별지 1, 2, 3, 3-1 목록 기재와 같다. (소송대리인 변호사 이흥엽 외 1인)

롯데카드 주식회사 외 1인 (소송대리인 변호사 김성욱 외 3인)

2016. 8. 22.

1. 이 사건 소 중 별지 3-1-2 목록 기재 원고들의 피고 롯데카드 주식회사에 대한 청구 부분을 각하한다.

2. 피고 롯데카드 주식회사는 별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들에게 각 100,000원 및 이에 대하여 별지 1-1 목록 기재 원고들에게는 2014. 3. 19.부터, 별지 2-1 목록 기재 원고들에게는 2014. 8. 29.부터, 별지 3 목록 기재 원고들에게는 2011. 1. 31.부터, 별지 3-1-1 목록 기재 원고에게는 2013. 12. 31.부터 각 2016. 10. 13.까지는 연 5%의, 그 다음날부터 다 갚는 날까지는 연 15%의 각 비율로 계산한 돈을 지급하라.

3. 별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들의 피고 롯데카드 주식회사에 대한 나머지 청구와 별지 1-1, 2-1 목록 기재 원고들의 피고 코리아크레딧뷰로 주식회사에 대한 청구, 별지 1-2, 2-2 목록 기재 원고들의 피고들에 대한 청구와 별지 3-1-3 목록 기재 원고들의 피고 롯데카드 주식회사에 대한 청구를 각 기각한다.

4. 소송비용 중,

가. 별지 1-2, 2-2 목록 기재 원고들과 피고들 사이에 생긴 부분, 별지 1-1, 2-1 목록 기재 원고들과 피고 코리아크레딧뷰로 주식회사 사이에 생긴 부분과 별지 3-1-2, 3-1-3 목록 기재 원고들과 피고 롯데카드 주식회사 사이에 생긴 부분은 위 원고들이 각 부담하고,

나. 별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들과 피고 롯데카드 주식회사 사이에 생긴 부분의 1/2은 위 원고들이, 나머지는 위 피고가 각 부담한다.

4. 제2항은 가집행할 수 있다.

[ 2014가합511956 , 2015가합526255 ]

피고들은 각자 별지 1, 2 목록 기재 원고들에게 각 20만 원 및 이에 대한 이 사건 소장 부본 송달 다음날부터 이 판결 선고일까지는 연 5%의, 그 다음날부터 다 갚는 날까지는 연 20%의 각 비율에 의한 돈을 지급하라.

[ 2015가합9788 ]

피고 롯데카드 주식회사(이하 ‘피고 롯데카드’라 한다)는 별지 3, 3-1 목록 기재 원고들에게 각 30만 원 및 이에 대하여 별지 3 목록 기재 원고들에게는 2011. 1. 31.부터, 별지 3-1 목록 기재 원고들에게는 2013. 12. 31.부터 각 이 사건 소장 부본 송달일까지는 연 5%의, 그 다음날부터 다 갚는 날까지는 연 15%의 각 비율에 의한 돈을 지급하라.

1. 기초사실

가. 당사자 등의 지위

1) 피고 롯데카드는 신용카드, 선불카드, 직불카드 발행, 판매 및 관리 등의 사업을 영위하는 회사이고, 피고 주식회사 코리아크레딧뷰로(이하 ‘피고 KCB’라 한다)는 금융기관들이 공동출자하여 설립한 회사로서, 신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’이라 한다)에서 정하는 신용조회 및 신용조사업무 등의 사업을 영위하는 회사이다.

2) 별지 1 목록 기재 원고들은 2014가합511956 사건의 원고들, 별지 2 목록 기재 원고들은 2014가합526255 사건의 원고들, 별지 3, 3-1 기재 각 원고들은 2015가합9788 사건의 원고들로서(2016. 7. 11.자 청구취지 및 원인변경신청서에 첨부된 별지 1, 2 목록이 각 별지 3, 3-1 목록에 해당한다), 위 원고들은 피고 롯데카드와 신용카드 등에 대한 사용 및 금융거래계약을 맺고 신용카드 등을 발급받아 사용하고 있거나 사용하였던 사람들이다.

나. 카드사고분석시스템의 개념 및 도입

카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라 한다)이란 신용카드 도난·분실 및 위변조 등으로 인한 이상 거래 또는 부정 사용을 탐지하기 위한 시스템으로 국내 모든 카드회사들이 도입하고 있다. FDS에 의하면 과거 사고거래를 기반으로 대량의 카드이용정보 및 해당 고객정보를 활용하여 통계적인 기법에 따라 분석모델을 만든 다음 이를 바탕으로 하여 신용카드 사용시 통계적으로 분석된 사고패턴에 따라 이상 유형의 거래 발생으로 탐지될 경우 카드회사는 카드승인을 거절하는 등의 조치를 취하게 된다.

다. 카드고객정보유출

1) FDS 개발용역계약의 체결 및 카드고객정보 제공

피고 롯데카드는 2006년경 FDS를 도입하여 정기적인 리뉴얼을 시행하여 왔고 그때마다 비아이랩(BILab) 또는 피고 KCB에게 FDS 업데이트에 관한 용역을 의뢰하였고, 소외 1은 ‘비아이랩(BILab)’의 직원으로서 2009. 10.경부터 2010. 4.경까지, 피고 KCB의 직원으로서 2013. 9.경부터 2013. 12.경까지, 위 회사들이 피고 롯데카드로부터 위탁받은 FDS 개발 및 설치 업무에 프로젝트 총괄 매니저로서 관여하였다. 소외 1은 FDS 개발과정에서 작업을 위해 필요하다는 이유로 피고 롯데카드로부터 변환되지 않은 카드고객정보를 제공받아 위 시스템 개발 및 설치 업무에 사용하여 왔다.

2) 2010. 4.경 카드고객정보유출

가) 소외 1은 2010. 4.경 서울 중구 ○○동 △△△△△△ 빌딩에 있는 피고 롯데카드 본사에서 FDS 개발작업을 하면서 업무용 하드디스크에 피고 롯데카드 고객정보를 저장하여 정상적으로 사용한 다음, 그 하드디스크에 피고 롯데카드 회원 1,023만 명의 고객정보가 저장되어 있음에도 피고 롯데카드에서 하드디스크 포맷 보안검사를 허술하게 하는 것을 이용하여 위 업무용 하드디스크를 포맷하지 아니한 채 포맷 검사를 받지도 않고 몰래 숨겨서 가지고 나온 후, 이를 자신의 집에 보관하다가 2010. 7.경 자신의 컴퓨터에 위 정보를 저장하였다.

나) 그 후 소외 1은 2011. 1.경 소외 2가 운영하는 서울 영등포구 소재 □□□□□□ 사무실에서, 위와 같이 빼내어 온 피고 롯데카드 회원 약 1,023만 명의 고객정보 중 약 255만 명의 카드고객정보가 저장된 자신의 USB 메모리를 대출중개 영업 등에 고객정보를 활용할 의도를 가지고 있는 소외 2의 노트북에 접속하고 그 노트북에 위 카드고객정보를 저장해 주는 방법으로, 이를 소외 2에게 전달하였다.

3) 2013. 12.경 카드고객정보유출

가) 피고 KCB 직원들은 2013. 9. 중순경 FDS 개발작업을 위하여 서울 중구 ○○동 ◇◇빌딩에 있는 피고 롯데카드의 사무실에 피고 KCB의 컴퓨터 2대를 추가로 반입하였고, 그 중 1대에는 보고서 등 문서를 작성하여 USB 메모리에 저장하거나 필요한 경우 피고 KCB로 메일을 보내는데 사용할 목적으로 보안프로그램을 설치하지 않았다. 피고 롯데카드의 직원들도 컴퓨터 2대가 추가로 반입된 사실을 알았지만, 보안프로그램 설치 여부를 직접 확인하지는 않았다.

나) 소외 1은 2013. 12.경 서울 중구 ○○동 ◇◇빌딩에 있는 피고 롯데카드의 사무실에서, 보안프로그램을 설치하지 아니한 업무용 컴퓨터에 자신의 USB 메모리를 접속한 다음 USB 메모리 안에 공유폴더를 생성하였다. 소외 1은 보안프로그램을 설치하고 고객정보 등 자료를 다운로드받아 FDS 개발작업에 사용하던 업무용 컴퓨터에서 내부 네트워크를 통해 위 보안프로그램이 설치되어 있지 않은 컴퓨터에 접속된 USB 메모리 내 공유폴더에 접속하여 피고 롯데카드 회원 약 2,689만 명의 고객정보를 복사한 후 이를 가지고 나왔다.

