【민사】《해킹에 의한 개인정보 유출사고와 정보통신서비스 제공자의 개인정보 보호조치의무(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결)》

【민사】《해킹에 의한 개인정보 유출사고와 정보통신서비스 제공자의 개인정보 보호조치의무(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결)》

 

● 해킹에 의한 개인정보 유출사고와 정보통신서비스 제공자의 개인정보 보호조치의무

 

1. 사안의 개요

 

개인정보 유출로 입은 정신적 고통에 대한 손해를 배상하라는 사안이다.

A 회사가 운영하는 인터넷 오픈마켓 사이트에 중국인 해커로 추정되는 사람이 침입하여 온라인 회원들의 이름, 주민등록번호, 휴대전화번호, 이메일 주소 등 개인정보를 해킹하여 누출시키는 사고가 발생하였다.

그러자 위 사이트에 가입한 회원인 B 씨 등이 개인정보 유출로 정신적 고통을 당하였다면서 A 회사를 상대로 손해배상을 청구하였다. B 씨 등은 A 회사가 해킹을 방지하기 위하여 웹 방화벽 설치 등 회원들의 개인정보를 보호하기 위한 조치를 제대로 하지 않았다고 주장하였다.

 

2. 이 사건의 쟁점 및 결론

 

A 회사가 운영하는 인터넷 오픈마켓 사이트에서 회원들의 개인정보가 해킹으로 유출되는 사고가 발생하자, 회원인 B 씨 등은 개인정보 유출로 정신적 피해를 입었다며 A 회사를 상대로 손해배상을 구하였다.

A 회사는 회원들에게 손해배상책임을 져야 할까?

 

정보통신서비스 제공자인 A 회사가 회원들의 개인정보를 보호하기 위하여 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였다면, B 씨 등의 개인정보 유출로 인한 손해배상책임을 지지 않는다.

 

3. 사안의 분석 및 대상판결의 판시내용

 

구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2008. 2. 29. 법률 제8852호로 개정되기 전의 것) 제28조(개인정보의 보호조치)

➊ 정보통신서비스 제공자 등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실, 도난, 누출, 변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 조치를 하여야 한다.

 

구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙(2008. 9. 23. 행정안전부령 제34호로 전부 개정되기 전의 것) 제3조의3(개인정보의 보호조치)

➊ 법 제28조의 규정에 의한 개인정보의 안전성 확보에 필요한 기술적, 관리적 조치는 다음 각 호와 같다.

1. 개인정보의 안전한 취급을 위한 내부관리계획의 수립 및 시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근통제장치의 설치, 운영

3. 접속기록의 위조, 변조 방지를 위한 조치

4. 개인정보를 안전하게 저장 ₩전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신소프트웨어의 설치, 운영 등 컴퓨터바이러스 방지 조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

➋ 정보통신부장관은 제1항 각 호의 규정에 의한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.

 

정보통신서비스 제공자에게는 해킹사고로부터 회원들의 개인정보를 보호할 법률상 계약상 의무가 있다

A 회사와 같은 정보통신서비스 제공자는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭: 정보통신망법) 등에 따라 정보통신서비스 이용자들의 개인정보를 보호하기 위한 기술적, 관리적 조치를 취하여야 할 법률상 의무가 있다.

그리고 정보통신서비스 이용자와 서비스 이용계약을 체결하면서 약관 등을 통해 개인정보를 필수적으로 제공하도록 하여 이를 수집하였다면, 이용자의 개인정보가 분실, 도난, 누출, 변조 또는 훼손되지 않도록 보호조치를 취하여야 할 정보통신서비스 이용계약상 의무도 부담한다.

 

정보통신서비스 제공자는 사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 하면 된다.

A 회사가 제공하는 정보통신서비스는 ‘개방성’을 특징으로 하는 인터넷을 기반으로 하고 있고, 정보통신서비스 제공자가 구축한 네트워크나 시스템 및 운영체제 등은 내재적인 취약점을 내포하고 있어 해킹과 같은 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖추는 것도 기술 발전 속도 등을 고려할 때 기대하기 쉽지 않다.

따라서 정보통신서비스 제공자에게 완벽한 보안조치를 갖추도록 요구할 수는 없다.

 

정보통신서비스 제공자가 회원의 개인정보의 안정성 확보에 필요한 보호조치를 취할 법률상 또는 계약상 의무를 위반하였는지를 판단할 때에는, 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종, 영업규모와 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 피해 발생의 회피가능성, 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해 정보 등을 종합적으로 고려하여, 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지를 기준으로 판단하여야 한다.

 

A 회사는 회원들의 개인정보를 보호하기 위한 조치를 적절히 취하였다

대법원은, A 회사가 개인정보 관리계획을 수립, 시행하고, 네트워크에 대한 침입탐지시스템과 침입방지시스템을 설치, 운영하는 등 정보통신망법 등에서 요구하는 기술적, 관리적 보호조치를 취하였을 뿐만 아니라 그 외 다수의 보안조치를 취하는 등 해킹사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였다.

 

B 씨 등이 주장하는 웹 방화벽은 선택적인 보안조치 중 하나에 불과하고 정보통신망법 등 관련 법령상 설치가 의무화되어 있지 않았으므로, 웹 방화벽이 설치되어 있지 않았다고 하여 A 회사가 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 이행하지 않았다고 볼 수도 없다.

따라서 A 회사는 정보통신서비스 제공자로서 개인정보의 안전성 확보에 필요한 조치를 취할 법률상 또는 정보통신서비스 이용계약상 의무를 위반하였다고 할 수 없으므로, 회원인 B 씨 등에 대하여 손해배상책임을 지지 않는다고 판단하였다.