CANA손해사정

HOME > >


해킹으로 가상화폐 도난당했다고 해도, 가상화폐 거래소에 배상 책임을 물을 수는 없다

서울중앙지방법원 2018. 12. 18. 선고 2017가단5016023 판결 손해배상(기) 【원고】 임AA, 소송대리인 법무법인 천고 (담당변호사 최호동, 서정찬, 손영현) 【피고】 주식회사 ○○○코리아닷컴, 소송대리인 최대열, 이안나 【변론종결】 2018. 10. 16. 【판결선고】 2018. 12. 18. 【주문】 1. 원고의 청구를 기각한다. 2. 소송비용은 원고가 부담한다. 【청구취지】 피고는 원고에게 52,100,000원과 이에 대하여 2016. 2. 20.부터 이 사건 소장부본 송달일까지 연 6%, 그 다음날부터 다 갚는 날까지 연 15%의 각 비율로 계산한 돈을 지급하라. 【이유】 1. 기초사실 가. 피고는 인터넷 온라인상의 전자상거래 등에서 화폐와 유사하게 사용 및 거래되는 일종의 가상전자화폐인 비트코인(bitcoin) 전자거래소 웹사이트인 ◇◇(https://www.◇◇◇◇◇◇◇◇.com)을 운영하는 정보통신서비스 제공자이고, 원고는 2014. 8. 5.경 jh○○○**@gmail.com을 아이디로 하여 ◇◇에 가입한 회원으로서 피고와 정보통신 서비스 이용계약을 체결한 사람이다. 나. 원고는 2014. 8. 5.부터 ◇◇을 통하여 비트코인을 거래해오던 중 2015. 12. 18. 그 소유의 147BTC(비트코인) 중 10BTC를 매도한 후 BTC당 가격이 하락하자 BTC당 가격이 특정 금액 이상이 되면 자동으로 매도가 이루어지도록 설정해 두었다. 다. 그런데 성명불상자가 IP주소 ‘5...*.’을 할당받은 정보통신기기를 이용하여 2016. 2. 20.경 ◇◇ 사이트에 접속할 수 있는 원고의 아이디와 비밀번호를 알 수 없는 방법으로 알아내어 2016. 2. 20. 03:20:25경 로그인한 후 같은 날 03:31:18경 30BTC, 같은 날 03:49:26경 30BTC, 같은 날 03:53:06경 30BTC, 같은 날 03:58:22경 10BTC을 자신이 지정한 비트코인 주소로 이동시켜 합계 100BTC 시가 52,100,000원 상당을 인출하였다. 그 후 성명불상자는 같은 날 04:19:39경 다시 로그인하여 원고에게 거래발생 사실이 통보되도록 하는 이메일알림 설정을 같은 날 04:21:34경에 해제하고 같은 날 04:29:12경 로그아웃하였다. 라. 원고는 2016. 2. 20. 오전에 비밀번호를 변경하였고, 그 후 성명불상자가 IP주소 ‘12.*...’의 주소로 같은 날 14:23:50에, IP주소 ‘12...*.’의 주소로 2016. 2. 21. 00:43:00에 로그인 시도하였으나 실패하였다. 마. 원고는 정보통신망이용촉진및정보보호등에관한법률위반(정보통신망침해등) 혐의로 서울중앙지방검찰청에 고소하였으나, 검찰은 2016. 9. 23. 정보통신망을 침입한 피의자에 대한 인적사항을 특정하거나 검거할 만한 단서가 확인되지 않았음을 이유로 기소중지 결정을 하였다. [인정근거] 갑 제1 내지 6호증의 각 기재, 변론 전체의 취지. 2. 당사자의 주장에 대한 판단 가. 당사자의 주장의 요지 (1) 원고 피고 회사는 정보통신망을 통하여 비트코인의 거래를 중개하는 사업자에게 요구되는 법령상 계약상의 주의의무를 아래와 같이 현저하게 위반하여 원고의 개인정보 관리를 소홀히 함으로써 외부인인 성명불상의 해커가 피고 전산시스템에 침입하여 원고의 아이디와 비밀번호를 알아낸 다음, 피고 전산시스템에 원고 아이디로 접속하였고, 피고 전산시스템을 해킹하여 OTP(송금용 비밀번호)를 알아냈으며, 이를 통해 원고의 비트코인을 인출하는 사고가 발생하였으므로, 피고는 불법행위 손해배상책임 또는 원고에 대한 정보통신망 이용계약상의 채무불이행에 기한 손해를 배상할 책임이 있다. (가) 피고는 3단계 인증체계를 유지하였으나, 2016. 2. 17. 보안정책을 대폭 완화하여 1단계로 간소화하였고 이러한 조치를 원고 등 이용자들에게 개별적으로 통지하지도 않았다. (나) 피고는 원고에게 문자메세지로 발송된 인증숫자를 암호화 해두지 않음으로써 개인정보보호조치 고시 제6조 제1항에 규정된 기술적 보호조치 의무를 위반하였다. (다) 원고는 100BTC가 원고의 아무런 관여 없이 인출되는 동안 전혀 알림 이메일을 받지 못하였으므로, 피고 회사는 정보통신망을 통하여 비트코인의 거래를 중개하는 사업자에게 일반적으로 요구되는 주의의무를 현저하게 위반하였다. (라) 원고의 개인정보가 암호화되지 않은 상태로 피고의 서버 또는 피고 직원의 개인용 컴퓨터에 보관되어 있었다. (2) 피고 이 사건 사고는 피고가 관리하는 시스템의 해킹이나 전산장애, 기술적 오류 등으로 인해 발생한 것이 아니라 부정한 방법으로 획득한 원고의 정보를 이용하여 권한 없이 거래를 지시하여 발생한 것이므로, 피고의 관리소홀로 인하여 발생한 사고에 해당한다고 할 수 없다. 