【판례해설<손해배상>】《해킹 사고와 정보통신서비스제공자의 불법행위 방조책임 (대법원 2018. 1. 25. 선고 2015다24904, 24911, 24928, 24935 판결)》〔윤경 변호사 더리드(The Lead) 법률사무소〕
1. 판결요지
[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전의 것, 이하 '구 정보통신망법'이라고 한다) 제28조 제1항은 정보통신서비스 제공자가 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 그 각호의 기술적·관리적 보호조치를 하여야 한다고 규정하고 있다.
이어 위 조항은 그 각호로 ‘1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영 3. 접속기록의 위조·변조 방지를 위한 조치 4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치 5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치’를 규정하고 있다. 그리고 구 정보통신망법 제28조 제1항의 위임을 받은 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것) 제15조는 정보통신서비스 제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 위와 같은 기술적·관리적 조치를 보다 구체적으로 규정하고 있다. 따라서 정보통신서비스 제공자는 구 정보통신망법 제28조 제1항 등에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담한다.
나아가 정보통신서비스 제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스 제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다.
그런데 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스 제공자가 구축한 네트워크나 시스템과 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다. 또한 해커 등은 여러 공격기법을 통해 정보통신서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적이다. 이처럼 정보통신서비스 제공자가 취해야 할 개인정보의 안전성 확보에 필요한 보호조치에 관해서는 고려되어야 할 특수한 사정이 있다.
그러므로 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다.
[2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것) 제15조 제6항은 “방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”라고 규정하고 있다.
이에 따라 방송통신위원회가 마련한 ‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시 제2011호, 이하 ‘고시’라고 한다)은 해킹 등 침해사고 당시의 기술 수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전의 것) 제28조 제1항 등에 따라 준수해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있다.
그러므로 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결 등 참조).
다만 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다.
따라서 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다.
나아가 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다고 하더라도, 불법행위에 도움을 주지 말아야 할 주의의무를 위반하여 타인의 불법행위를 용이하게 하였고 이러한 방조행위와 불법행위에 의한 피해자의 손해 발생 사이에 상당인과관계가 인정된다면 민법 제760조 제3항에 따른 책임을 면할 수 없다없다(대법원 2007. 6. 14. 선고 2005다32999 판결 등 참조).
[3] 인터넷상에서 포털서비스사업을 하는 甲 주식회사가 제공하는 온라인 서비스에 가입한 회원들의 개인정보가 해킹사고로 유출되었는데, 서비스 이용자인 乙 등이 甲회사를 상대로 손해배상을 구한 사안에서, 정보통신서비스 제공자가 정보처리시스템에 접속한 개인정보취급자로 하여금 작업 종료 후 로그아웃을 하도록 하는 것은, 비록 ‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시 제2011호)에서 정하고 있는 기술적·관리적 보호조치에는 해당하지 않으나, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치에 해당하므로, 정보통신서비스 제공자가 이러한 보호조치를 미이행하여 정보처리시스템에 접속권한이 없는 제3자가 손쉽게 시스템에 접속하여 개인정보의 도난 등의 행위를 할 수 있도록 하였다면 이는 불법행위에 도움을 주지 말아야 할 주의의무를 위반한 것으로써 이러한 방조행위와 피방조자의 불법행위 사이에 상당인과관계가 인정된다면 공동불법행위자로서 책임을 면할 수 없는데, 해킹사고 당시 해커가 이미 키로깅을 통하여 DB 서버 관리자의 아이디와 비밀번호를 획득한 상태였기 때문에 甲 회사의 DB 기술팀 소속 직원이 자신의 컴퓨터에서 로그아웃을 하였는지 여부와 무관하게 언제든지 게이트웨이 서버를 거쳐 DB 서버에 로그인을 할 수 있었던 것으로 보이므로, 위와 같은 보호조치의 미이행과 해킹사고의 발생 사이에 상당인과관계가 인정되지 아니하여 甲 회사의 손해배상책임이 인정되지 않는다고 한 사례.
2. 판례 해설
(1) 이 사건 고시 제4조 제4항의 기술적·관리적 보호조치에 관하여
(가) 이 사건 고시 제4조 제4항은 “정보통신서비스 제공자 등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안전한 인증수단을 적용하여야 한다.”라고 규정하고 있다.
(나) 장소적으로 떨어져 있는 두 개의 전산 네트워크 사이를 가상사설전산망(Virtual Private Network, 공중망을 활용하여 암호화된 패킷이나 배타적인 경로를 구성하여 사설망처럼 안전한 통신을 보장하는 가상 네트워크기술, 이하 ‘VPN’이라고 한다) 등의 전용선을 통하여 연결하고 있으면 이 네트워크 전체를 하나의 내부망으로 볼 수 있다.
이러한 내부망의 한쪽 네트워크에서 다른 쪽 네트워크로 접속하는 것은 이 사건 고시 제4조 제4항에 규정된 ‘외부에서 개인정보처리시스템에 접속하는 경우’에 해당하지 않는다.
