 컴퓨터를 이용하지 않을 때는 전원 끄기 ' 를 권고하고 있는
사실 , 한국인터넷진흥원의 ' 침해사고대응팀 ( CERT ) 구축 / 운영안내서 ' 에서도 PC에 대한
보안감사사항의 하나로 장기간 자리를 비우거나 퇴근 시의 전원 관리상태를 점검하도
록 규정하고 있는 사실을 인정할 수 있으나 , 이러한 인정사실만으로는 정보통신서비스
제공자가 개인정보보호를 위하여 퇴근할 때 컴퓨터의 전원을 차단하여야 하는 의무를
부담한다고 보기에 부족하고 달리 이를 인정할 증거가 없을 뿐만 아니라 , 이 사건 해
킹사고 당시 정보통신망 관련 법령에서도 정보통신서비스 제공자가 퇴근할 때 컴퓨터
의 전원을 차단하는 것을 개인정보보호를 위하여 필요한 기술적 · 관리적 보호조치로
규정하고 있지 아니하고 , 한편 을가 제78호증의 1 , 2 , 을가 제79호증의 1 내지 3 , 을가
제80호증 , 을가 제81호증의 1 , 2 , 을가 제82호증의 1 , 2의 각 기재에 변론 전체의 취지
를 종합하여 인정되는 다음과 같은 사정 , ① 피고는 DB 서버를 보안의 중요성 정도에
따라 A , B , C , D등급으로 구분하고 있는바 , 이 사건 DB 서버와 같은 회원 DB 서버는
A등급 중에서도 특히 보안의 필요성이 높아서 DB 관리자 컴퓨터에 직접 연결되지 않
고 게이트웨이 서버를 거쳐서 연결되도록 하고 나머지 등급의 DB 서버들은 관리자 컴
퓨터와 직접 연결되도록 구성되어 있는 점 , ② 이 사건 해킹사고 당시 F은 약 200대
남짓 되는 DB 서버를 관리하고 있었고 , 그 중 A등급에 속하는 이글루스 회원 DB 서
버를 비롯한 2대의 서버만이 게이트웨이 서버를 통하여 F 컴퓨터와 연결되고 나머지
서버들은 모두 F 컴퓨터와 직접 연결되어 있었으며 , 한편 서비스의 기능개편이나 성능
향상을 위한 DB 구조를 변경하는 작업이나 서버를 증설 , 교체하거나 버그를 개선하는
작업 , 고객대상 행사나 고객분석을 위하여 대규모 데이터를 추출하는 작업 등은 DB 성
능에 큰 영향을 미치므로 주로 고객들의 서비스 사용이 가장 적은 시점인 야간이나 새
벽에 그 작업을 수행하도록 명령을 내리고 퇴근할 필요가 있는바30 ) , 위와 같이 F의 컴
퓨터와 직접 연결된 DB 서버들의 경우 컴퓨터 전원을 끄게 되면 해당 명령을 수행할
수 없게 되는 점 , ③ 피고의 DB 서버를 관리하는 직원들은 야간에 DB 서버에 장애가
발생할 경우 신속하게 이를 해결할 수 있도록 순번에 따라 담당자를 정하고 해당 담당
자는 자신의 업무용 컴퓨터를 켜놓고 퇴근함으로써 장애발생 시 피고의 전산망 외부에
서 자신의 업무용 컴퓨터를 통하여 해당 DB 서버에 접속하여 문제를 해결하였는바 , F
은 이 사건 해킹사고 당시인 2011 . 7 . 26 . 과 2011 . 7 . 27 . 에 위와 같은 담당자로 지정
되어 자신의 컴퓨터를 켜놓은 상태에서 퇴근하게 된 점 , ④ 인터넷을 통한 정보통신서
비스는 24시간 동안 계속적으로 제공되어야 하는 특성이 있으므로 , 정보통신서비스 제
공자가 정보통신망 관련 법령상의 기술적 · 관리적 보호조치를 모두 취하였다면 단지
직접 업무를 처리하지 않는 시간에 컴퓨터의 전원을 차단하지 않았다는 사정만으로 어
떠한 잘못이 있다고 보기는 어려운 점 등에 비추어 보면 , F이 퇴근 시 자신의 업무용
컴퓨터의 전원을 끄지 않았다고 하여 정보통신망 관련 법령상의 기술적 · 관리적 보호
조치를 위반한 과실이 있다고 볼 수는 없다 . 따라서 나머지 원고들의 위 주장은 이유
없다 .
