• 대표전화 1588-4511
  • 상담시간 평일 09:00 - 18:00

HOME  >    >  
KT, 고객 개인정보 유출사고에 배상 책임 없다

대법원 2018. 12. 28. 선고 2017다207994 판결 손해배상(기)


【원고, 상고인】 별지 원고 명단 기재와 같다.
원고들 소송대리인 법무법인 인본, 담당변호사 정한철, 김종규, 신가현, 정진욱

【피고, 피상고인】 주식회사 ◇◇◇, 성남시 ○○구 ○○로 **(○○동), 대표이사 황○○,
소송대리인 법무법인(유한) 태평양, 담당변호사 홍기태, 장상균, 김광준, 류광현, 박준용, 윤주호, 김태균

【원심판결】 서울고등법원 2017. 1. 13. 선고 2014나2032746 판결

【판결선고】 2018. 12. 28.

【주문】

상고를 모두 기각한다.
상고비용은 원고들이 부담한다.


【이유】

상고이유를 판단한다.

1. 가. 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전의 것, 이하 ‘구 정보통신망법'이라고 한다) 제28조 제1항에 의하면 정보통신서비스 제공자가 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 ① 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행, ② 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영, ③ 접속기록의 위조·변조 방지를 위한 조치, ④ 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 등을 이용한 보안조치, ⑤ 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치, ⑥ 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치 등의 기술적·관리적 조치를 하여야 한다. 따라서 정보통신서비스 제공자는 구 정보통신망법 제28조 제1항 등에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담한다.

정보통신서비스 제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결할 때에 이용약관 등을 통해 이용자에게 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스 제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상 의무를 부담한다.


나. 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항 및 정보통신서비스 이용계약에 근거하여 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단할 때에는 해킹 등 침해사고 당시 일반적으로 알려져 있는 정보보안 기술 수준, 정보통신서비스 제공자의 업종과 영업 규모, 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안조치에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술 수준과 정보보안기술 발전 정도에 따른 피해 발생 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인 정보 누출로 인하여 이용자가 입게 되는 피해 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 하여야 한다.


다. 한편 구 정보통신망법 시행령(2014. 11. 28. 대통령령 제25789호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령'이라고 한다) 제15조는 제1항 내지 제5항에서 구 정보통신망법 제28조 제1항에 의하여 정보통신서비스 제공자가 취하여야 할 기술적·관리적 조치를 구체적으로 규정하고, 제6항에서 “방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”라고 규정하고 있다. 이에 따라 방송통신위원회가 마련한 「개인정보의 기술적·관리적 보호조치 기준」(방송통신위원회 고시 제2011-1호, 이하 ‘이 사건 고시'라고 한다)은 해킹 등 침해사고 당시의 기술 수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항 등에 따라 하여야 할 기술적·관리적 보호조치의 구체적 기준을 정하고 있다. 그러므로 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다(대법원 2018. 1. 25. 선고 2015다24904, 24911, 24928, 24935 판결 등 참조).


2. 원심은 다음과 같은 이유를 들어, 피고가 이 사건 고시에서 정한 기술적·관리적 보호조치를 취하지 않았다거나 정보통신서비스 제공자에게 요구되는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하지 않아 이 사건 정보유출사고가 발생하였다고 보기 어렵다고 판단하였다.

가. 이 사건 고시 제4조 제5항에 의하면, 정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한하는 기능을 포함한 시스템을 설치·운영하여야 한다. 그런데 피고의 N-STEP 시스템이 N-STEP 포털 및 AUT 서버(피고의 고객정보를 보관하는 데이터베이스 서버와는 별도로 설치한 인증 서버)에만 접속 권한 인증절차를 두고, 그 이후 단계의 서버에는 별도의 인증절차를 두지 않았다는 것만으로는 위 고시 규정을 위반한 것으로 보기 어렵고, 피고가 N-STEP 포털 서버와 AUT 서버 단계에 갖추어 놓은 접근 통제장치가 불완전하여 위 고시 규정이 요구하는 기술적·관리적 보호조치를 다하지 않은 것으로 보기 어렵다.


나. 이 사건 고시 제4조 제2항에 의하면, 정보통신서비스 제공자 등은 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다. 기록에 의하면, 피고가 퇴직자 이AA의 N-STEP 계정을 AUT 서버(인증 서버)에서 인증할 수 없도록 폐기한 사실을 인정할 수 있으므로, 피고가 이AA의 개인정보처리시스템에 대한 접근권한을 말소하지 않았다고 볼 수 없다. 또 피고가 위 계정을 말소하였는지 여부는 이 사건 정보유출사고 발생과 인과관계가 없으므로, 피고가 위 고시 규정을 위반함으로써 이 사건 정보유출사고가 발생하였다고 볼 수 없다.


다. 이 사건 고시 제5조 제1항에 의하면, 정보통신서비스 제공자 등은 개인정보취급자가 개인정보시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 한다. N-STEP 시스템은 AUT 서버라는 별도의 인증 서버를 두어 그 인증을 받은 사용자만 해당 시스템을 사용할 수 있도록 설계되어 있고, 피고로서는 제3자가 AUT 서버를 우회하여 N-STEP 시스템에 접속할 가능성을 예견하기 어려웠을 것으로 보이므로, 피고가 AUT 서버 단계에서 접속기록을 보관·확인·감독한 이상 위 규정을 위반하였다고 보기 어렵다.