다) 소외 1은 유출한 피고 롯데카드의 고객정보를 보관하였으나, 이를 소외 2를 비롯한 다른 사람에게 유출하지는 않았다.

라. 기타 유출된 카드고객정보의 전파 및 확산

① 소외 2는 2012. 8. 하순경 및 2013. 1. 초순경 자신이 운영하는 대출상품 위탁판매업체인 서울 영등포구 소재 □□□□□□ 사무실에서 소외 3의 이메일에 접속하여 카드고객정보를 업로드하는 방법으로 총 2회에 걸쳐 합계 약 10만 명의 유출된 카드고객정보를 제공하였다.

② 소외 2는 2012. 10. 중순경 및 2012. 11. 초순경 고양시 일산동구 ☆☆동에 있는 ▽▽▽▽ 부근 식당에서 소외 4에게 카드고객정보가 저장된 USB 메모리를 교부하는 방법으로 총 2회에 걸쳐 합계 약 18만 7,000명의 유출된 카드고객정보를 제공하였다.

③ 소외 2는 2012. 11. 중순경부터 2013. 8. 하순경까지 소외 5에게 카드고객정보가 저장된 USB 메모리를 교부하는 방법으로 총 3회에 걸쳐 약 9만 5,000명의 유출된 카드고객정보를 제공하였다.

④ 소외 2는 2012. 11. 중순경부터 2013. 11. 하순경까지 □□□□□□ 사무실에서 소외 6의 이메일에 접속하여 카드고객정보를 업로드하는 방법으로 총 10회에 걸쳐 합계 약 478만 3,000명의 유출된 카드고객정보를 제공하였다.

⑤ 소외 2는 2012. 11. 중순경부터 2013. 8. 초순경까지 □□□□□□ 사무실에서 소외 7의 이메일에 접속하여 카드고객정보를 업로드하는 방법으로 총 5회에 걸쳐 합계 약 19만 5,000명의 유출된 카드고객정보를 제공하였다.

⑥ 소외 2는 2012. 11. 하순경부터 2013. 3. 중순경까지 서울 강북구 ◎◎동에 있는 주식회사 스마트솔루션 사무실 부근에서 소외 8에게 카드고객정보가 저장된 USB 메모리를 교부하는 방법으로 총 3회에 걸쳐 합계 약 54만 명의 유출된 카드고객정보를 제공하였다.

⑦ 소외 2는 2012. 12. 초순경부터 2013. 6. 중순경까지 □□□□□□ 사무실에서 소외 9의 이메일에 접속하여 카드고객정보를 업로드하는 방법으로 총 5회에 걸쳐 합계 약 41만 명의 유출된 카드고객정보를 제공하였다.

⑧ 소외 2는 2013. 1. 초순경 및 2013. 7.경 □□□□□□ 사무실에서 소외 10이 사용하는 이메일로 카드고객정보를 전송하는 방법으로 총 2회에 걸쳐 합계 약 1만 3,000명의 유출된 카드고객정보를 제공하였다.

⑨ 소외 2는 2013. 1. 중순경부터 2013. 12. 초순경까지 □□□□□□ 사무실에서 소외 11의 이메일에 접속하여 카드고객정보를 업로드하는 방법으로 총 32회에 걸쳐 합계 약 489만 6,000명의 카드고객정보를 제공하였다.

⑩ 소외 2는 2013. 1. 중순경 및 2013. 1. 하순경 □□□□□□ 사무실에서 소외 12의 이메일에 접속하여 카드고객정보를 업로드하는 방법으로 총 2회에 걸쳐 합계 약 2만 9,000명의 유출된 카드고객정보를 제공하였다.

⑪ 소외 2는 2013. 1. 하순경 □□□□□□ 사무실에서 자신이 사용하는 이메일에 접속하여 약 5,000명의 유출된 카드고객정보를 업로드하고, 소외 13에게 위 이메일 계정 및 비밀번호를 알려주어 위 정보를 소외 13의 USB 메모리에 다운로드받게 하는 방법으로 위 정보를 제공하였다.

⑫ 소외 2는 2013. 2. 하순경부터 2013. 9.경까지 □□□□□□ 사무실에서 소외 14의 이메일에 접속하여 카드고객정보를 업로드하는 방법으로 총 7회에 걸쳐 합계 약 60만 명의 유출된 카드고객정보를 제공하였다.

⑬ 소외 2는 2013. 2. 하순경 및 2013. 8. 하순경 □□□□□□ 사무실에서 소외 15의 이메일에 접속하여 카드고객정보를 업로드하는 방법으로 총 2회에 걸쳐 합계 약 9만 명의 유출된 카드고객정보를 제공하였다

⑭ 소외 2는 2013. 3. 초순경부터 2013. 5. 중순경까지 □□□□□□ 사무실에서 직원인 소외 16이 물색해 온 정보구매자 소외 17에게 ‘◁◁◁◁’ 메신저를 이용하여 카드고객정보를 전송하는 방법으로 총 4회에 걸쳐 합계 78만 8,000명의 유출된 카드고객정보를 제공하였다.

⑮ 소외 2는 2013. 3. 초순경부터 2013. 8. 초순경까지 □□□□□□ 사무실에서 소외 18의 이메일에 접속하여 카드고객정보를 업로드하는 방법으로 총 6회에 걸쳐 합계 약 30만 6,000명의 유출된 카드고객정보를 제공하였다.

소외 2는 2013. 8. 중순경 □□□□□□ 사무실에서 소외 19의 이메일에 접속하여 카드고객정보를 업로드하는 방법으로 약 10만 명의 유출된 카드고객정보를 제공하였다.

소외 2는 2013. 9. 초순경 □□□□□□ 사무실에서 소외 20이 사용하는 이메일로 카드고객정보를 전송하는 방법으로 약 5만 명의 유출된 카드고객정보를 제공하였다.

소외 2는 2013. 9. 하순경 의정부시 (주소 생략)에 있는 소외 21 운영의 대부중개업체 사무실에서 소외 21에게 약 50만 명의 유출된 카드고객정보가 저장된 USB 메모리를 교부하였다.

소외 2로부터 유출된 카드고객정보를 제공받은 소외 5는 2013. 2.경 서울 송파구 ▷▷동 소재 휘트니스 커피숍에서 약 30만 명의 유출된 카드고객정보가 들어있는 출력물을 대출모집인인 소외 22, 소외 23에게 제공하였다.

소외 5는 2013. 9.경 위 휘트니스 커피숍에서 약 100만 명의 유출된 카드고객정보가 들어있는 USB 메모리를 위 소외 22, 소외 23에게 제공하였다.

마. 피고 롯데카드의 사후 조치

피고 롯데카드는 이 사건 카드고객정보 유출사고를 인지한 직후 2014. 1.경 자사 인터넷 홈페이지에 사과문을 게재하면서 카드고객정보 유출사실을 알리고 개인정보 유출 여부를 확인할 수 있는 방법을 안내하였으며, 2014. 1. 17. 유출정보 조회 서비스를 실시하였고, 콜센터 운영시간을 연장하고 주말에도 콜센터를 운영하였으며, 개인정보 피해사실 신고센터를 운영하였다.

바. 유출된 카드고객정보의 범위

피고 롯데카드의 유출된 개인정보에는 원고별로 성명, 주민등록번호, 카드번호 및 유효기간, 결제계좌번호, 회사주소, 집주소, 기타주소, 회사전화번호, 집전화번호, 휴대전화번호, 타사 카드보유상황 중 전부 또는 일부가 포함되어 있다.

사. 관련 형사소송의 경과

소외 1 등은 창원지방법원 2014고단64 등으로 누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니 되고, 신용정보회사 등의 임직원인 사람은 업무상 알게 된 타인의 신용정보 등을 업무 목적 외에 누설하거나 이용하여서는 아니 됨에도, 위와 같이 피고 롯데카드의 고객정보를 침해·누설함과 동시에 신용정보 관련자로서 업무상 알게 된 타인의 신용정보를 누설한 범죄사실 등으로 기소되었다. 위 법원은 2014. 6. 20. 소외 1에 대하여 징역 3년을 선고하였고, 위 판결은 항소심을 거쳐 2014. 10. 16. 그대로 확정되었다.