8 ) 퇴근 시 로그아웃을 하지 않거나 자동 로그아웃 기능을 설정하지 아니한 과실
에 관하여
살피건대 , 을가 제42호증 , 을가 제51호증의 각 기재에 변론 전체의 취지를 종
합하면 , F은 이 사건 해킹사고 발생 전날인 2011 . 7 . 25 . 16 : 48경부터 17 : 29경까지 자
신의 컴퓨터로 DB 서버에 접속하여 업무를 수행하였는데 , 작업이 종료된 이후에도 로
그아웃을 하지 아니하였던 사실 , 이 사건 해킹사고 발생 당시 피고가 운용하고 있던
DLP 솔루션에 ' 관리자 로그인 제한시간 설정 ' 기능이 포함되어 있었던 사실은 인정할
수 있으나 , 더 나아가 갑 제55호증 , 갑 제67호증 , 갑 제70 내지 74호증 , 갑 제76 내지
79호증의 각 기재만으로는 이 사건 해킹사고 당시 DB 서버 관리자가 작업종료 후 로
그아웃을 하여야 한다거나 자동 로그아웃 시간을 설정할 의무가 있었다고 인정하기에
부족하고 ( 위 각 증거들에 의하면 , 경찰청 블로그 , 산업기밀보호센터 , Mac OS 고객지원
센터 등의 전문가들이 컴퓨터 보안수칙의 하나로 " 자리를 비울 때는 사이트에서 로그
아웃하는 초보적인 노력만으로 해킹을 줄일 수 있다 . " 고 권고하고 있는 사실 , 한국데이
터베이스진흥원의 ' 데이터베이스 보안 가이드라인 ' 에서 " DB에 로그인한 후 일정 시간
동안 SQL 명령어를 수행하지 않는 경우에는 해당 세션을 차단하거나 재인증 후 사용
하도록 한다 . " 라고 규정하고 있는 사실 , 국세청 훈령인 ' 정보보안업무시행세칙 ' 에서 담
당자의 보안수칙으로 " 시스템을 사용하지 아니할 때나 이석 또는 퇴근할 때에는 반드
시 로그아웃한다 . " 라고 규정하고 있는 사실 , 한국인터넷진흥원의 ' 웹서버 구축 보안점
검안내서 ' 에서도 로그인한 후 일정 시간 동안 아무런 명령어를 입력하지 않으면 자동
으로 접속을 종료하거나 로그아웃이 되도록 설정하는 것을 권고하고 있는 사실 등을
인정할 수 있으나 , 이러한 인정사실만으로 정보통신서비스 제공자가 개인정보보호를
위하여 퇴근할 때 컴퓨터에서 로그아웃을 하거나 자동 로그아웃 기능을 설정하여야 하
는 의무를 부담한다고 보기에 부족하다 ) 달리 이를 인정할 아무런 증거가 없을 뿐만
아니라 , 앞서 본 바와 같이 F은 DB 성능에 큰 영향을 미치는 DB 구조를 변경하는 작
업이나 서버를 증설 , 교체하거나 버그를 개선하는 작업 , 대규모 데이터를 추출하는 작
업 등을 서비스 사용이 가장 적은 시점인 야간이나 새벽에 수행하도록 명령을 내리고
퇴근할 필요가 있었고 , 이러한 경우 F의 컴퓨터와 직접 연결된 DB 서버들의 경우 로
그아웃을 하게 되면 해당 명령을 수행할 수 없게 되는 점 , 이 사건 해커는 이미 키로
경을 통하여 이 사건 DB 서버 관리자인 G의 아이디와 비밀번호를 획득한 상태였기 때
문에 F이 자신의 컴퓨터에서 로그아웃을 하였는지 여부와 무관하게 언제든지 G의 아
이디와 비밀번호를 이용하여 게이트웨이 서버를 거쳐 이 사건 DB 서버에 로그인을 할
수 있었던 것으로 보이는 점 등에 비추어 보면 , F이 퇴근 시 자신의 업무용 컴퓨터에
서 로그아웃을 하지 아니하고 자동 로그아웃 기능을 설정하지 않았다고 하여 정보통신
망 관련 법령상의 기술적 · 관리적 보호조치를 위반한 과실이 있다거나 이 사건 해킹사
고의 발생과 사이에 상당인과관계가 있다고 볼 수는 없다 . 따라서 나머지 원고들의 위
주장은 이유 없다 .