나. 판단 (1) 인증단계의 간소화 피고는 2014. 8.경부터 2016. 2.경까지 비트코인 인출을 하기 위해서는 ① 아이디와 비밀번호를 입력하여 로그인하는 단계, ② 출금신청시 이용자가 사전에 설정해 놓은 출금비밀번호 입력, ③ 이용자의 이메일주소로 피고 회사가 발송하는 인증코드를 입력함으로써 이루어지는 이메일 인증, ④ 피고 회사로부터 이용자의 핸드폰 단문메세지로 전송되는 SMS 일회용 인증번호 또는 구글 OTP를 활용한 일회용 비밀번호 입력까지 순차적으로 모두 입력해야 하는 4단계의 절차를 거치도록 되어 있었으나, 2016. 2. 17. SMS(OTP)만으로 출금 인증하도록 변경한 사실은 당사자 사이에 다툼이 없다. 그러나 위와 같은 인증단계의 간소화로 인하여 성명불상자에게 ◇◇ 사이트에 접속할 수 있는 원고의 아이디와 비밀번호 또는 OTP가 알려졌는지에 관하여는 갑 제11 내지 23호증의 각 기재만으로는 이를 인정하기 부족하고 달리 이를 인정할 증거가 없으므로, 원고의 위 주장은 이유 없다. (2) 기술적 보호조치 의무 위반 이 사건 발생 당시 적용되던 개인정보의 안전성 확보조치 기준(행정자치부고시 제 2014-7호) 제6조 제3항은 ‘개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다’라고 규정하고 있고, 제2조는 ‘개인정보처리자’란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하고, ‘비밀번호’라 함은 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다고 규정하고 있다. 따라서 원고가 주장하는 문자메세지로 발송된 인증숫자는 위 고시가 정의하는 비밀번호라고 보기 어려울 뿐만 아니라, 이 법원의 □□뱅크 주식회사 대표이사에 대한 사실조회회신에 의하면, □□뱅크 주식회사는 피고로부터 메시지 전송에 필요한 수신번호를 제공받아 피고가 자체 DB에 문자메시지 전송에 대한 필수 정보를 넣으면 피고 자체 서버에 설치되어 있는 □□뱅크 주식회사의 EMMA프로그램을 통해 □□뱅크 주식회사의 GW 시스템으로 데이터를 전송하고, □□뱅크 주식회사는 그 데이터를 통신사로 전송하는 형식으로 서비스하는 사실, 피고에 설치되어 있는 EMMA가 기본 설정인 경우라면 DB에 메시지 Log가 남게 되므로 시스템 접근 가능한 관계자라면 메시지 내역 확인이 어느 정도 가능할 것으로 예상된다고 답변한 사실을 인정할 수 있을 뿐이므로, 위 사실만으로 피고가 기술적 보호조치의무를 위반하였다고 인정하기 부족하고 달리 이를 인정할 증거가 없다. 따라서 이 부분 주장 역시 이유 없다. (3) 정보통신망을 통하여 비트코인의 거래를 중개하는 사업자의 주의의무를 위반 원고는 피고로부터 비트코인 매매 알림 이메일을 받지 못하였으므로, 피고가 정보통신망을 통하여 영업하는 자로서의 주의의무를 위반하였다고 주장하나, 이를 인정할 아무런 증거가 없으므로, 이 부분 주장은 이유 없다. (4) 개인정보가 암호화되지 않은 상태로 피고의 서버 또는 피고 직원의 개인용 컴퓨터에 보관 갑 제19, 20호증의 각 기재에 의하면, 피고가 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장한 사실이 적발되어 방송통신위원회로부터 위반행위의 중지 및 재발방지대책 수립 시정명령 등의 행정처분을 받은 사실은 인정되나, 원고의 개인정보가 암호화되지 않은 상태로 피고의 서버 또는 피고 직원의 개인용 컴퓨터에 보관되고 있지 않았음은 피고가 자인하고 있으므로, 이 부분 주장 역시 이유 없다. (5) 소결론 따라서 피고가 정보통신망을 통하여 비트코인의 거래를 중개하는 사업자에게 요구되는 법령상 계약상의 주의의무를 위반하여 원고의 개인정보 관리를 소홀히 하였다고 인정하기 어려우므로 원고의 주장은 이유 없다. 3. 결론 그렇다면 원고의 이 사건 청구는 이유 없어 이를 기각하기로 하여 주문과 같이 판결한다. 판사 김수정