[인정근거] 다툼 없는 사실, 주1) 갑가 제1, 2, 4, 5, 6, 10 내지 15호증, 갑나 제1, 2, 4, 5, 6호증, 갑다 제1, 3호증, 을가 제1, 2, 3 내지 41, 43 내지 52호증, 을나 제1, 2, 3, 5, 10, 11, 12, 17 내지 36호증(각 가지번호 포함)의 각 기재, 변론 전체의 취지

2. 소의 적법성에 관한 판단

이 사건 별지 3-1-2 목록 기재 원고들은, 피고 롯데카드가 아래 3.항 기재와 같이 법령상 주의의무를 위반하거나 사용자로서의 주의의무를 위반하여 소외 1이 카드고객정보를 유출할 수 있게 하였으므로, 그로 인하여 원고들이 입은 손해를 배상하여야 한다고 주장하면서 이 사건 소를 제기하였다.

직권으로 살피건대, 민사소송법 제89조 제1항 은 ‘소송대리권은 서면으로 증명하여야 한다’고 규정하고, 같은 조 제2항 은 ‘ 제1항 의 서면이 사문서인 경우에는 법원은 공증인, 그 밖의 공증업무를 보는 사람의 인증을 받도록 소송대리인에게 명할 수 있다’고 규정하고 있다. 소송대리인의 대리권 존부는 법원의 직권조사사항이고, 그 소송대리권의 위임장이 사문서인 경우 법원이 소송대리권 증명에 관하여 인증명령을 할 것인지의 여부는 법원의 재량에 속하나 상대방이 다투고 있고 또 기록상 그 위임장이 진정하다고 인정할 만한 뚜렷한 증거가 없는 경우에는 법원은 그 대리권의 증명에 관하여 인증명령을 하거나 또는 달리 진정하게 소송대리권을 위임한 것인지의 여부를 심리하는 등 대리권의 흠결 여부에 관하여 조사하여야 한다( 대법원 1997. 9. 22.자 97마1574 결정 등 참조).

별지 3-1-2 목록 기재 원고들에 대하여, 피고 롯데카드가 제공하는 개인정보 유출조회 화면 등을 제출하라는 이 법원의 석명에도 불구하고 원고들 대리인은 위 원고들에 관한 개인정보 유출조회 화면을 제출하지 아니하였다. 한편, 원고들 소송대리인이 제출한 소송위임장에는 위 원고들의 막도장만이 날인되어 있을 뿐 원고들의 서명이나 날인이 없는 점, 카드고객의 경우 특별한 사정이 없는 한 피고 롯데카드가 제공하는 유출정보 제공 서비스를 통하여 쉽게 카드고객정보 유출화면을 제출할 수 있음에도 원고들 소송대리인은 다른 원고들과 달리 별지 3-1-2 목록 기재 원고들에 관하여는 이 사건 변론종결시까지도 이를 제출하지 못하였고, 그 밖에 원고들 본인으로부터 그 진정한 의사에 따라 소송대리권을 위임받았다는 다른 증명자료도 제출하지 못하고 있는 점 등에 비추어 보면, 원고들 소송대리인이 제출하는 자료들만으로 원고들 소송대리인이 위 원고들로부터 이 사건 소송에 관한 소송대리권을 수여받은 사실을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다.

따라서 별지 3-1-2 목록 기재 원고들의 피고 롯데카드에 대한 소는 소송대리권이 없는 자에 의하여 제기된 소로서 부적법하다.

3. 당사자들의 주장 및 쟁점

이 사건의 쟁점은, 소외 1의 각 정보유출 행위와 관련하여 피고들에게 법령상 주의의무 위반 등 위법행위가 인정되는지, 이로 인한 원고들의 손해가 인정되는지, 만약 손해가 인정된다면 그 손해배상액은 얼마인지이다. 아래에서 이와 관련된 당사자들의 구체적인 주장을 본 다음, 항을 바꾸어 각 쟁점에 관하여 판단한다.

가. 피고 롯데카드에 대한 청구

1) 별지 1, 2 목록 기재 원고들

㈎ 2010. 4.경 카드고객정보 유출사고의 경우

피고 롯데카드는 2010. 4.경 비아이랩에게 FDS 개발 및 설치 업무를 도급하면서 서버에서 처리·보관·전송되는 고객정보를 암호화하지 아니한 채 소외 1에게 제공하였고, 소외 1이 위 고객정보가 저장된 업무용 하드디스크를 반출할 때, 위 하드디스크가 포맷되었는지 여부를 확인하거나 통제하지 않았다. 위와 같이 피고 롯데카드는 이 사건 원고들의 고객정보가 유출되지 않도록 방지할 법률상 주의의무가 있음에도 불구하고 이를 소홀히 하였다. 피고 롯데카드의 위와 같은 행위는 계약상 고객의 정보를 관리할 의무를 위반한 것이고, 또한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조 제1항 및 같은 법 시행령 제15조 를 위반한 것이므로, 피고 롯데카드는 민법상 불법행위자로서 또는 계약상 채무를 불이행한 자로서 이 사건 원고들이 입은 손해를 배상할 책임이 있다.

㈏ 2013. 12.경 카드고객정보 유출사고의 경우

피고 롯데카드는 피고 KCB에게 FDS 개발 및 설치 업무를 도급하면서 고객정보를 암호화하지 아니한 채 소외 1에게 제공하였고, 업무용 컴퓨터나 노트북에 보안프로그램이 설치되어 있는지 여부를 감독하지 아니한 과실로 소외 1이 피고 롯데카드의 업무용 컴퓨터에 있던 수천만 명에 달하는 고객정보를 자신의 USB 메모리로 쉽게 전송·저장하도록 방치하였으며, 외부업체 직원이 피고 롯데카드의 데이터를 이용할 경우 이를 확인하고 통제할 수 있는 암호화시스템을 마련하지 아니하였다. 이와 같이 피고 롯데카드는 개인정보를 처리함에 있어 원고들의 고객정보가 유출되지 않도록 방지할 주의의무가 있음에도 이를 소홀히 하였다. 피고 롯데카드의 위와 같은 행위는 개인정보 보호법 제29조 및 같은 법 시행령 제30조 를 위반한 것이므로, 민법 제750조 에 따라 원고들이 입은 손해를 배상할 책임이 있다.

2) 별지 3, 3-1 목록 기재 원고들

피고 롯데카드는 2010. 4.경 개인정보가 외부로 유출되지 않도록 개인정보를 암호화하고, 관리·감독할 주의의무가 있음에도 FDS 개발 및 설치 업무를 도급하면서 서버에서 처리·보관·전송되는 고객정보를 암호화하지 아니한 채 소외 1에게 제공하였고, 전산장비 반출입 통제, 하드디스크 점검 등을 소홀히 하였다(별지 3, 3-1-1 목록 기재 원고들에 한정된 주장이다. 변론 전체의 취지상 별지 3-1 목록에 포함되어 있던 별지 3-1-1 목록 기재 원고도 2010. 4.자 개인정보 유출로 인한 손해배상청구를 하는 것으로 봄이 타당하다). 또한 2013. 12.경에도 암호화되지 않은 정보를 소외 1에게 제공하고, 전산장비 등 반출입 통제를 소홀히 하며, 프로그램 전용계정을 부당하게 사용하도록 하여 소외 1이 1. 다.의 3) 기재와 같이 2013. 12.경 고객정보를 유출하였다. 따라서 피고 롯데카드는 불법행위자로서 별지 3, 3-1 목록 기재 원고들이 입은 손해를 배상할 책임이 있다.

3) 피고 롯데카드

가) 구 개인정보 보호법은 2011. 3. 29. 제정되어 2011. 9. 30.부터 시행되었으므로 그 이전인 2010. 4.경 발생한 유출사고에 관하여는 위 법이 적용될 여지가 없고, 원고들은 피고 롯데카드에 신용카드회원으로 가입한 사람들인데, 신용카드 회원 가입의 상당 경우가 정보통신망을 거치지 않고 오프라인상으로만 이루어지므로 이 사건 원고들이 신용카드회원이라는 이유만으로 정보통신망상의 ‘이용자’에 당연히 해당한다고 볼 수 없다. 따라서 위 원고들에 대하여 정보통신망법이 적용될 수 없다.

