125.

개인정보 관련 집단소송 사례

• 새 탭 열기
• 작성 이력 보기

우리나라에서 일어난 개인정보 관련 집단소송의 시초는, 지금은 잘 알려져 있지 않지만 2001년에 있었던 삼성생명의 개인정보 무단제공 사건으로서, 1인당 위자료 200만원이라는 꽤 큰 규모의 손해배상액을 법원이 인정한 사례였다.   

그러다가 2005년 엔씨소프트 리니지 게임 개인정보유출 사건을 기점으로, 개인정보의 ‘대량유출’이라는 새로운 형태의 개인정보 사고유형이 우후죽순처럼 발생하기 시작하였고 이는 개인정보의 기술적·관리적 보호조치 기준의 내용을 매년 업그레이드 시키는 계기로 작용하였으며, 개인정보보호법이라는 기본법의 제정까지 이끌어 내었다.   

또한 법원은 개인정보의 개념과 종류, 개인정보처리자의 주의의무의 내용과 정도, 손해발생의 판단기준 등에 대하여 법리를 하나 하나 발전시켜 나갔다.   

특히 2008년도의 옥션 해킹사건, 2011년도의 네이트·싸이월드 해킹 사건은 해킹으로 인한 개인정보 유출사건 중에서도 매우 큰 중요도를 차지하고 있는 사건들이라 할 수 있는데, 기업들이 취해야 할 보안조치의 내용들이 실질화되고 구체화되는 과정에서 가장 큰 역할을 한 사건들이었다.   

한편 개인정보 관련 사건 중에 유출사고 다음으로 중요한 카테고리는 바로 개인정보의 무단제공인데, 삼성생명 사건과 하나로텔레콤 사건이 바로 이에 해당한다. 이 사건들을 통해 제공과 위탁의 개념이 확실히 구분되었으며, 동의의 실질성에 대해서도 법원이 일응의 기준을 제시하여 주게 되었다.   

아래에서는 이와 같이 우리나라 개인정보보호 역사에서 과거 10개의 개인정보 관련 집단소송 사례들을 정리함으로써, 개인정보보호의 역사가 어떻게 흘러왔는지를 살펴보고자 한다.   

1. [2001. 2.~2001. 5.] 삼성생명 개인정보 무단제공 사건   

삼성생명은 신용정보제공·이용자로서 삼성생명의 금융상품에 가입하고 있는 고객 중에서 다른 금융기관으로부터 높은 이율로 대출을 받은 고객들을 파악해 그들을 상대로 삼성생명이 판매하는 아파트담보대출상품을 효과적으로 홍보하고 그 대출상품으로의 전환을 유도하기로 하였다.   

이에 삼성생명은 전국은행연합회로부터 제공받은 다른 금융기관의 대출정보 및 삼성생명이 자체적으로 수집·보관하고 있던 고객정보를 혼합하는 방법으로 원고들을 포함한 개인신용정보주체의 이름, 주민등록번호, 주소, 전화번호, 대출금융기관, 대출금액 등의 신용정보를 정리한 수십만건의 자료를 마련한 뒤, 이를 삼성생명의 보험영업본부 산하 충청지역단 등 수 개의 지역단에 송부하여 지역단 산하 각 지점 및 영업소를 통하여 그 소속 보험모집원들에게 이를 배포하였다. 뒤늦게 이 사실을 알게 된 원고들은 삼성생명을 상대로 300만원의 손해배상을 청구하였다.   

이 사건에서의 주요 쟁점은, 삼성생명이 보험모집원들에게 위와 같이 신용정보를 제공한 행위가 신용정보의 이용 및 보호에 관한 법률을 위반하여, 원고들에게 정신적 손해배상을 하여야 하는지 여부였다.   

이에 대하여 법원은, 삼성생명이 대출상품의 판매를 위한 수요자의 물색 및 그에 대한 효율적인 영업활동이라는 적극적인 영업목적을 위하여 원고들로부터 서면에 의한 동의를 받지 아니하고 임의로 원고들의 신용정보를 추출·가공하여 영업조직에 배포하는 방법으로 이용하였으므로, 이는 신용정보법에 반하는 위법행위라고 할 것이고, 이러한 위법행위에 관하여 삼성생명에게 고의 또는 과실이 없다는 점을 인정할 만한 아무런 증거가 없으므로, 피고는 원고들에게 손해를 배상할 의무가 있다고 판시하였다(위자료 200만원 인정).   