작성일	2020-04-27 오후 2:03:35	조회	656

파일1		파일2


번호	파일	제목	작성일	조회

844		사우나에서 사망, 부검 안했다면 외적요인 사망으로 추정 어렵다	20-09-28	2926

843		해외 패키지 여행 중 개인용무 보다 강도 당했어도 가이드가 사전 주의 줬다면 여행사 책임 없다	20-09-28	2802

842		클랙슨 소리에 놀란 앞차 급정거로 자동차 4중 추돌사고 발생, 경적 울려 사고 유발한 운전자도 20% 과실있다	20-09-28	2942

841		사기업 복지 포인트도 통상임금 아니다	20-09-28	2805

840		'괜찮다'는 말에 보호조치를 하지 않고 경찰 떠난 뒤 취객 사망, 적절한 보호조치 취하지 않은국가가 배상을 해야 한다.	20-09-22	2965

839		야간에 비상등 안 켜고 길가에 차 세우고 작업하다가 음주차량에 치여 사망한 경우 보험사 책임 없다	20-09-22	2778

838		수업 중 말다툼 하다 급우 폭행, 폭행당한 학생도 30% 책임있다	20-09-22	2680

837		메르스 환자 관리 부실로 확진 판정을 받은 뒤 사망유족에 국가가 배상해야한다	20-09-22	1042

836		실제 연장·휴일근로 시간이 노사 합의한 시간에 미달되더라도 통상임금은 합의한 시간 기준으로 산정해야한다	20-09-21	1073

835		차량통제 없이 호텔 정문 공사하다가 사다리차 위 작업자 추락사, 건설업체 30% 책임있다	20-09-21	1036

834		짝퉁 이케아 가구 판매 중소기업, 유사 도메인 사용 손배 책임도 있다	20-09-21	1114

833		대학교 연주회서 퇴장하다 넘어져 빌린 바이올린 파손, 무대설치에 하자 없어 학교측에 책임 물을 수 없다	20-09-21	1022

832		서울광장 무단점유 변상금은 실제 무단점유한 면적 기준으로 산정해야한다	20-09-21	991

831		앞 자전거 추월하다 사고, 진로 방해 등 고려하여 서로에게 50%의 책임이 있다	20-08-04	2347

830		상대방 동의 없이 대화녹음은 음성권 침해에 해당할 수 있다	20-08-04	1541

829		근속수당 통상임금에서 제외키로한 합의 후 추가 요구해도 신의칙 위배되지 않는다	20-08-04	1217

828		리틀야구단, 야구수업 후 배트 사고 감독은 책임 없다	20-08-04	1178

827		운송물 인도는 화물이 수하인에 인도·점유 상태에 있는 것을 의미한다	20-08-04	1231

826		빗물 계단서 넘어져 부상, 보행자가 난간 손잡이를 잡지도 않았다면 건물주에 배상 책임 없다	20-07-06	1812

825		채무자가 상속포기 전제로 공동상속인과 재산분할 협의후 실제 상속포기 신고했다면 채권자에 대한 사해행위로 볼 수 없다	20-07-06	5956

[처음][이전] [1] 2 3 4 5 6 7 8 9 10 [다음] [다음10개] [마지막]