나) 피고 롯데카드는 다음과 같이 개인정보의 취급과 관련하여 관련 법령이 요구하는 기술적·물리적·관리적 보호대책을 모두 마련하고 있었으므로, 피고 롯데카드에 어떠한 주의의무 위반이 있다고 할 수 없다.

① 피고 롯데카드는 네트워크, 서버, 단말기의 계층별 보안시스템, 침입차단시스템, 개인 메신저 등 인터넷망 접속차단, 개인정보 암호화 추진, 주요 정보처리시스템 접속기록 저장·보존 및 정기적인 모니터링, 개인정보가 저장되어 있는 정보처리시스템에 접근할 수 있는 사용자 계정통제 및 접근권한 관리시스템, USB 메모리카드 등 보조저장매체 통제 프로그램, 개인정보 포함 출력물에 대한 보안조치 및 실명제, 고객정보 변환 사용, 정보보호 규정 마련 및 개인정보보호 조직 구축, 외주 직원에 대한 관리·감독 수행, 정기적인 개인정보보호 교육 실행, 인력, 조직, 예산상 보안 인프라 구축, 전산장비 반출입 통제 등 관련 법령에서 요구하는 정보보안에 최선의 노력을 기울였다.

② 피고 롯데카드는 혹시 발생할지 모르는 카드고객정보 유출사고를 방지하기 위하여, 문서 암호화 솔루션인 DRM(Digital Rights Managements)을 각 개인용 컴퓨터에 설치·운영하였고, 소외 1이 서버에 접속하여 고객정보를 다운로드받은 컴퓨터에도 DRM 솔루션이 정상적으로 설치·운영되고 있었다.

③ 또한 피고 롯데카드는 USB 메모리 사용을 통제하기 위하여 사내에 반입되는 모든 컴퓨터에 USB 메모리 등 매체제어 프로그램을 반드시 설치하도록 하였고, DRM 솔루션으로 USB 메모리에 개인정보가 저장되더라도 외부에서 그 내용을 확인할 수 없도록 조치하였으며, FDS 운영서버에 관하여 DB 접근제어 솔루션(DB Safer)를 설치하여 접속로그를 저장, 관리하였고, FDS 개발서버에 관하여는 운영시스템(OS, Operation System)이 제공하는 로그 기록 기능을 사용하였으며, 외주업체 직원이 사용하는 컴퓨터와 FDS 개발서버 사이에 방화벽을 설치하여 접속기록을 저장, 관리하였다.

다) 소외 1은 프로젝트 매니저(PM)로서 데이터 마이그레이션 작업을 수행하기 위해 암호화되지 않은 상태의 고객정보를 볼 수밖에 없는 위치에 있었기 때문에 피고 롯데카드가 피고 KCB에게 제공한 카드고객정보를 암호화 하였는지 여부는 이 사건 유출사고와 인과관계가 없다.

라) 2010. 4.경 유출된 카드고객정보의 경우 유출된 1,023만 명의 카드고객정보 중 255만 명의 카드고객정보만 제3자에게 전달됨으로써 유통의 위험이 발생하였고, 나머지 768만 명의 카드고객정보는 제3자에게 전달되거나 유통되지 않은 상태에서 삭제되거나 수사기관에 압수되었다. 제3자에게 유통되지 않은 758만 명의 카드고객정보의 정보주체에게 카드고객정보 유출과 관련하여 위자료로 배상할 만한 정신적 손해가 발생하였다고 할 수 없다.

마) 2013. 12.경 유출된 카드고객정보의 경우 소외 1이 이를 유출한 지 얼마 지나지 않아 체포되고 해당 정보가 압수됨으로써 제3자에게 유통되지 않았다. 따라서 위 원고들에게 2013. 12.경 카드고객정보 유출과 관련하여 위자료로 배상할 만한 정신적인 손해가 발생하였다고 할 수 없다.

나. 피고 KCB에 대한 청구(별지 1, 2 목록 기재 원고들에 한함)

1) 별지 1, 2 목록 기재 원고들

이 사건 카드고객정보 유출 사고 당시 소외 1은 피고 KCB의 직원이었고, 소외 1은 피고 KCB가 피고 롯데카드와 체결한 FDS 개발 및 설치 업무를 위해 피고 롯데카드에 파견된 사람으로서 위 업무를 수행하던 중에 고객정보를 유출한 것이므로, 피고 KCB는 별지 1, 2 기재 원고들에 대하여 피고 롯데카드와 공동하여 소외 1의 행위에 대하여 민법 제756조 에 따른 사용자책임을 부담한다.

2) 피고 KCB

가) 소외 1이 피고 롯데카드의 고객정보를 유출한 행위는 피고 KCB의 ‘FDS 개발 및 업그레이드’라는 본래의 사무집행에 관련된 것이 아니다. FDS 업무에는 변환되지 않은 카드고객정보가 전혀 필요하지 않으며, 변환되지 않은 카드고객정보를 소외 1에게 제공한 것은 본래의 FDS 업무와는 무관하게 순전히 피고 롯데카드의 규정에 위반된 편의적인 업무처리에서 비롯된 것이기 때문이다.

나) 피고 KCB는 피고 롯데카드에 파견되어 근무하고 있는 소외 1에 대한 선임 및 관리·감독의무를 성실히 이행하였다. 피고 KCB가 FDS 관련 용역업무와 관련하여 소외 1의 사무집행에 대한 일체의 관리·감독의무를 부담한다고 볼 수는 없고, 피고 KCB의 사무감독 범위는 직원인 소외 1의 업무처리에 관한 일반적·추상적인 감독에 한정되는 반면, 소외 1이 피고 롯데카드의 FDS 관련 용역을 진행하는 과정에서 수행하게 되는 업무들(특히, 카드고객정보의 수령 및 취급)에 관한 개별적·구체적 관리·감독은 피고 롯데카드의 업무이자 의무이다. 그리고 설령 피고 KCB가 소외 1에 대한 관리·감독의무를 다하였다고 하더라도 원고들의 카드고객정보 유출이라는 결과 발생을 피할 수 없었을 것이다.

다) 따라서 민법 제756조 제1항 단서 전단 또는 후단에 따라 피고 KCB의 사용자책임은 면제되어야 한다.

4. 피고 롯데카드의 손해배상책임의 성립 여부에 관한 판단

가. 관련 법령 및 관련 법리

관련 법령은 별지 기재와 같다.

한편, 정보통신서비스제공자는 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙(2008. 9. 23. 행정안전부령 제34호로 전부 개정되기 전의 것, 이하 같다) 제3조의3 제1항 각 호 에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담한다. 나아가 정보통신서비스제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다. 그런데 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스제공자가 구축한 네트워크나 시스템 및 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 아니한 점, 해커 등은 여러 공격기법을 통해 정보통신서비스제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적인 점 등의 특수한 사정이 있으므로, 정보통신서비스제공자가 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2008. 2. 29. 법률 제8852호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제28조 제1항 이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스제공자의 업종·영업규모와 정보통신서비스제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성, 정보통신서비스제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다. 특히 구 정보통신망법 시행규칙 제3조의3 제2항 은 “정보통신부장관은 제1항 각 호 의 규정에 의한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”라고 규정하고 있고, 이에 따라 정보통신부장관이 마련한 「개인정보의 기술적·관리적 보호조치 기준」(정보통신부 고시 제2005-18호 및 제2007-3호, 이하 ‘고시’라 한다)은 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스제공자가 구 정보통신망법 제28조 제1항 에 따라 준수해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있으므로, 정보통신서비스제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다( 대법원 2015. 2. 12. 선고 2013다43994 판결 참조).

그리고 위와 같은 법리는 구 정보통신망법상 정보통신서비스제공자의 개인정보의 안전성 확보의무에서 뿐만 아니라 개인정보 보호법상 개인정보처리자의 안전조치의무나 전자금융거래법상 금융회사 등의 안정성 확보의무에 관하여도 마찬가지로 적용된다고 봄이 타당하다.

