서울고등법원 2018.1.31.선고 2017나2006007 판결

[201742006007] 피고들(이하에서는 피고 주식회사 B를 "피고 B"라 하고, 피고 코리아크레딧뷰로 주식회사를 "피고 KCB"라 한다)은 각자 원고(선정당사자) 및 별지 1 선정자 목록 기재 선정자들(이하에서는 원고 측 당사자는 선정자, 선정당사자를 가리지 않고 "원고"라고만 한다)에게 각 1,000,000원 및 이에 대하여 2014. 1. 8.부터 이 사건 소장 부본 송달일까지는 연 5%의, 그 다음날부터 다 갚는 날까지는 연 20%의 각 비율에 의한 돈을 지급하라.

[2017나2006014] 피고들은 각자 별지 2 원고 목록 기재 원고들에게 각 500,000원 및 이에 대한 이 사건 소장 부본 송달일 다음날부터 다 갚는 날까지 연 20%의 비율에 의한 돈을 지급하라.

2. 항소취지

제1심판결 중 피고들 패소 부분을 취소하고, 그 취소부분에 해당하는 원고들의 청구를 모두 기각한다.

이유

1. 제1심판결의 인용

이 법원이 이 사건에 관하여 설시할 이유는 아래와 같이 일부 고쳐 쓰고 피고들이 당심에서 강조하는 주장에 관하여 다음의 2. 추가판단'을 추가하는 외에는 제1심판결의 이유와 같으므로, 민사소송법 제420조 본문에 의하여 이를 그대로 인용한다(다만 분리 확정된 제1심 공동원고들에게만 해당하는 부분은 제외).

① 제7면 14 내지 15행의 "F 등은 FDS 개발작업을 수행하면서 이를 사용하였다."를 "피고 KCB의 직원들은 위 카드고객정보를 업무용 컴퓨터에 저장한 다음 그 저장 폴더를 공유하는 방법으로 위 카드고객정보를 업무에 활용하였다."로 수정한다.

② 제7면 17행부터 제8면 5행[2. 다. 2) 가), 나) 부분]의 "가) F는 2013. 2.경 피고 B의 FDS 개발작업과 관련하여 피고 KCB의 직원인 K으로부터 "제 컴퓨터에서 자료를 다운받아 쓰는 것이 가능하다"는 취지의 말을 듣고 업무용 컴퓨터에 USB 메모리를 접속하여 쓰기 기능을 사용하는 것이 가능하다는 것을 알게 되었다. 나) F는 작업의 편의와 정보유출을 목적으로 위와 같은 사실을 피고 B에게 알리지 않고 있던 중 2013. 2.경 서울 종로구 G에 있는 피고 B H센터에서 위와 같이 보안프로그램을 설치하지 아니하여 USB 메모리 쓰기 기능이 사용 가능한 업무용 컴퓨터에 자신의 USB 메모리를 접속하고, 업무용 컴퓨터에 저장되어 있던 피고 B 회원 약 5,378만 명의 고객정보를 위 USB 메모리에 임의로 저장한 후 이를 가지고 나왔다." 부분을 아래와 같이 수정한다.

"가) F는 피고 B H센터에서 FDS 개발업무를 수행하던 중 자신이 사용하는 업무용컴 퓨터에 보안프로그램이 설치되지 않아 USB 메모리를 연결하면 파일을 저장할 수 있다.는 사실을 알게 되었다.

나) F는 2013년 2월경 피고 B H센터에서 공유폴더에 저장되어 있던 카드고객정보를 보안프로그램이 설치되지 않은 자신의 업무용 컴퓨터에 복사하였고, 위 컴퓨터에 임의로 반입한 자신의 USB 메모리를 연결하여 피고 B 고객 약 5,378만 명의 개인정보를 위 USB 메모리에 복사하여 가지고 나왔다. F는 위와 같이 유출한 정보를 자신의 집에서 사용하는 컴퓨터에 복사하였고, 2013년 4월경 위 컴퓨터에 저장된 정보를 다시 자신의 외장 하드디스크에 복사하였다."

2. 추가 판단

가. 피고 B의 주장에 관하여

1) 개인정보의 안전성 확보조치 기준 제9조 위반 여부

가) 피고 B의 주장

'개인정보의 안전성 확보조치 기준(행정안전부고시 제2011-43호, 이하 같다) 제9조 는 USB 메모리를 통한 정보유출을 방지하기 위한 것이 아니라, 악성 소프트웨어를 이용한 자료손상 또는 유출을 방지하기 위한 규정이므로 위 규정에서 USB 메모리를 이용한 정보유출 방지기능을 갖춘 보안프로그램의 설치 의무가 도출될 수 없다.