9 ) OOO의 기능을 활용한 DB 보안을 제대로 하지 못한 과실에 관하여 31 )
살피건대 , 앞서 본 사실관계에 변론 전체의 취지를 종합하여 알 수 있는 다음
과 같은 사정 , 즉 ① exp 명령어나 특정 SQL 명령어가 이 사건 해킹에 이용된 사실은
앞서 본 바와 같으나 , exp 명령어는 어떤 데이터처리시스템에서 사용하고 있는 가상기
억접근방식 데이터 집합과 대체항목을 다른 시스템으로 동작시키기 위해서나 복원용
복사를 하기 위해 자기 테이프나 디스크 팩에 복사하는 것 또는 다른 컴퓨터 시스템에
서 사용하기 위해 자신의 시스템 데이터 등을 끄집어낼 때 사용하는 것이어서 32 ) 이 사
건 DB 서버와 관련된 작업에 사용해서는 안 되는 명령어라고 보기 어렵고 , 설령 나머
지 원고들의 주장과 같이 위 명령어가 DB 작업에 반드시 필요한 명령어는 아니라고
하더라도 그러한 사정만으로는 피고가 DB 관리자로 하여금 exp 명령어를 사용할 수
있도록 한 것이 기술적 · 관리적 보호조치를 위반한 것으로 단정하기도 어려운 점 , ②
트래픽이나 특정 명령어에 대한 모니터링은 개인정보 유출을 방지하기 위한 피고의 기
술적 · 관리적 보호조치의 내용에 포함된다고 보기 어려운 점 , ③ FTP 프로그램의 사용
은 앞서 본 바와 같은 이유로 직원의 업무용 컴퓨터를 FTP 서버로 사용하지 않고
FTP 클라이언트로 사용하는 것만으로는 정보보호지침이나 피고의 개인정보보호 업무
지침서의 해당 규정에 위반되지 않고 이러한 FTP 프로그램은 피고의 평소 정상적인
업무를 위해서도 필요하였던 점 , ④ 앞서 본 바와 같이 피고에게 개인정보의 출력 시
사전승인을 받지 않으면 그 작업을 할 수 없도록 하는 기능을 구현하여야 할 의무가
있다고 볼 수 없는 점 , ⑤ 이 사건 DB 서버에 대한 관리는 업무시간 외에도 이루어질
필요성이 있으므로 피고가 DB 관리자들로 하여금 심야시간에는 DB 서버에 대한 관리
행위를 금지하거나 사전승인을 받도록 할 의무를 부담한다고 볼 수 없는 점 , ⑥ 피고
가 사용하는 DB 보안 프로그램인 ○○○에 나머지 원고들의 주장과 같은 다양한 모니
터링 기능 등이 포함되어 있다는 사실만으로 그러한 기능에 따라 기술적 · 관리적 보호
조치를 해야 할 정보통신망 관련 법령상의 의무까지 있다고 인정할 수 있는 것은 아닌
점 등에 비추어 보면 , 설령 나머지 원고들이 주장하는 사실이 인정된다고 하더라도 그
러한 사유만으로 피고가 개인정보 보호를 위한 기술적 · 관리적 보호조치를 위반하였다 .
고 보기는 어렵다 . 따라서 나머지 원고들의 위 주장도 이유 없다 .