나. 피고 롯데카드의 2013년 12월 정보유출 부분(별지 1-2, 2-2, 3-1-3 목록 기재 원고들)

1) 보안 프로그램 관련 의무 위반(개인정보의 안전성 확보기준 제9조 위반)

가) 판단의 전제

구 개인정보 보호법 제6조 는 ‘정보통신망법, 신용정보법 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다’고 규정하고 있고, 2015. 3. 11. 법률 제13216호로 신설된 신용정보법 제3조의2 제2항 은 ‘개인정보의 보호에 관하여 이 법에 특별한 규정이 있는 경우를 제외하고는 개인정보 보호법에서 정하는 바에 따른다’고 규정하고 있다. 위 규정들을 종합하면, 이 사건 카드고객정보 유출사고와 같이 개인정보에 관련된 문제에 있어서 개인정보 보호법이 신용정보법에 대하여 일반법의 위치에 있다고 할 것이다.

그런데 이 사건 카드고객정보 유출 당시 구 개인정보 보호법은 별지 4 기재와 같이 제3조 (개인정보 보호 원칙), 제18조 (개인정보의 이용·제공 제한), 제24조 (고유식별정보의 처리 제한), 제26조 (업무위탁에 따른 개인정보의 처리 제한), 제29조 (안전조치의무) 등 신용정보법에 비하여 개인정보 보호에 관하여 한층 강화된 규정을 두고 있었으므로, 적어도 이 사건과 관련하여서는 당시 신용정보법이 개인정보 보호법과 비교해서 특별한 규정을 두고 있다고 보기 어렵다. 따라서 이 사건에서는 구 개인정보 보호법에 따라 피고들의 책임 발생 여부를 판단하기로 한다.

나) 위에서 든 증거 및 변론 전체의 취지를 종합하여 알 수 있는 다음과 같은 사정 즉, 피고 롯데카드가 보안프로그램을 통하여 업무용 컴퓨터에 USB 메모리를 연결하여 쓰기 기능을 사용하지 못하도록 제한하고 있는 점, 업무용 컴퓨터에 개인정보가 저장되어 있고 USB 메모리 쓰기 기능이 활성화된 경우 몰래 숨겨 반입·반출이 용이한 USB 메모리를 이용하여 쉽게 개인정보를 유출할 위험성이 매우 높아지는 점, 크기가 작고 다른 물건으로 오인될 수 있도록 제작이 가능한 USB 메모리 자체의 반입·반출을 원천적으로 차단하는 데에는 한계가 있는 점, 업무용 컴퓨터에 있는 개인정보 등을 USB 메모리에 저장하여 유출할 가능성을 누구나 쉽게 예측할 수 있는 점 등에 비추어 보면, 구 개인정보 보호법 및 개인정보의 안정성 확보기준 제9조에 의하여 개인정보처리자가 설치·운영할 의무가 있는 보안프로그램에는 특별한 사정이 없는 한 USB 메모리의 쓰기 기능 사용을 제한하는 기능을 갖추고 있어야 하고, 그러한 기능이 실질적으로 작동하고 있는지 관리·감독하는 조치가 수반되어야 한다고 봄이 타당하다.

위에서 든 증거에 변론 전체의 취지를 종합하면, 소외 1은 2012. 12.경부터 FDS 개발작업을 위하여 피고 롯데카드 사무실에서 근무하던 중 2013. 9. 중순경 피고 KCB의 업무용 컴퓨터 2대를 추가로 반입하게 된 사실, 피고 롯데카드가 제공하는 보안프로그램을 설치하게 되면 업무용 컴퓨터에서 USB 쓰기 기능을 사용하는 것이 불가능한 사실, 그런데 소외 1은 위와 같이 추가로 반입한 컴퓨터 중 1대에는 보고서 등 문서를 작성하여 USB 메모리에 저장하고 필요한 경우 컴퓨터방에 가서 피고 KCB로 메일을 보내거나, 스마트폰을 접속하여 자료를 저장하고 스마트폰에서 이메일로 자료를 전송하는 데 사용할 목적으로 보안프로그램을 설치하지 않은 사실, 피고 롯데카드의 직원들 역시 위와 같이 컴퓨터 2대가 추가로 반입된 사실을 알았음에도 보안프로그램 설치 여부를 확인하지 않은 사실, 소외 1은 위와 같이 추가로 반입한 컴퓨터 중 1대에 USB 쓰기 기능을 통제할 수 있는 보안프로그램이 설치되지 않은 것을 이용하여 자신의 USB 메모리를 위 컴퓨터에 접속한 다음 USB 메모리 카드 안에 공유폴더를 만들었고, 보안프로그램이 설치되어 있고 피고 롯데카드의 개발서버에 접속할 권한이 있어 피고 롯데카드 카드고객정보가 저장되어 있는 업무용 컴퓨터에서 내부 네트워크를 통해 위 보안프로그램이 설치되어 있지 않은 컴퓨터에 접속하고 있는 USB 메모리 내 공유폴더에 접속하여 피고 롯데카드의 카드고객정보를 복사하여 유출한 사실을 인정할 수 있다.

위 인정사실에 의하면, 피고 롯데카드가 2013. 12.경 카드고객정보 유출사고 당시 정기 또는 수시로 피고 KCB 직원들이 FDS 개발작업을 위하여 반입한 컴퓨터의 존재 및 보안프로그램 설치·유지 여부 등을 확인하지 않아, 위와 같이 소외 1이 반입한 컴퓨터 중 1대가 계속하여 보안프로그램이 설치되지 않은 상태에서 업무에 사용되도록 방치하였고, 그 결과 소외 1의 카드고객정보 유출을 용이하게 하였다. 이로써 피고 롯데카드는 개인정보 안전성 확보조치 기준 제9조를 위반하였다고 할 것이다.

2) 개인정보 암호화 관련 의무 위반(개인정보의 안전성 확보기준 제7조)

가) 구 개인정보 보호법 제29조 , 같은 법 시행령 제30조 제1항 제3호 를 구체화한 개인정보의 안전성 확보조치 기준 제7조 제2항 및 제8항 규정은 별지 4 기재와 같고, 위 법령에는 위와 같은 고유식별정보를 포함한 개인정보의 암호화의무에 관하여 예외사유를 규정하고 있지 않다. 그리고 구 전자금융거래법 제21조 제2항 과 이를 구체화한 구 전자금융감독규정 제13조 제1항 제10호 규정은 별지 4 기재와 같은바, 이와 같은 규정에 비추어 보면, 다음과 같이 판단할 수 있다.

나) 피고 롯데카드가 그 사무실에서 FDS 개발작업을 하는 피고 KCB의 직원들에게 암호화 등으로 변형되지 않은 고유식별정보가 포함된 카드고객정보를 하드디스크 등 보조저장매체에 저장한 후 제공하여 FDS 개발업무에 사용하도록 하고 그 사용에 관하여 별다른 관리·감독을 하지 않고 방치한 행위는 위 암호화에 관한 각 규정을 위반한 경우에 해당한다.

한편, 개인정보 안전성 확보조치 기준 제7조 제5항은 내부망에 고유식별정보를 저장하는 경우 위험도 분석에 따른 결과를 토대로 암호화를 적용하지 않을 수 있다는 취지로 규정하고 있으나, 이는 FDS 등 내부망 자체에 고유식별정보를 저장하는 방식에 관하여 규율하는 취지로 보이고, 특히 개인정보 안전성 확보조치 기준 제7조 제2항, 제8항에서는 고유식별정보를 보조저장매체 등을 통하여 전달하거나 업무용 컴퓨터에 저장하여 관리하는 경우에는 암호화의무에 대한 예외를 규정하고 있지 않은 점에 비추어 볼 때, FDS 개발과정에서 부득이 변형되지 않은 카드고객정보가 필요한 작업이 포함될 수 있다고 하더라도 개인정보 안전성 확보조치 기준 제7조 제2항, 제8항 및 구 전자금융감독규정 제13조 제1항 제10호의 규정 취지에 따라 변형되지 않은 카드고객정보가 필요한 작업에 대하여는 그것이 반드시 필요한 작업이 이루어질 때에만 엄격하게 제한하여 제공해야 한다. 뿐만 아니라 해당 작업이 이루어질 때에는 피고 롯데카드의 직원이 직접 입회하여 감시·감독함으로써 정보유출의 가능성을 차단시키는 등 변형되지 않은 카드고객정보의 사용을 최소화하고 정보유출방지를 위한 보다 엄격한 대책을 수립·시행하였어야 함에도, 피고 롯데카드는 FDS 개발을 위한 계약체결 단계에서부터 기존 FDS 개발 관례상 변형되지 않은 카드고객정보를 제공하여 왔다는 점에만 의존하여 FDS 개발작업 중 변형되지 않은 카드고객정보가 반드시 필요한지 여부 및 그 범위, 변형된 카드고객정보로의 대체 가능성 등에 관하여 검토를 하지 않았고, 피고 KCB에게 변형되지 않은 카드고객정보를 제공하기로 하면서도 그 사용범위, 방식을 제한하는 등의 방법으로 카드고객정보 유출방지대책을 별도로 수립·시행하지도 않았다. 그리고 FDS 개발작업을 외부 용역 업체에 의뢰할 때 FDS 개발사업의 효율성(신속, 저비용, 고성능)을 위하여 피고 롯데카드가 관련 규정 등을 위반하여 카드고객정보의 유출 가능성을 증대시킨 책임은 피고 롯데카드가 부담하여야 하는 것이지, 이를 그 개인정보 주체인 카드고객들에게 전가시킬 수는 없다.