나) 판단

살피건대, 개인정보의 안전성 확보조치 기준 제9조는 개인정보처리자로 하여금 악성프로그램 등을 방지 · 치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운 영하여야 한다고 정하고 있는바, 위 기준 제6조 제3항이 개인정보처리자에 대하여 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람 권한 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치

를 취할 의무를 정하고 있고, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조 제2항이 정보통신서비스 제공자 등에 대하여 개인정보에 대한 불법적인 접근을 차단하기 위하여 개인정보에 대한 접근통제를 위하여 필요한 조치를 할 의무를 정하고 있는 점을 종합하여 보면, 위 규정에서 개인정보처리자가 업무용 컴퓨터에 읽기 및 쓰기가 가능한 USB 메모리 등의 접근을 차단할 조치를 취할 의무를 도출할 수 있다고 봄이 타당하다. 따라서 피고 B의 주장은 이유 없다.

2) 개인정보의 안전성 확보조치 기준 제6조 위반 여부

가) 피고 B의 주장

개인정보의 안전성 확보조치 기준 제6조 제3항은 피고 B로부터 열람권한을 부여받은 피고 KCB 직원들이 개인정보를 취급하는 경우에는 적용되지 않으므로 피고 B는 위 규정을 위반하지 않았다.

나) 판단

개인정보의 안전성 확보조치 기준 제6조 제3항은 열람권한이 없는 사람에게 공개되는 경우 뿐 아니라 외부로 유출되는 경우에도 대비하여 개인정보처리자에게 업무용 컴퓨터에 조치를 취하도록 정하고 있으므로, 위 규정은 외부 용역업체인 피고 KCB 직원들이 피고 B 사무실에서 업무용 컴퓨터에 개인정보를 보관·취급하는 경우에도 적용됨이 마땅하고, 열람권한을 부여받은 경우에는 적용되지 않는다고 해석할 근거가 없다.

따라서 이에 관한 피고 B의 주장도 받아들이지 아니한다.

3) 개인정보 암호화 조치 관련

가) 개인정보의 안전성 확보조치 기준 제7조 제2항 위반 여부

(1) 피고 B의 주장

원고들의 개인정보는 피고 B의 내부망에 저장된 것이므로 외부의 제3자에 대한 송신을 전제로 한 개인정보의 안전성 확보조치 기준 제7조 제2항은 적용되지 않는다.

(2) 판단

개인정보의 안전성 확보조치 기준 제7조 제2항은 개인정보처리자가 개인정보를 보조저장매체 등을 통하여 전달하는 경우 암호화해야 한다고 규정하면서 예외규정을 두고 있지 않은데, 이를 외부의 제3자에게 전달하는 경우에만 적용되는 것으로 한정하여 해석할 근거가 없다. 따라서 피고 B가 자신의 H센터에서 작업 중인 피고 KCB 직원들에게 카드고객정보 등을 하드디스크에 저장하여 전달하고 이를 사용하도록 한 것은 고유식별정보의 암호화에 관한 법령상 주의의무를 위반하였다고 봄이 타당하다. 따라서 이에 관한 피고 B의 주장은 이유 없다.

나) 개인정보의 안전성 확보조치 기준 제7조 제5항 적용 여부

(1) 피고 B의 주장

피고 B가 개인정보의 안전성 확보조치 기준 제7조 제5항에 따라 위험도 분석결과 비암호화를 결정한 것은 법령에 따른 정당행위로 암호화의무 위반을 구성하지 않는다.

(2) 판단

개인정보의 안전성 확보조치 기준 제7조 제5항은 내부망에 고유식별정보를 저장하는 경우 위험도 분석에 따른 결과를 토대로 암호화를 적용하지 않을 수 있다는 취지로 규정하고 있는데, 이는 FDS 등 내부망 자체에 고유식별정보를 저장하는 방식에 관하여 규율하는 취지로 보이고, 특히 개인정보의 안전성 확보조치 기준 제7조 제2항, 제8항 에서는 고유식별정보를 보조저장매체 등을 통하여 전달하거나 업무용 컴퓨터에 저장하여 관리하는 경우에는 암호화의무에 대한 예외를 규정하고 있지 않은 점, 피고 B는 아무런 암호화 조치 없이 피고 KCB 직원들에게 고유식별정보를 보조저장매체인 외장 하드디스크를 통해 전달하거나 업무용 컴퓨터에 저장하여 사용할 수 있도록 한 점 등에 비추어 볼 때, 피고 B의 위 행위는 개인정보의 안전성 확보조치 기준 제7조 제5항이 적용되는 경우에 해당하지 않는다. 결국 피고 B의 위 행위를 법령에 따른 정당행위로 볼 수 없으므로 피고 B의 위 주장도 이유 없다.