라. 이 사건 고시 제6조 제3항에 의하면, 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 등을 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화하여야 한다. 피고는 N-STEP 시스템을 통해 대리점 컴퓨터에 고객정보를 전송함에 있어 두 가지 방식(IPSec 방식과 3-DES 방식)으로 이를 암호화하여 전송하였다. 다만 대리점의 VPN(가상사설망) 장비를 거친 후 대리점 컴퓨터에 이르는 구간에서 여러 고객정보 중 ‘실사용자의 주민등록번호'가 암호화 되지 않은 상태로 노출된 것으로 보이지만, 피고의 고객정보를 유출한 최BB가 이를 확인한 곳은 대리점 PC의 내부 영역이므로 위 규정에 따라 암호화가 요구되는 영역이 아니다. 그러므로 피고가 위 고시 규정을 위반하였다고 보기 어렵다.


3. 앞서 본 법리와 기록에 비추어 원심판결 이유를 살펴보면, 원심의 위와 같은 판단에 상고이유 주장과 같이 정보통신망법 제28조 제1항에 정한 개인정보 보호를 위한 기술적·관리적 보호조치, 위 각 고시 규정의 해석 등에 관한 법리를 오해하거나, 필요한 심리를 다하지 아니한 채 논리와 경험의 법칙에 반하여 자유심증주의의 한계를 벗어나는 등의 잘못이 없다.

한편 원심이 채택한 증거에 의하면 피고가 고객정보를 그 데이터베이스 서버에 저장할 때에 암호화 조치를 취한 사실을 알 수 있다. 따라서 설령 원심 판단에 원고들의 이 사건 고시 제6조 제2항(정보통신서비스 제공자 등은 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.) 위반 주장에 관한 판단을 누락한 잘못이 있다고 하더라도, 이는 판결 결과에 영향을 미치지 못한다.


4. 그러므로 상고를 모두 기각하고, 상고비용은 패소자들이 부담하도록 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.


대법관 박정화(재판장), 권순일(주심), 이기택, 김선수
작성일   2020-04-27 오후 1:51:59 조회   545
파일1   파일2  
  • 목록

    • 구분
    • 검색
    번호 파일 제목 작성일 조회
    844    사우나에서 사망, 부검 안했다면 외적요인 사망으로 추정 어렵다 20-09-28 2925
    843    해외 패키지 여행 중 개인용무 보다 강도 당했어도 가이드가 사전 주의 줬다면 여행사 책임 없다 20-09-28 2801
    842    클랙슨 소리에 놀란 앞차 급정거로 자동차 4중 추돌사고 발생, 경적 울려 사고 유발한 운전자도 20% 과실있다 20-09-28 2941
    841    사기업 복지 포인트도 통상임금 아니다 20-09-28 2804
    840    '괜찮다'는 말에 보호조치를 하지 않고 경찰 떠난 뒤 취객 사망, 적절한 보호조치 취하지 않은국가가 배상을 해야 한다. 20-09-22 2965
    839    야간에 비상등 안 켜고 길가에 차 세우고 작업하다가 음주차량에 치여 사망한 경우 보험사 책임 없다 20-09-22 2778
    838    수업 중 말다툼 하다 급우 폭행, 폭행당한 학생도 30% 책임있다 20-09-22 2680
    837    메르스 환자 관리 부실로 확진 판정을 받은 뒤 사망유족에 국가가 배상해야한다 20-09-22 1042
    836    실제 연장·휴일근로 시간이 노사 합의한 시간에 미달되더라도 통상임금은 합의한 시간 기준으로 산정해야한다 20-09-21 1072
    835    차량통제 없이 호텔 정문 공사하다가 사다리차 위 작업자 추락사, 건설업체 30% 책임있다 20-09-21 1036
    834    짝퉁 이케아 가구 판매 중소기업, 유사 도메인 사용 손배 책임도 있다 20-09-21 1114
    833    대학교 연주회서 퇴장하다 넘어져 빌린 바이올린 파손, 무대설치에 하자 없어 학교측에 책임 물을 수 없다 20-09-21 1021
    832    서울광장 무단점유 변상금은 실제 무단점유한 면적 기준으로 산정해야한다 20-09-21 991
    831    앞 자전거 추월하다 사고, 진로 방해 등 고려하여 서로에게 50%의 책임이 있다 20-08-04 2345
    830    상대방 동의 없이 대화녹음은 음성권 침해에 해당할 수 있다 20-08-04 1541
    829    근속수당 통상임금에서 제외키로한 합의 후 추가 요구해도 신의칙 위배되지 않는다 20-08-04 1216
    828    리틀야구단, 야구수업 후 배트 사고 감독은 책임 없다 20-08-04 1178
    827    운송물 인도는 화물이 수하인에 인도·점유 상태에 있는 것을 의미한다 20-08-04 1231
    826    빗물 계단서 넘어져 부상, 보행자가 난간 손잡이를 잡지도 않았다면 건물주에 배상 책임 없다 20-07-06 1812
    825    채무자가 상속포기 전제로 공동상속인과 재산분할 협의후 실제 상속포기 신고했다면 채권자에 대한 사해행위로 볼 수 없다 20-07-06 5956
    [처음][이전] [1] 2 3 4 5 6 7 8 9 10 [다음] [다음10개] [마지막]