따라서 피고 롯데카드는 암호화되지 않은 카드고객정보를 제공하여서는 아니 된다는 관련 규정을 위반하였다고 봄이 타당하다.

3) 접근통제 시스템 관련 의무 위반(개인정보 안전성 확보조치 기준 제6조)

구 개인정보 보호법 제29조 , 같은 법 시행령 제30조 제1항 제2항 을 구체화한 개인정보의 안전성 확보조치 기준 제6조 제3항, 제4항의 규정, 정보통신망법 시행령 제15조 제2항 규정에 비추어 보면, 다음과 같이 판단할 수 있다.

위에서 든 증거에 변론 전체의 취지를 종합하면, FDS 개발작업 중 피고 KCB에서 요청하면 피고 KCB 직원들이 사용하는 업무용 컴퓨터에 수차례에 걸쳐 카드고객정보를 전송해 주거나 피고 KCB의 직원들이 직접 다운로드를 받게 한 사실, 피고 KCB의 직원들은 피고 롯데카드로부터 전송받은 카드고객정보를 공유폴더에 저장하여 필요할 때마다 각자 업무용 컴퓨터에 복사하여 사용한 사실, 피고 롯데카드는 위와 같이 피고 KCB에게 카드고객정보를 제공하면서 그 접근권한을 제한하지 않았고, 피고 KCB 직원들이 카드고객정보를 공유폴더를 통하여 공유하고 있는 점에 관하여도 아무런 통제를 하지 않았으며, 특별히 그 유출방지 대책을 마련하지 않은 사실을 인정할 수 있다.

위와 같이 피고 롯데카드가 그 사무실에서 작업을 하고 있는 피고 KCB의 직원들에게 카드고객정보를 제공하여 업무용 컴퓨터에 보관·활용할 수 있게 하면서 접근권한 제한 등을 하지 않은 것은, 위 개인정보의 안전성 확보조치 기준 제6조 제3항, 제4항에 따른 개인정보 보호조치를 다하지 않은 경우에 해당한다.

4) 개인정보처리 업무위탁자의 감독 의무 위반( 구 개인정보 보호법 제26조 위반)

가) 앞서 본 인정사실에 비추어 알 수 있는 다음과 같은 사정, 즉 ① 피고 롯데카드가 피고 KCB에게 카드고객정보를 제공한 것은 FDS 개발작업을 위한 것인데 FDS의 개발은 위 피고가 의뢰한 것이고 개발된 FDS의 운영 역시 위 피고의 업무에 해당하는 점, ② 피고 롯데카드의 FDS 개발작업은 위 피고가 제공하는 장소에서 위 피고의 통제·관리하에 이루어졌고 카드고객정보의 제공은 위 피고의 FDS 개발작업에 참여하는 피고 KCB 직원들을 대상으로 한정된 범위에서 제공되었던 점, ③ 피고 롯데카드로부터 카드고객정보를 제공받은 피고 KCB 직원들이 이를 FDS 개발작업 이외의 용도로 사용하거나 위 피고의 사무실 외부로 유출하는 것은 금지되어 있었던 점, ④ 피고 KCB는 피고 롯데카드의 FDS 개발작업을 위한 것 이외에 다른 업무를 위해 위 고객정보를 보유·사용할 이익이 없었고, FDS 개발작업이 종료되면 제공받은 카드고객정보를 폐기하거나 반납할 것이 예정되어 있었던 점 등 제반 사정에 비추어 보면, 피고 롯데카드가 피고 KCB에게 FDS 개발작업을 위하여 카드고객정보를 제공한 것은 개인정보 보호법 제26조 에 따라 개인정보 처리업무를 제3자에게 위탁한 경우로 봄이 상당하다.

나) 앞서 든 각 증거에 변론 전체의 취지를 종합하면, 피고 롯데카드는 피고 KCB에게 카드고객정보를 제공하면서 개인정보의 기술적·관리적 보호조치에 관한 사항이나 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 등 위 개인정보 보호법 및 같은 법 시행령이 정한 사항에 관하여 문서에 의하여 구체적으로 정하는 등의 조치를 취한 사실이 없고, 피고 KCB에서 피고 롯데카드에게 카드고객정보 등 필요한 자료를 요청하면 필요한 자료를 제공하면서도 피고 KCB에게 별다른 지침이나 주의를 준 적도 없는 것으로 보이며, 피고 KCB의 직원들은 피고 롯데카드로부터 제공받은 카드고객정보를 공유해서 FDS 개발작업에 자유롭게 활용하였을 뿐, 별도의 개인정보에 대한 기술적·관리적 보호조치를 취한 적이 없는 것으로 보인다.

그렇다면, 위와 같이 피고 롯데카드가 피고 KCB에게 FDS 개발작업과 관련하여 카드고객정보에 관한 개인정보의 처리 업무를 위탁하면서도 개인정보의 기술적·관리적 보호조치에 관한 사항에 관하여 아무런 약정을 하지 않고, 피고 KCB가 그와 같은 보호조치 없이 카드고객정보를 FDS 개발작업에 활용하는 것을 방치한 것은 개인정보 보호법 제26조 제1항 , 제4항 을 위반한 경우에 해당한다.

다) 한편, 구 개인정보 보호법 제26조 제6항 에 따라 피고 롯데카드는 수탁자인 피고 KCB의 직원인 소외 1이 개인정보 보호법을 위반하여 카드고객정보를 유출한 행위에 대하여 사용자로서의 책임을 부담하고, 앞서 본 바와 같은 피고 롯데카드의 정보 제공 방법과 이에 따른 조치에 관련 법령 위반이 인정되어 이 사건 카드고객정보 유출사고에 대한 귀책사유가 있는 이상 피고 롯데카드가 피고 KCB의 선임 및 관리·감독에 아무런 과실이 없다고 할 수는 없다.

다. 피고 롯데카드의 2010년 4월 정보 유출 부분(별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들)

1) 정보통신망 이용촉진 및 정보보호에 관한 법률 적용 여부

피고 롯데카드는 인터넷 홈페이지를 통하여도 카드회원을 모집하고 카드회원들에게 정보통신망을 이용하여 각종 서비스를 제공하는 것으로 보이므로 피고 롯데카드는 정보통신망법에서 정한 정보통신서비스 제공자에 해당한다. 그리고 정보통신망법으로 보호되는 개인정보의 누출이란 개인정보가 해당 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미하는바, 카드회원의 모집은 오프라인에서도 다수 이루어지고 있고, 피고 롯데카드는 오프라인을 통하여 가입한 회원들에 대하여도 피고 롯데카드가 운영하는 인터넷 홈페이지에서 관련 서비스를 제공하는 것으로 보이며, 이에 따라 이 사건 별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들이 피고 롯데카드가 운영하는 인터넷 홈페이지를 통하여 카드고객정보 유출 여부를 조회할 수 있었던 점 등을 고려하면 위 원고들이 피고 롯데카드가 제공하는 정보통신서비스의 이용자에 해당하지 않는다고 단정하기 어렵다.

따라서 피고 롯데카드의 2010. 4.경 카드고객정보 유출사고에 관하여도 정보통신망법상 개인정보 보호에 관한 규정들이 적용된다고 봄이 상당하다.