(다) 개인정보취급자인 소외 2 등의 컴퓨터는 피고의 사옥인 서울 서대문구 △△동 소재 □□빌딩에, 이 사건 DB 서버 등은 서울 성동구 ○○동 소재 인터넷데이터센터(Internet Data Center, 이하 ‘IDC’라고 한다)에 있으나, 피고는 □□빌딩의 네트워크와 IDC를 VPN으로 연결하고 있다.
(라) 따라서 인터넷망 외부에서 직접 개인정보처리시스템인 ○○동 IDC에 접속한 것이 아니라 □□빌딩에 있는 직원 소외 1·소외 2의 컴퓨터에 침입한 후 그 컴퓨터에서 정상적인 접속경로와 같이 VPN을 통하여 IDC에 있는 이 사건 DB 서버에 접속한 이 사건 해킹사고에는 이 사건 고시 제4조 제4항이 적용되지 않는다.
(2) 이 사건 고시 제4조 제5항의 기술적·관리적 보호조치에 관하여
(가) 구 정보통신망법 시행령 제15조 제2항 제2호는 개인정보처리시스템에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 및 침입탐지시스템의 설치·운영을 보호조치의 하나로 규정하고 있다.
(나) 이에 따라 이 사건 고시 제4조 제5항은 정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 ‘개인정보처리시스템에 대한 접속권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한(제1호)’하고, ‘개인정보처리시스템에 접속한 IP 주소 등을 재분석하여 불법적인 개인정보유출시도를 탐지(제2호)’하는 기능을 포함한 시스템을 설치·운영하여야 한다고 규정하고 있다.
(다) 위 각 규정의 내용 및 취지에 비추어 보면 이 사건 DB 서버에서 대량으로 유출되는 정보를 실시간으로 모니터링하는 기능이나 사용자 컴퓨터에 저장된 전자문서 및 데이터가 외부로 유출되는 것을 탐지 또는 차단하고 이를 감시 및 추적하는 기능을 갖춘 디엘피 솔루션(Data Loss Prevention Solution, 기밀 또는 중요 정보의 유출을 차단·예방하는 활동을 구현한 하드웨어 또는 소프트웨어, 이하 ‘DLP 솔루션’이라고 한다)을 설치·운영해야 하는 것까지 규정한 것으로 보기는 어렵다.
(라) 또한 피고가 준수해야 할 정보통신망 관련 법령상의 개인정보 보호를 위한 기술적·관리적 보호조치에 개인정보처리시스템에서 대량으로 유출되는 정보를 실시간으로 모니터링하는 보호조치가 포함되어 있다고 보기는 어렵다.
(마) 설령 피고가 대용량 트래픽과 FTP 파일전송에 대하여 실시간으로 모니터링을 하거나 DLP 솔루션을 설치·운영할 의무가 있었다고 하더라도, 원고들이 제출한 증거만으로는 피고가 침입탐지시스템과 DLP 솔루션을 통하여 트래픽과 FTP 파일전송을 실시간 모니터링하여 이상 징후를 탐지해야 할 기술적·관리적 보호조치를 위반하였다고 인정하기에 부족하고 달리 이를 인정할 증거가 없다.
(3) 이 사건 고시 제4조 제5항 제1호에 관하여
(가) 이 사건 DB 서버에 접속하기 위해서는 VPN을 통해 먼저 게이트웨이 서버에 접속해야 한다. 그런데 피고는 게이트웨이 서버에 접속 가능한 IP 주소를 DB 서버에 접속할 권한이 있는 직원들이 사용하는 컴퓨터의 IP 주소로 한정시키고, DB 서버에 접속 가능한 IP 주소는 게이트웨이 서버의 IP 주소로 한정시키는 방법으로 허용되지 않은 IP 주소를 통해 게이트웨이 서버나 DB 서버에 접근할 수 없도록 조치를 취하고 있었다.
(나) 이 사건 해커는 이미 키로깅(keylogging, 사용자가 키보드로 컴퓨터에 입력하는 내용을 몰래 가로채는 해킹 기법)을 통하여 이 사건 DB 서버 관리자인 소외 2의 아이디와 비밀번호를 취득하고 게이트웨이 서버부터는 이를 이용하여 접속하였다. 따라서 피고에게 게이트웨이 서버 이후의 단계에서 해당 접속행위가 애초 소외 1의 컴퓨터로부터 시작되었다는 것까지 인식하여 이를 막을 의무가 있었다거나 피고가 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적·관리적 보호조치를 위반하였다고 볼 수는 없다.
(4) 개인정보처리자가 퇴근 시 로그아웃을 하지 않거나 자동 로그아웃 기능을 설정하지 않은 점에 관하여
(가) 원고들이 제출한 증거만으로는 이 사건 해킹사고 당시 DB 서버 관리자가 작업종료 후 로그아웃을 하여야 한다거나 자동 로그아웃 시간을 설정할 의무가 있었다고 인정하기에 부족하고, 달리 이를 인정할 아무런 증거가 없다.