다만 법원은 피고가 영업조직을 통하여 보험모집인들에게 원고들의 신용정보를 배포한 행위를 신용정보법에서 규정하고 있는 신용정보의 누설로 볼 수는 없다고 하였다.   

이는 신용정보의 이용 및 보호에 관한 법률 제33조에 규정된 개인신용정보의 이용에는, 적극적으로 금융상품을 판매할 상대방을 선정하고 그와의 거래관계의 설정 여부를 결정하기 위하여 고객들의 신용정보를 이용하는 경우는 포함되지 않는다는 점, 상품판촉을 위하여 신용정보를 추출·가공하고 타인에게 배포하는 행위는 신용정보의 위법·부당한 이용이라는 점을 확인한 의미 있는 판결이었다. 다만 참고로 2012년 12월경 금융위원회는 위 판결 이후 개정된 보험업법 시행령에 근거하여 보험사의 고객 개인식별정보를 활용한 마케팅 행위는 징계할 수 없다는 판단을 한 바 있다.   

2. [2005. 5.] 엔씨소프트 리니지 게임 개인정보유출 사건   

온라인 게임 운영업체인 엔씨소프트사는 게임 서버의 업데이트 과정에서 이용자들의 개인정보인 아이디와 비밀번호가 암호화되지 않은 상태에서 로그파일에 저장되도록 함으로써, 컴퓨터에 관한 상당 수준의 전문지식이 있는 사람이라면 누구라도 그에 접근하여 이용자들의 아이디와 비밀번호를 알 수 있는 상황을 발생시켰는데, 이에 이용자들은 엔씨소프트사를 상대로 손해배상청구를 하기에 이르렀다.   

이 사건에서의 주요 쟁점은, 아이디와 비밀번호 등의 식별번호가 개인정보인지 여부, 피고 회사에게 과실(주의의무 위반)이 있는지 여부, 이를 개인정보의 누출로 볼 수 있는지 여부 등이었다.   

이에 대해 법원은, 첫째, 아이디와 비밀번호 등 식별부호는 실제공간과는 달리 익명성이 통용되어 행위자가 누구인지 명확하게 확인하기 어려운 가상공간에서 그 행위자의 인격을 표상한다고 할 것이므로, 개인에 관한 정보로서 당해 개인을 알아볼 수 있는 정보, 즉 ‘개인정보’에 해당한다고 하였고, 둘째, 엔씨소프트사는 원고들의 개인정보가 누출되지 않도록 암호화기술 등을 이용한 보안조치를 다하여야 할 주의의무를 부담함에도, 이 사건 게임서버의 정기점검·업데이트 과정에서 원고들의 개인정보인 아이디 및 비밀번호가 암호화되지 않은 상태로 원고들이 사용한 컴퓨터에 생성·저장된 로그파일에 기록되도록 함으로써 위와 같은 주의의무를 위반하였다고 보았다.   