2) 구 공공기관의 개인정보 보호법 적용 여부

구 공공기관 개인정보 보호법 제22조 규정은 별지 4 기재와 같은바, 피고 롯데카드 역시 구 공공기관 개인정보 보호법이 공공기관에 대하여 부여하고 있는 개인정보 보호를 위한 조치의무를 부담한다고 봄이 타당하다.

3) 전자금융감독규정시행세칙 제9조 위반 여부

피고 롯데카드는 업무상 필요를 이유로 FDS 개발작업을 하는 비아이랩 직원들에게 카드고객정보를 제공하였는데, 별지 4 기재와 같은 구 전자금융거래법 제21조 제2항 및 이를 구체화한 구 전자금융감독규정시행세칙 제9조 제1항 제7호 규정, 구 공공기관 개인정보 보호법 시행규칙 제5조 제2항 규정에 비추어 보면, 피고 롯데카드는 이들이 FDS 개발작업을 위해 반입한 하드디스크 등 저장매체의 수량을 육안 또는 보안프로그램에 기록된 정보 등을 이용하여 정확히 파악하고, FDS 개발작업이 마무리되어 하드디스크 등 저장매체가 반출되는 때에는 직접 포맷을 실시하는 등으로 포맷 여부를 정확하게 확인하였어야 하며, 임의로 하드디스크 등 저장매체를 추가, 분리, 교체하는 것을 방지하기 위하여 컴퓨터 본체 또는 하드디스크에 보안스티커(인위적 훼손시 훼손 여부가 남는 특수제작 스티커)를 부착하는 등 FDS 개발작업을 위하여 반입되는 하드디스크에 카드고객정보가 저장된 채로 반출되지 않도록 철저히 관리·감독할 의무가 있다. 위에서 든 증거에 변론 전체의 취지를 종합해 보면, 피고 롯데카드는 이러한 관리·감독 의무를 위반하여 2010. 4.경 카드고객정보 유출사고 당시 비아이랩 직원들이 FDS 개발작업을 위하여 피고 롯데카드 사무실에 반입한 컴퓨터에 대해서만 장비반입증을 제출받았을 뿐 반입한 내·외장 하드디스크의 수량을 파악하지는 않았고, 위 직원들이 피고 롯데카드 사무실에서 FDS 개발작업을 마치고 철수할 때 피고 롯데카드 보안팀에서 하드디스크 포맷을 하라고 지시하였을 뿐 직접 하드디스크를 포맷하거나 포맷 여부를 감독하지 않았고, 위와 같이 피고 롯데카드가 하드디스크에 대한 관리를 소홀히 함으로써 소외 1은 이를 이용하여 2010. 4.경 FDS 개발작업을 하면서 피고 롯데카드의 고객정보가 저장된 하드디스크를 몰래 숨겨서 가지고 나올 수 있었으므로, 피고 롯데카드는 구 전자금융감독규정시행세칙 제9조 제1항 제7호, 구 공공기관 개인정보 보호법 시행규칙 제5조 제2항 을 위반하였다.

4) 암호화되지 않은 카드고객정보 제공과 관련된 규정 위반 여부

구 전자금융거래법 제21조 제2항 , 구 전자금융감독규정시행세칙 제9조 제1항 제10호, 구 정보통신망법 시행령 제15조 제4항 제2 , 4호 규정에 따라 피고 롯데카드는 고객정보를 암호화하고 이에 대한 보호를 하였어야 함에도, 위에서 본 바와 같이 피고 롯데카드가 FDS 개발사업을 위하여 변환되지 않은 카드고객정보를 제공하고 그 사용에 대한 별다른 관리·감독을 하지 않고 방치하였다.

이와 같은 행위는 구 전자금융감독규정시행세칙 및 구 정보통신망법 시행령 제15조 제4항 제2호 , 제4호 를 위반한 경우에 해당한다.

라. 손해발생 및 위법행위와의 인과관계

1) 피고 롯데카드의 2013년 12월 정보 유출 부분(별지 1-2, 2-2, 3-1-3 목록 기재 원고들)

앞서 든 증거에 변론 전체의 취지를 종합하면, 소외 1은 2013. 12.경 피고 롯데카드의 카드고객정보를 자신의 USB 메모리에 담아 유출한 뒤 이를 그대로 자신의 집에 있는 컴퓨터에 저장하여 보관하였던 사실, 소외 1은 이를 향후 소외 2에게 전달하려고 하였으나 이를 전달하기 전에 2013. 12. 23. 수사기관에 의하여 긴급체포된 사실, 소외 1이 2013. 12.경 유출한 피고 롯데카드의 카드고객정보는 같은 날 수사기관의 의하여 압수된 사실이 인정된다.

위 인정사실과 기초사실을 앞서 본 법리에 비추어 알 수 있는 다음과 같은 사정 즉, ① 소외 1은 FDS 개발에 관한 전문 엔지니어로서 개인적으로 유출된 카드고객정보를 제3자에게 대가를 받고 넘겨주는 것 이외에 이를 스스로 악용할 의사는 없었던 것으로 보이는 점, ② 소외 1은 FDS 개발과정에서 피고 롯데카드로부터 카드고객정보를 제공받아 이를 활용하였으나 이는 개발 중인 FDS가 제대로 작동되는지 여부를 테스트하기 위한 것이고 개별적인 정보의 구체적인 내용을 지득하였을 가능성은 거의 없는 것으로 보이고, 이는 카드고객정보를 유출하여 자신의 컴퓨터 등 저장매체에 보관한 이후에도 마찬가지였을 것으로 보이는 점, ③ 소외 1이 2013. 12.경 피고 롯데카드에서 유출한 카드고객정보는 유출된 지 얼마 지나지 않아 유출한 상태 그대로 압수되었는데, 유출되어 압수되기까지의 기간 및 경위에 비추어 유출된 카드고객정보가 다른 저장매체에 복사되어 있다거나 다른 사람에게 제공되었을 가능성은 거의 없는 것으로 보이는 점, ④ 위와 같이 유출된 카드고객정보로 인하여 이 사건 별지 1-2, 2-2, 3-1-3 목록 기재 각 원고들에게 후속 피해가 발생하였음을 인정할 만한 사정이 발견되지 아니하는 점 등 제반 사정에 비추어 보면, 피고 KCB의 직원인 소외 1이 2013. 12.경 피고 롯데카드의 카드고객정보를 유출하였고, 그 과정에서 피고 롯데카드가 위 원고들의 카드고객정보가 유출되지 않도록 방지할 주의의무가 있음에도 불구하고 이를 소홀히 함으로써 주의의무를 위반한 점이 인정된다고 하더라도, 피고 롯데카드의 2013. 12.경 카드고객정보 유출로 인하여 위 원고들에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기는 어렵고, 달리 이를 인정할 증거가 없다.

2) 피고 롯데카드의 2010년 4월 정보 유출 부분(별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들)

앞서 든 증거에 변론 전체의 취지를 종합하면, 소외 1은 약 1,023만 명의 카드고객정보 중 소외 2에게 약 255만 명의 정보를 제공한 외에 다른 사람에게 위 약 1,023만 명의 카드고객정보를 제공한 사실이 없다고 진술하고 있는 사실, 위 약 1,023만 명의 피고 롯데카드 고객정보가 저장되어 있던 하드디스크는 소외 1이 보관하고 있던 중 수사기관에 의하여 압수된 사실이 인정된다.