다) 실데이터 사용의 불가피성 관련

(1) 피고 B의 주장

구 전자금융감독규정 제13조 제1항 제10호 단서 전단이나 개인정보의 안전성 확보조치 기준 제7조 제8항은 실데이터 사용이 필수적이지 않은 경우에만 적용되는 것으로 제한적으로 해석하여야 하는데, FDS 개발작업은 실데이터 사용이 반드시 필요하므로, 위 규정이 적용되지 않고, 암호화 · 변환 작업은 합리적으로 기대가능성이 없다. 또한 암호화하더라도 검증 및 이행 단계에서는 복호화 내지 재변환 방법을 알려주지 않을 수 없다는 점에서 실데이터를 제공한 행위와 F가 피고 B의 고객정보를 유출한 행위(이하 "이 사건 유출사고"라 한다) 사이에는 상당인과관계가 없다.

(2) 판단

개인정보의 안전성 확보조치 기준 제7조 제8항이 개인정보처리자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우 암호화한 후 저장하여야 한다는 취지로 규정하면서 예외 사유를 규정하지 않고 있으므로, 개인정보의 안전성 확보조치 기준 제7조제8항이나 구 전자금융감독규정 제13조 제1항 제10호 단서 전단을 실데이터의 사용이 필수적이지 않은 통상적인 개인정보의 사용, 저장 및 관리의 경우에만 적용되는 것으로 제한하여 해석할 근거가 없다.

다음으로 을나 제29, 31호증의 각 기재에 변론 전체의 취지를 종합하여 알 수 있는 다음의 사정들, 즉 피고 B는 FDS 개발 등 작업 전반에 변환하지 않은 카드고객정보의 사용이 반드시 필요한 것이 아님에도(모형개발시에는 주민등록번호 대신 고객번호를 부여하는 등의 방법으로 항목간 정합성을 보장한다면 변환된 데이터를 사용하여도 무방하다. 피고 B는 경찰청, 법무부 출입국사무소 등 외부시스템과 연동하기 위해서는 주민등록번호가 필수적이라고 주장하나 이 역시 모형개발 이후의 사정으로 보인다), 그 필요성과 범위, 변형된 카드고객정보로의 대체 가능성 등에 관하여 충분히 검토를 하지 않고 만연히 변형되지 않은 카드고객정보를 제공한 것으로 보이는 점, F는 FDS 개발 중 데이터 분석 및 모형 개발 작업을 수행하고 있던 2013년 2월경 및 6월경 피고 B의 고객정보를 유출하였는데 이는 암호화된 데이터를 통하여도 충분히 수행할 수 있는 작업들로 보이는 점, 나아가 부득이 변형되지 않은 카드고객정보가 필요한 작업이 있더라도 피고 B로서는 그 사용기간, 범위, 방식 등을 엄격하게 제한하여 제공하고, 직원이 직접 입회하여 감시·감독하는 등 정보유출방지를 위한 더 엄격한 대책을 수립하고 시행하였어야 할 것임에도 그러한 확인 및 감독 의무를 제대로 이행하지 않았던 것으로 보이는 점 등을 종합하여 보면, 고객정보의 암호화 · 변환 작업이 합리적으로 기대가능성이 없다고 볼 수 없고 실데이터 제공행위와 이 사건 유출사고 사이에는 상당인과관계가 없다고 볼 수도 없다. 피고 B의 이 부분 주장들은 받아들일 수 없다.

4) 개인정보 보호법 제26조 제1항 위반 여부

가) 피고 B의 주장

피고 B는 피고 KCB에 대한 업무위탁시 개인정보 보호에 관한 사항을 문서에 의하여 구체적으로 정하였으므로 개인정보 보호법 제26조 제1항을 위반하지 않았다.

나) 판단

을가 제5, 6, 10호증의 각 기재에 의하면 피고 KCB가 FDS 작업과 관련하여 피고 B의 외주인력에 대한 내부통제 및 보안관련 제반 지침 등을 준수하겠다는 취지의 서약서를 제출한 사실, 피고 B와 피고 KCB 사이의 물품계약서에는 계약과 관련한 모든 정보를 계약 목적 외 용도에 사용하거나 외부에 누설해서는 안되고 피고 B의 확인을 받아 장비를 반입·반출하여야 하며 계약으로 알게 된 자료를 제3자에게 제공하거나 업무 외 용도로 사용할 수 없다는 등의 내용이 포함되어 있는 사실, B SM인력 가이드에 피고 B의 주장과 같은 내용이 포함되어 있는 사실은 인정된다.