다만 셋째, ‘누출’이라 함은 개인정보가 정보통신서비스 제공자 및 이용자의 개인정보 관리·통제권의 범위를 벗어나 당해 개인정보를 모르는 제3자가 그 내용을 알 수 있는 상태를 이르는 것을 의미한다고 봄이 상당하고, 나아가 침해, 누설, 도용의 경우처럼 당해 개인정보를 모르는 제3자가 현실적으로 그 내용을 알게 되었다거나 적어도 이와 동일시 할 수 있는 정도의 구체적이고 현실적인 고도의 위험이 발생할 것 또는 당해 개인정보를 모르는 제3자에게 그 내용을 알릴 것 또는 이를 도용할 것까지 요구하는 것은 아니라고 볼 것인데, 접속 당시 피시방 컴퓨터를 이용한 원고들의 경우에는 피시방 컴퓨터에 위 원고들의 아이디 및 비밀번호가 담긴 로그파일이 저장됨으로써 컴퓨터에 관한 일정 수준의 지식이 있는 제3자라면 누구라도 로그파일에 접근하여 위 원고들의 아이디 및 비밀번호를 알 수 있는 상태에 이르렀으므로, 위 원고들의 개인정보는 누출되었다고 봄이 상당하지만, 접속 당시 집에 있는 개인용 컴퓨터를 이용한 원고들의 경우에는 위 원고들의 아이디 및 비밀번호가 담긴 로그파일은 위 원고들이 집에서 사용하는 개인용 컴퓨터에 저장되었을 뿐이므로, 위 원고들의 개인정보 관리·통제권의 범위를 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르렀다고 보기 어려우므로, 위 원고들의 개인정보는 누출되지 않았다고 봄이 상당하다고 판시하였다(피시방 컴퓨터를 이용한 원고들에 한하여 위자료 10만원 인정).   

이 판결은 개인정보에 관한 안정성 확보에 필요한 기술적·관리적 조치에 대한 구체적 판단에 나아간 판결로서, 서버의 정기점검·업데이트 과정에서 발생할 수 있는 개인정보의 유출에 대하여 회사의 과실을 인정하였고, 나아가 유출로 인한 정신적 피해도 인정한 판결이다. 특히 유출의 개념을 구체화하여 설시한 판결로서, 어느 정도에 이르면 유출을 인정할 수 있을지에 대하여 의미있는 판시를 하고 있다.   

3. [2006. 3.] 국민은행 개인정보유출 사건   

국민은행은 국민은행과의 사이에 복권서비스 이용계약을 체결한 가입 회원 중 최근 3개월간 위 서비스를 이용하지 아니한 32,277명의 회원들에게 서비스에 관한 안내 이메일을 발송하는 과정에서, 피해자인 원고들을 포함한 위 32,277명의 회원들의 성명, 주민등록번호, 이메일 주소, 최근 접속일자가 수록된 텍스트 파일을 이메일 첨부파일란에 첨부하여 발송하고 말았다.   

이후 국민은행은 위 이메일을 전송받은 3,723명의 회원들의 이메일 계정을 관리하는 포털사이트 운영자에게 위 이메일을 회수하여 줄 것을 요청하여, 이미 이메일을 열람한 641명의 회원들을 제외한 나머지 회원들에게 전송된 이메일을 회수하였다.   

이 사건에서의 주요 쟁점은, 이메일 주소가 개인정보에 해당하는지 여부, 개인정보 보호에 관한 주의의무를 위반하였는지 여부, 피해자들에게 정신적 손해가 발생하였는지 여부 등이었다.   

이에 대해 법원은, 첫째, 이메일 주소는 당해 정보만으로는 특정 개인을 알아볼 수 없을지라도 다른 정보와 용이하게 결합할 경우 당해 개인을 알아볼 수 있는 정보라 할 것이므로 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 제1항 제6호에서 정한 ‘개인정보’에 해당한다고 판시하였다.   

둘째, 국민은행은, 위 이메일에 대한 발송승인을 할 때 메일 서버 시스템의 속도가 과부하로 인하여 순간적으로 느려져 이 사건 파일이 첨부파일란에 업로드되었다는 표시가 나타나지 않았고, 그와 같은 문제로 인하여 위 발송담당자는 이 사건 파일이 이메일에 첨부되었다는 사실을 확인할 수 없는 상태에서 위 이메일을 발송하게 된 것이므로 이 사건 사고는 메일 서버 자체의 기술상의 하자에 기인한 것이어서 과실이 없다는 취지로 다투었으나, 법원은 이메일 발송담당자가 위 이메일을 발송할 때 피고의 메일 서버 시스템이 과부하로 인하여 그 속도가 순간적으로 느려졌다는 점을 인정할 증거가 부족하고, 설사 사실이 그와 같다 하더라도 이 사건 사고가 메일 서버 자체의 기술상의 하자에 기인한 것이라거나 피고에게 과실이 없다고 할 수 없다는 이유로 국민은행의 위 주장을 받아들이지 않았다.   