그러나 기록에 비추어 알 수 있는 다음과 같은 사정 즉, ① 소외 1이 피고 롯데카드에서 2010. 4.경 유출한 약 1,023만 명 중 소외 2에게 약 255만 명의 카드고객정보만 제공하였다는 진술은 소외 1의 범행 행태나 그 지속성 등에 비추어 선뜻 그 신빙성을 인정하기 어려운 점, ② 소외 1은 자신의 범행을 축소하기 위하여 소외 2에게 제공한 카드고객정보의 양을 뒤늦게 소외 2의 사무실에서 압수된 하드디스크에 저장되어 있던 카드고객정보만으로 한정하여 진술하였을 가능성을 배제하기 어려운 점, ③ 소외 1이 소외 2에게 2010. 4.경 유출한 카드고객정보를 제공한 시기는 2011. 1.경인데 그로부터 소외 1에 대한 수사가 시작될 때까지 상당히 오랜 기간이 경과한 점(그 사이에 소외 2는 소외 1로부터 제공받은 피고 롯데카드의 카드고객정보 중 일부를 분실하거나 정보의 최신성이 떨어져 폐기함으로써 약 255만 명의 카드고객정보만 남아 있는 하드디스크가 압수되었을 가능성도 배제하기 어렵다), ④ 소외 1은 2010. 4.경 유출한 피고 롯데카드의 카드고객정보를 그에 대한 수사가 시작되기까지 약 3~4년 동안 보관하고 있었고, 소외 1이 유출한 다른 카드고객정보를 제3자에게 제공한 범행 수법이나 태양 등에 비추어 소외 1이 그 기간 동안 소외 2 또는 그 외 다른 사람에게 약 1,023만 명의 카드고객정보를 추가로 제공하는 등으로 이를 추가 유출하였을 가능성을 배제하기 어려운 점, ⑤ 더구나 피고 롯데카드는 소외 1이 2010. 4.경 카드고객정보를 유출하였다는 사실조차 소외 1에 대한 관련 수사가 개시될 때까지 전혀 인지하지 못하였고, 그 상태에서 2013. 12.경 카드고객정보 유출사고가 재차 발생하였던 점, ⑥ 피고 롯데카드가 소외 1 등 KCB의 직원들에게 변환되지 않은 카드고객정보를 제공하는 의사결정 과정이나 제공방식 및 사후 관리·감독 실태, 카드고객정보 유출 이후의 대처 방법 등 기록에 나타나 제반 사정을 종합하면, 2010. 4.경 유출된 피고 롯데카드 회원 약 1,023만 명의 카드고객정보는 그 정보주체인 별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들의 의사에 반하여 이미 제3자에게 열람되었거나 장차 열람될 가능성이 매우 높다고 할 것이므로, 결국 사회통념상 2010. 4.경 카드고객정보 유출사고 인하여 정신적 손해가 현실적으로 발생하였다고 봄이 타당하다.

마. 소결

1) 피고 롯데카드는 별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들에게 위법행위로 인하여 발생한 손해를 배상할 의무가 있다.

2) 별지 1-2, 2-2, 3-1-3 기재 원고들에 관하여 보건대, 위 원고들이 제출한 증거만으로는 피고 롯데카드에서 2010년 4월 위 원고들에 대한 정보가 유출되었다거나 2013년 12월 정보유출로 인하여 손해가 발생하였다고 인정하기 어렵고, 달리 이를 인정할 증거가 없다.

5. 피고 KCB의 손해배상책임 성립 여부에 관한 판단

가. 2013년 12월 유출행위 관련

위 4. 라.의 1)에서 본 바와 같이 피고 롯데카드의 2013년 12월 카드고객정보 유출사고로 인하여 이 사건 원고들에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기 어렵고, 달리 이를 인정할 증거가 없다.

따라서 이와 관련한 피고 KCB에 대한 청구는 피고 KCB의 사용자로서의 주의의무 위반 여부에 관하여 살필 필요 없이 이유 없다.

나. 2010년 4월 유출행위 관련

위 1. 다.의 1)에서 본 바와 같이 소외 1이 피고 롯데카드에서 2010년 4월경 카드고객정보를 유출할 당시 소속은 피고 KCB가 아니었고, 당시의 행위에 대하여 피고 KCB가 사용자의 지위에 있다고 볼 만한 아무런 증거가 없다.

따라서 이와 관련한 피고 KCB에 대한 청구 역시 더 나아가 살필 필요 없이 이유 없다.

6. 손해배상책임의 범위

피고 롯데카드가 소외 1의 2010년 4월 정보유출 행위로 인하여 별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들에게 배상하여야 할 금액에 관하여 본다.

위에서 살펴본 바와 같은 피고 롯데카드의 카드고객정보 관리실태와 그 유출의 구체적인 경위, 유출된 개인정보의 전파 및 확산 범위, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 피고들이 마련한 사후적 조치의 내용 등, 이 사건에서 유출된 개인정보에는 각 개인에게 유일하고 영구적이며 일신전속적인 성격을 지닌 주민등록번호가 포함되어 있고, 이를 도용한 2차적 피해 발생과 확대의 가능성을 배제하기 어려운 점, 다만 이 사건에서 유출된 카드고객정보의 내역이나 이를 취득한 사람들의 카드고객정보 취득목적 등에 비추어 유출된 카드고객정보를 이용한 카드 위·변조나 부정사용으로 인한 재산적 손해가 발생할 가능성은 그리 크지 않아 보이고, 현재까지 그와 같은 구체적인 재산상 피해가 실제로 발생한 사례는 확인되지 않고 있는 점, 이 사건에서 유출된 카드고객정보가 불특정 다수인에게 공개되었거나 열람할 수 있는 상태에 놓였던 것은 아니고 특정한 목적(대출영업)을 보유한 사람들에게 제한적으로 전파된 것으로 보이는 점, 유출된 카드고객정보의 양이 매우 방대한 탓에 이를 취득한 사람들도 카드고객정보를 선별적으로 사용하였을 것으로 보이는 점, 현실적으로 파일 형태로 보관·처리되는 개인정보의 유출방지가 기술적으로 완벽할 수는 없는 반면 오늘날 기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객 개인정보를 수집·보관하는 것이 필수적인 경우가 많아 소비자로서도 위와 같은 위험을 어느 정도 감수할 수밖에 없다는 점, 피고 롯데카드가 이 사건 카드고객정보 유출사고를 인지한 직후 카드고객들을 대상으로 해당 고객의 개인정보가 유출되었는지 여부를 확인할 수 있도록 필요한 서비스를 제공하는 등으로 카드고객정보 유출사고의 2차 피해방지를 위해 상당한 노력을 기울였던 것으로 보이는 점, 이 사건 카드고객정보 유출사고는 소외 1의 고의 또는 계획적인 범행으로 발생한 것이라는 점 등 이 사건 변론과 증거조사에 나타난 제반 사정들을 종합적으로 고려하면, 피고 롯데카드가 이 사건 카드고객정보 유출사고로 인하여 정신적 손해를 입게 된 위 원고들에게 배상하여야 할 위자료는 각 100,000원으로 정함이 상당하다.

그렇다면 피고 롯데카드는 별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들에게 각 100,000원 및 이에 대하여 카드고객정보 유출사고가 발생한 날 이후로서 원고들이 구하는 바에 따라, 별지 1-1 목록 기재 원고들에게는 그 소장 부본이 피고 롯데카드에 송달된 다음날인 2014. 3. 19.부터, 별지 2-1 목록 기재 원고들에게는 그 소장 부본이 피고 롯데카드에 송달된 다음날인 2014. 8. 29.부터, 별지 3 목록 기재 원고들에게는 2011. 1. 31.부터, 별지 3-1-1 목록 기재 원고에게는 2013. 12. 31.부터 각 피고 롯데카드가 그 이행의무의 존부나 범위에 관하여 항쟁함이 상당한 이 판결 선고일인 2016. 10. 13.까지는 민법이 정한 연 5%의, 그 다음날부터 다 갚는 날까지는 소송촉진 등에 관한 특례법이 정한 연 15%의 각 비율에 의한 지연손해금을 지급할 의무가 있다.

7. 결론

가. 별지 3-1-2 목록 기재 원고들의 피고 롯데카드에 대한 청구는 부적법하므로 이를 각하한다.

나. 별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들의 피고 롯데카드에 대한 청구는 위 인정범위 내에서 이유 있어 이를 인용한다.

다. 별지 1-1, 2-1, 3, 3-1-1 목록 기재 원고들의 피고 롯데카드에 대한 나머지 청구, 별지 1-1, 2-1 목록 기재 원고들의 피고 KCB에 대한 청구, 별지 1-2, 2-2 목록 기재 원고들의 피고들에 대한 청구 및 별지 3-1-3 목록 기재 원고들의 피고 롯데카드에 대한 청구는 각 이유 없으므로 이를 각 기각한다.

[별지 생략]

주1) 2014가합511956 사건의 증거를 “갑가호증”, 병합된 2014가합526255 사건의 증거를 “갑나호증”, 병합된 2015가합9788 사건의 증거를 “갑다호증”으로 정리하여 기재한다. 피고들의 경우 주장 내용, 제출된 증거의 양 등을 고려하여 2014가합511956 사건에 제출된 증거번호만 기재한다.