10 ) 소결
앞서 본 바와 같은 이 사건 해킹사고 당시 정보통신망 관련 법령에서 정한 기
술적 · 관리적 보호조치의 내용 , 당시 보편적으로 알려져 있는 정보보안의 기술 수준 ,
피고가 취하고 있던 전체적인 보안조치의 내용 , 정보보안에 필요한 경제적 비용 및 그
효용의 정도 , 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가
능성 , 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여
이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하면 , 피고가 개인정보
유출 방지에 관한 기술적 · 관리적 보호조치를 이행하지 아니한 과실로 인하여 이 사건
해킹사고가 발생하였다고 보기 어려우므로 , 이와 달리 피고가 계약상 또는 정보통신망
관련 법령상의 기술적 · 관리적 보호조치를 위반하였음을 전제로 한 나머지 원고들의
이 사건 청구는 나머지 점에 대하여 더 나아가 살펴 볼 필요 없이 모두 이유 없다 .
4 . 결론
그렇다면 원고들의 이 사건 청구는 모두 이유 없으므로 이를 각 기각할 것인바 , 제
1심판결은 이와 결론을 일부 달리하여 부당하므로 제1심판결 중 피고 패소부분을 취소
하고 , 그 취소부분에 해당하는 원고들의 청구를 모두 기각하기로 하여 , 주문과 같이 판
결한다 .
판사
재판장 판사 김기정
판사원익선
판사이완희
별지
주석
1 ) 네이트는 검색 , 뉴스 , 이메일 , UCC ( User Created Contents ) 공유 서비스 , 만화 등을 제공하는 포털사이트이다 .
2 ) 네이트에서 제공하는 인스턴트 메신저 ( Instant Messenger ) 이다 .
3 ) 싸이월드는 인터넷을 기반으로 한 소셜 네트워크 서비스 ( Social Network Service ) 로 , 싸이월드의 이용자들은 각자 홈페이지
( 미니홈피 ) 를 운영하면서 글이나 사진을 게시하고 , 배경음악을 설정하며 , 방명록 등을 통해 다른 이용자와 소통할 수 있다 .
4 ) 인터넷 서버는 습기 · 온도 · 전력 등 주변 환경에 매우 민감한 전산장비이므로 24시간 무정전 상태를 유지하는 안정성과 네트
워크 확장성을 갖춰야 한다 . IDC는 이렇게 까다로운 서버 , 통신장비의 운영과 관리를 하기 위해 첨단 전력설비와 통신 네트
워크 등을 보유하고 있다 .
5 ) Virtual Private Network이란 , 인터넷 ( 공중망 ) 을 활용하여 특정 사이트의 개별망들을 터널링 및 보안과정을 통해 암호화된 패
킷이나 배타적인 경로를 구성하여 하나의 사설망처럼 안전한 통신을 보장하는 가상 네트워크기술을 말한다 .
6 ) 컴퓨터 환경에서 프로그램들을 먼 거리의 서버에서 마치 바로 앞에서 실행하는 것처럼 구동할 수 있게 도와주는 일종의 소프
트웨어나 운영체제의 한 기능을 가리킨다 . 내부망과 외부망을 분리한 후 내부망에 연결된 컴퓨터에서 인터넷에 접속하기 위
하여 가상 PC를 실행시키는 것도 원격데스크톱과 같은 원리이다 .
7 ) 게이트웨이 ( Gateway ) 란 하나의 네트워크에서 다른 네트워크로 이동하기 위해 거쳐야 하는 관문이다 . 두 컴퓨터가 네트워크상
에서 연결되려면 동일한 프로토콜을 사용해야 하므로 , 프로토콜이 다른 네트워크상의 컴퓨터와 통신하는 경우 게이트웨이가
프로토콜 변환기 역할을 한다 . 이 사건에 있어서는 성수동에 있는 서버의 화면을 그대로 보고 마우스와 키보드로 조작할 수
있는 터미널 서비스 환경을 제공하는 역할을 한다 .