셋째, 법원은 국민은행이 원고들의 성명, 주민등록번호, 이메일 주소 등을 누출함에 따라 원고들은 자신들의 위와 같은 개인정보를 제3자가 알게 되거나 이를 도용 또는 악용할지도 모를 위험에 노출되었다 할 것이므로, 원고들이 이 사건 사고로 받은 정신적 고통은 통상손해이고, 비록 국민은행이 신속하게 사후조치를 취하여 결과적으로 원고들의 성명, 주민등록번호 및 이메일 주소가 악용 또는 도용되었다는 사실이 없는 것으로 판명되고, 이메일 시스템상의 스팸메일 제한장치의 작동으로 스팸메일의 유해성으로부터 어느 정도 보호받을 수 있는 등의 사정들이 있다 하더라도, 이러한 사정들은 위자료 액수의 산정 과정에서 참작할 요소에 불과할 뿐, 이를 이유로 위와 같이 인격권을 침해받은 원고들에게 정신적 손해가 발생하지 않는다고 볼 수는 없다고 판시하였다(성명, 주민등록번호, 이메일주소가 누출된 원고들의 위자료는 20만원, 성명, 이메일주소가 누출된 원고들의 위자료는 10만원).    

이 사건에서 이메일 주소가 개인정보에 해당하는 점, 국민은행의 법위반 사실 또는 과실이 인정된 점 외에 관심을 가져야 할 것은, 개인정보가 유출된 경우 겪을 피해자들의 정신적 고통은 통상손해인바, 개인정보가 유출되어 TM, 스팸, 보이스 피싱 등의 2차적 피해가 발생했는지 여부는 정신적 손해 인정에 고려되지 않는다는 점, 유출된 개인정보의 양에 따라 정신적 손해배상의 액수가 달라질 수 있다는 점이다.   

4. [2006. 9.] 엘지전자 개인정보 유출 사건   

원고들은 엘지전자의 온라인 입사지원사이트에 입사지원의 목적으로 개인정보를 제공하였는데, 불합격통지를 받은 갑이 URL정보를 분석하여 링크파일을 만들고 이를 통하여 일반인들도 쉽게 채용사이트에 접속하여 원고들의 사진, 기본인적사항(성명, 주민등록번호, 전화번호, 주소, 병역사항, 희망근무지ㆍ직무), 상세인적사항(학력사항, 대학교 및 대학원의 경우 학점 포함, 어학성적), 자기소개(자신이 가진 열정에 대하여, 본인이 이룬 가장 큰 성취에 대하여, 본인의 가장 큰 실패 경험에 대하여, 본인의 역량에 관하여, 본인의 성격에 관하여, 본인의 10년 후 계획에 대하여), 경력/인턴(경력회사, 경력상세기술서, 최종연봉·희망연봉, 인턴경험), 연구실적(석사학위 이상만 기재, 수행프로젝트, 세부전공, 입사후 희망 연구분야)을 열람하게 되는 사고가 발생하자, 원고들은 엘지전자를 상대로 손해배상을 청구하기에 이르렀다.   

이 사건에서의 주요 쟁점은, 개인정보의 범위, 엘지전자가 불법행위책임자로서 원고들의 정신적 고통을 위자할 의무가 있는지 여부, 정신적 손해 발생 여부, 손해배상의 범위 등이었다.   

이에 대하여 법원은, 첫째, 엘지전자는 정보를 취득한 자가 당해 개인을 알지 못하는 한 “화상” 정보인 사진만으로는 개인의 식별이 불가능하다는 취지의 주장을 하나, “개인을 식별할 수 있는 정보”는 당해 정보에 의하여 개인을 식별할 가능성만 있으면 되는 것이고 정보를 취득한 자가 당해 개인이 누구인지 구체적으로 특정할 것은 요하지 않으며, 이 점은 성명이나 주민등록번호의 경우도 마찬가지라고 판시하였다.   