(나) 해커는 이미 키로깅을 통하여 이 사건 DB 서버 관리자인 소외 2의 아이디와 비밀번호를 획득한 상태였기 때문에 소외 1이 자신의 컴퓨터에서 로그아웃을 하였는지 여부와 무관하게 언제든지 소외 2의 아이디와 비밀번호를 이용하여 게이트웨이 서버를 거쳐 이 사건 DB 서버에 로그인을 할 수 있었던 것으로 보인다.
(다) 따라서 소외 1이 퇴근 시 자신의 업무용 컴퓨터에서 로그아웃을 하지 아니하고 자동 로그아웃 기능을 설정하지 않았다고 하여 정보통신망 관련 법령상의 기술적·관리적 보호조치를 위반한 과실이 있다거나 이 사건 해킹사고의 발생과 사이에 상당인과관계가 있다고 볼 수는 없다.
(5) FTP를 사용한 점에 관하여
(가) 피고의 개인정보보호 업무지침서 제26조 제4항은 “개인정보 접근 PC에 대한 NULL session 접근이 불가능하도록 보안설정을 하고, telnet 및 ftp 서비스 등 보안상 취약한 서비스는 제공하지 않도록 한다.”라고 규정하고 있다(NULL session 접근이란 사용자인증을 거치지 않고 시스템에 접근하는 것을 말한다).
(나) 구 정보통신망법 제45조에 따른 정보보호지침 제2조는 보호조치의 구체적인 내용으로 [별표 1] 2.2.8.(접근통제 및 보안설정 관리)항에서 불필요한 프로토콜 및 서비스 제거 등 보안설정을 규정하고 있다. 그러나 위 규정에 따라 불필요한 프로토콜 등을 제거해야 하는 대상은 주요정보통신서비스 제공자 및 인터넷접속역무 제공자, 집적정보통신시설 사업자이다. 그런데 피고는 위 각 사업자에 해당하지 않으므로, 결국 피고로서는 DB 서버 관리자의 컴퓨터에서 FTP 프로그램을 삭제해야 할 법령상 의무를 부담하지 아니한다.
(다) 피고의 개인정보보호 업무지침서 제26조 제4항은 개인정보 접근 PC에서 FTP 서비스를 제공하는 행위, 즉 개인정보 접근 PC를 FTP 서버로 설정하는 행위를 금지하고 있다. 그런데 이 사건 해킹사고는 개인정보 접근 PC를 FTP 클라이언트로 사용하여 개인정보를 전송한 것이므로, 이 사건 해킹사고와 관련하여 개인정보보호 업무지침서 제26조 제4항을 위반하였다고 볼 수 없다.
(라) FTP 프로그램이 아니더라도 네▽트온 등의 메신저, 대용량 웹 메일서비스, 웹서버 업로드, 간이 전자우편 전송 프로토콜(Simple Mail Transfer Protocol) 등 다양한 프로그램이나 방식을 이용하여 대량정보 전송이 가능한 이상 피고가 FTP 프로그램을 사용했다는 사실만으로 어떠한 주의의무를 위반하였다고 단정하기도 어렵다.
다. 먼저 개인정보처리자가 퇴근 시 로그아웃을 하지 않거나 자동 로그아웃 기능을 설정하지 않은 점에 관한 원심의 판단을 살펴본다.
앞에서 본 법리에 비추어 보면, 정보통신서비스 제공자가 정보처리시스템에 접속한 개인정보취급자로 하여금 작업 종료 후 로그아웃을 하도록 하는 것은, 비록 이 사건 고시에서 정하고 있는 기술적·관리적 보호조치에는 해당하지 않으나, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치에 해당한다.
또한, 정보통신서비스 제공자가 이러한 보호조치를 미이행하여 정보처리시스템에 접속권한이 없는 제3자가 손쉽게 위 시스템에 접속하여 개인정보의 도난 등의 행위를 할 수 있도록 하였다면 이는 불법행위에 도움을 주지 말아야 할 주의의무를 위반한 것이다.
만약 이러한 방조행위와 피방조자의 불법행위 사이에 상당인과관계가 인정된다면 공동불법행위자로서 책임을 면할 수 없다.
따라서 원심판단 중 이 사건 고시에 위와 같은 보호조치를 할 의무가 규정되어 있지 않다는 이유만으로 정보통신서비스 제공자가 위와 같은 보호조치 의무를 부담하지 않는 것처럼 판시한 부분은 부적절하다.
그러나 원심판결 이유를 기록에 비추어 살펴보면, 해커는 이미 키로깅을 통하여 이 사건 DB 서버 관리자인 소외 2의 아이디와 비밀번호를 획득한 상태였기 때문에 소외 1이 자신의 컴퓨터에서 로그아웃을 하였는지 여부와 무관하게 언제든지 소외 2의 아이디와 비밀번호를 이용하여 게이트웨이 서버를 거쳐 이 사건 DB 서버에 로그인을 할 수 있었던 것으로 보인다.
따라서 원심이 결론적으로 위와 같은 보호조치의 미이행과 관련한 원고들의 주장을 배척한 것에 상고이유 주장과 같이 민법 제750조의 불법행위 및 상당인과관계에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 없다.