8 ) 이 사건 DB 서버와 게이트웨이 서버와는 별도의 서버로서 사용자 인증 , 로그 모니터링 기능 등을 할 수 있다 .
9 ) OOO의 클라이언트 모듈로서 OOO 서버와 대응하여 OOO 인증을 거치려는 컴퓨터 ( 이 사건에서는 게이트웨이 서버 ) 에
설치하는 것이다 .
10 ) DB에 접속하는 단말프로그램이다 .
11 ) 위 사용자계정은 DBMS ( Database management system ) 에 접속하기 위한 것이다 .
12 ) ISAPI 필터는 인터넷 정보 서버의 앞단에 위치하면서 인터넷 정보 서버로 들어온 모든 요청에 대해 가장 먼저 처리할 권한
과 인터넷 정보 서버가 생성한 응답을 클라이언트에 보내주기 전에 가공할 수 있는 권한을 가진다 .
13 ) 사용자가 키보드로 컴퓨터에 입력하는 내용을 몰래 가로채어 기록하는 행위를 말한다 .
14 ) 저장매체로부터 다른 저장매체나 프린터 , 화면 , 기타 출력 장치로 대량의 복사를 수행하는 것을 뜻한다 .
15 ) 인터넷상에서 컴퓨터 사이의 파일을 전달하는데 사용되는 프로토콜 또는 이 프로토콜로 통신하는 프로그램을 말한다 .
16 ) export의 약자로 , DB 테이블 안에 있는 정보들을 외부로 파일이나 다른 방식으로 데이터를 추출할 때 쓰는 DB 명령어이다 .
17 ) secure copy의 약자로 , 컴퓨터 내에서 파일을 복사할 때 사용하는 명령어이다 .
18 ) 제32조 ( 손해배상 ) 이용자는 정보통신서비스 제공자 등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스
제공자 등에게 손해배상을 청구할 수 있다 . 이 경우 해당 정보통신서비스 제공자 등은 고의 또는 과실이 없음을 입증하지 아
니하면 책임을 면할 수 없다 .
19 ) Data Loss Prevention 또는 Data Leakage Prevention의 약자로 , DLP란 기밀 또는 중요 정보의 유출을 차단 및 예방하는
활동을 말하며 , 이를 하드웨어 또는 소프트웨어로 구현한 것을 DLP 솔루션이라 통칭한다 . DLP 솔루션이 갖추어야 할 필수
기능은 특정 정보가 유출되는 일련의 과정을 모니터링하고 이를 선별적으로 차단하는 것인데 , 키워드 ( 극비 , 기밀 등의 중요
단어 ) 나 특정 패턴 ( 주민등록번호 , 핸드폰번호 , 신용카드번호 , 계좌번호 등 ) 을 통해 정보를 식별할 수 있다 .
20 ) 인터넷상에서 네트워크에 연결되어 있는 특정 디바이스의 인터페이스에 대한 유일한 식별자 ( identifier ) 이며 , 디바이스의 위
치를 나타내는 식별자 ( locator ) 역할을 하는 주소를 말한다 .
21 ) Structured Query Language ( 구조화 조회 언어 ) 의 약자로 , 관계 데이터베이스 ( RDB ) 의 조작과 관리에 사용되는 데이터베이스
하부 언어를 말한다 . 데이터베이스의 모든 속성과 성질 , 예를 들면 레코드 설계 , 필드 정의 , 파일 위치 등을 정의하는 데이터
정의어 ( DDL ) 와 데이터베이스 내의 데이터를 검색 , 삽입 , 갱신 , 삭제하는 데 사용되는 데이터 조작 처리 언어 ( DML ) 로 구성되
어 있다 .
22 ) 해당 법령의 구체적인 내용은 별지 2 . ' 관련 법령 ' 의 기재와 같다 . 이하 구 정보통신망법 , 구 정보통신망법 시행령 , 이 사건
고시를 통틀어 ' 정보통신망 관련 법령 ' 이라 한다 .
23 ) 백본망 ( backbone network ) 이란 고속의 통신회선으로 상호 접속하여 구성한 부분망으로 전체망의 데이터 전송을 위한 주요
간선 또는 중추회선의 기능을 하는 기간망을 말한다 .