그러나 개인정보 보호법 제26조 제1항은 개인정보처리자가 제3자에게 개인정보의 처리업무를 위탁하는 경우 위탁업무 수행 목적 외 개인정보처리 금지에 관한 사항, 개인정보의 기술적·관리적 보호조치에 관한 사항 및 그밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항이 포함된 문서에 의하도록 규정하고 있고, 같은 법 시행령 제28조 제1항은 위 대통령령으로 정한 사항이 위탁업무의 목적 및 범위, 재위탁 제한에 관한 사항, 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항, 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항, 같은 법 제26조 제2항에 따른 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항을 말한다고 규정하고 있다.

그렇다면 피고 B가 주장하는 물품계약서나 서약서 또는 피고 KCB 직원들에게 BSM인력가이드를 교부한 것만으로 개인정보 보호법 제26조 제1항 및 같은 법 시행령 제28조 제1항이 정한 개인정보 보호에 관한 사항을 문서에 의하여 구체적으로 정하였다고 볼 수는 없다. 따라서 이에 관한 피고 B의 주장도 받아들이지 아니한다.

5) 전자금융감독규정 제13조 제1항 제13호 위반 여부

가) 피고 B의 주장

FDS 개발 등에 필요한 데이터가 대용량이어서 단말기인 모니터링용 PC에 고객정보를 보관할 필요가 있었고 그 보관기간도 한시적이었으며 공유폴더에 비밀번호를 설정하였으므로 위 규정 제13조 제1항 제13호 단서에 따라 위법하지 않다.

나) 판단

전자금융감독규정 제13조 제1항 제13호 단서에 의하면 금융회사는 불가피하게 단말기에 이용자 정보 등을 보관할 필요가 있는 경우 보관사유, 보관기간 및 관리 비밀번호 등을 정하여 책임자의 승인을 받아야 하는데, 피고 B가 제출한 증거들만으로는 위와 같은 요건을 갖추었다고 보기 어렵고 달리 이를 인정할 증거가 없다. 따라서 이에, 관한 피고 B의 주장도 받아들이지 아니한다.

나. 피고 KCB의 주장에 관하여

1) 피고 KCB의 주장

FDS 개발 또는 업그레이드에는 실거래 정보가 필요할 뿐 변환되지 않은 개인식별정 보까지 필요한 것은 아니므로, F의 유출행위가 FDS 개발업무수행 과정에서 이루어졌다 해도 변환되지 않은 개인식별정보는 FDS 개발업무와 무관하고 피고 KCB가 이를 요청한 적도 없어 손해발생에 대한 위험창출에 기여하지 않았으며 그 방지조치 결여의 책임도 인정될 수 없으므로 사무집행 관련성이 인정될 수 없다.

2) 판단

을가 제3, 4호증, 을나 제29, 31호증의 각 기재에 변론 전체의 취지를 종합하면, F가 피고 B에 데이터를 요청하면서 고객 및 회원정보를 포함한 내용을 'raw data'형태로 요구한 사실, F는 고객정보 테이블에 고객의 고유식별정보가 있는 것을 알고 있었던 사실을 인정할 수 있고, 거기에 'raw data'는 통상 변환되지 않은 자료를 의미하는 점까지 보태어 보면, FDS 개발작업에 고객의 고유식별정보가 필요한지와 무관하게 F가 피고 B에 FDS 개발작업 등을 위하여 변환되지 않은 고유식별정보가 포함된 고객 및 회원정보를 거래·신용정보와 함께 요청한 것으로 볼 것인 이상 사무집행 관련성이 인정된다고 봄이 타당하다. 따라서 이에 관한 피고 KCB의 주장은 받아들이지 아니한다.다. 피고들의 공통된 주장에 관하여.

1) 피고들의 주장

원고들의 구체적인 손해발생사실이 객관적인 증거에 의하여 명확히 확인되지 않았고, 추가적인 법익침해의 가능성은 사실상 전혀 없으며, 피고 B는 수습과정에서 이미 약 400억 원의 비용을 지출한 점이나 피고 KCB로서는 이 사건 유출사고를 방지할 방법이 없었던 점을 고려하면 손해배상액이 상당 부분 감액되어야 한다.

2) 판단

피고들이 주장한 사정을 감안하더라도 제1심 판결에서 적절히 참작한 사정들을 종합하여 보면, 피고들이 이 사건 유출사고로 인하여 정신적 손해를 입게 된 원고들에게 배상하여야 할 위자료는 각 100,000원으로 정함이 상당하다.

3. 결 론

그렇다면 원고들의 청구는 위 인정범위 내에서 이유 인용하고, 나머지 청구는 이유 없어 기각할 것인바, 제1심판결은 정당하므로 피고들의 항소를 기각하기로 하여, 주문과 같이 판결한다.