24 ) 노드 ( node ) 란 정보통신분야에서 네트워크에 접속할 수 있는 장치 또는 중계지점에 두는 장치를 포함한 어드레스가 가능한
지점을 가리킨다 .
25 ) 주요정보통신서비스 제공자는 전기통신사업법 제2조 제1항 제1호의 규정에 의한 전기통신사업자로서 전국적으로 정보통신
망 접속서비스를 제공하는 자 , 예를 들어 인터넷접속서비스 제공자 , 전기통신회선설비 및 네트워크서비스 제공자 등을 말하
고 , 집적 정보통신시설 사업자는 타인의 정보통신서비스제공을 위하여 집적된 정보통신시설을 운영 · 관리하는 사업자 , 예를
들어 공간임대서비스 또는 서버임대 ( 서버호스팅 ) 서비스 및 네트워크서비스 등을 제공하는 자 , 집적 정보통신시설을 임차한 사
업자 등을 말한다 . 이에 비하여 원고는 네트워크제공서비스 , 인터넷쇼핑몰 , 포털 , 게임 , 예약 , 종합유선방송서비스 , 카드조회 /
지불중계 , 신문 · 방송 , 음악 · 교육 , 전자문서교환서비스 등을 제공하는 ' 쇼핑몰 등 정보통신서비스 제공자 ' 에 포함되는 사업자
로서 ( 방송통신위원회 · 한국정보보호진흥원의 ' 정보보호 안전진단 해설서 ' 참조 ) , 정보보호지침 제5조 제1항 [ 별표 3 ] 에 규정된
정보보호 안전진단을 받아야 하는 자 중 라항의 사업자에 해당하는 것으로 보인다 .
26 ) Access Control List ( 접근제어 목록 ) 의 약자로 , 네트워크에 접근을 허용할지 막을지를 정해 놓은 목록을 말한다 .
27 ) http : / / technet . microsoft . com / ko - kr / library / cc770792 ( v = ws . 10 ) . aspx 참조
28 ) 이 사건 고시로 개정되기 전의 개인정보의 기술적 · 관리적 보호조치 기준 ( 2009 . 8 . 7 . 자 방송통신위원회 고시 제2009 - 21호 )
제8조 제2항에서는 " 정보통신서비스 제공자 등은 개인정보취급자가 개인정보를 종이로 인쇄하거나 , 디스켓 , 콤팩트디스크 등
이동 가능한 저장매체에 복사할 경우 다음 각 호의 사항을 기록하고 개인정보관리책임자의 사전승인을 받도록 조치한다 . 출
력 · 복사물로부터 다시 출력 또는 복사하는 경우도 또한 같다 . " 라고 하여 개인정보의 출력 시 개인정보관리책임자의 사전승
인을 받도록 규정하고 있었으나 , 이 사건 해킹사고 당시 시행되던 이 사건 고시에서는 위와 같이 출력 · 복사 기록 등 필요한
보호조치를 갖추어야 한다고만 규정하였다 .
29 ) 을가 제68호증의 기재에 의하면 , K은 이 사건 해킹사고에 활용된 악성코드는 기존 백신에서 탐지되지 않는 신규 악성코드이
어서 해당 악성코드를 인지한 시점에는 대응이 가능했겠지만 인지되기 전에는 관련 대응이 불가능했을 것이라는 의견을 제
시하고 있다 .
30 ) 을가 제77호증의 기재에 의하면 , 피고와 같은 정보통신서비스 제공자인 K이나 다음의 경우에도 주로 새벽시간에 DB 서버
점검작업을 시행하고 있는 사실을 인정할 수 있다 .
31 ) 원고의 이 부분에 관한 주장은 앞서 본 여러 주장들과 중복되거나 부연하는 취지의 주장들이므로 , 앞서 인정한 여러 사정들
에 비추어 판단한다 .
32 ) 네이버 지식백과 IT용어사전 중 ' 보내기 ( export ) ' 참조