그리고 법원은, 둘째, 입사지원사이트의 URL이 Ctrl키와 N키를 함께 누르는 간단한 조작(새창열기 기능의 실행)으로 노출되고, 입사지원자의 지원서 내용을 열람할 수 있는 URL 중 특정 변수의 인자값을 변경하여 입력하면 위 사이트에 침입하여 타인의 입사지원서를 열람할 수 있는 보안취약점을 간과하였고 입사지원사이트의 웹서버에 웹방화벽을 적용하지 않고 있었던 점, 갑은 2006. 9. 21.부터 2006. 9. 26. 이 사건 게시물을 올리기 전까지 인터넷 웹브라우저 프로그램의 주소 입력창에 엘지전자의 입사지원사이트의 주소를 입력하고 Process ID에 임의의 값을 입력하는 방법으로 44회에 걸쳐 엘지전자의 입사지원사이트를 방문하여 다른 사람의 입사지원정보를 열람하였다.    

그러나 엘지전자의 전산시스템은 이와 같은 침입에 대한 탐지장치가 구비되어 있지 않았던 점, 갑이 만든 간단한 자바스크립트 링크파일을 실행하기만 하면 로그인 등 아무런 인증절차 없이 엘지전자의 DB서버에 저장된 입사지원자 50명의 사진(화상정보)이 한꺼번에 보여지고 사진을 클릭하면 당해 개인의 학력, 자기소개서 등의 정보가 노출되었던 점, 갑은 같은 방법으로 다른 대기업의 입사지원사이트에도 침입을 시도하였으나, 엘지전자 등 4개 회사를 제외하고는 보안장치에 막혀 그 뜻을 이루지 못한 점 등에 비추어 보면, 엘지전자는 당시의 기술수준에 비추어 보더라도 엘지전자가 그 신입사원의 채용을 위한 목적으로 보관중인 개인정보의 분실·도난·누출 등 방지에 필요한 보안조치를 강구하여야 할 주의의무를 위반하였다고 할 것이다.   

이로 말미암아 갑이 위 URL정보를 분석하여 위 링크파일을 만들고 이를 통하여 일반인들도 쉽게 이 사건 채용사이트에 접속하여 위 원고들의 입사지원정보를 열람하게 되는 결과가 발생하였으니, 엘지전자의 위와 같은 과실과 이 사건 사고 사이에는 상당인과관계가 있다고 판시하였다.   

또한 셋째로, 위 원고들이 이 사건 사고로 인하여 자신들이 입사지원의 목적으로 제공한 개인정보가 불특정 다수인들에 의하여 열람당함으로써 정신적 고통을 받았을 것임은 경험칙상 쉽게 인정할 수 있으므로, 엘지전자는 불법행위책임으로서 위 원고들의 정신적 고통을 금전으로나마 위자할 의무가 있다고 하였다(위자료 30만원 인정).

5. [2006. 9.~2007. 7.] SK브로드밴드(옛 하나로텔레콤) 사건  

하나로텔레콤은 2006년 4월경 텔레마케팅 사업자인 예드림씨앤엠과의 사이에 예드림씨앤엠이 하나로텔레콤의 가입자유치 등 업무를 위탁받기로 하는 내용의 영업업무위탁계약을 체결했다.   

한편, 하나로텔레콤은 2006년 9월경 SC제일은행과 사이에 하나로텔레콤의 멤버십카드와 SC제일은행의 신용카드 기능을 동시에 갖춘 제휴카드를 발행하기로 하고, 다음과 같이 제휴카드(하나포스SC 멤버스카드, 이하 ‘멤버스카드’) 발행에 관한 업무제휴계약을 체결했다.

1)하나로텔레콤의 고객 중 카드 발급을 희망하는 개인을 대상으로 하고, 2)회원 모집은 양 측의 공동 책임 하에 모집하며, 3)제휴카드는 하나로텔레콤의 멤버십 기능과 SC제일은행의 신용카드 기능을 동시에 부여함.   

그리하여 하나로텔레콤은 예드림씨앤엠에게 위 멤버스카드 발급 및 운영을 포함한 고객관리 업무 전반을 위탁했는데, 법률자문결과 위 업무제휴를 실행하기 위해서는 ‘개인정보를 예드림씨앤엠에 제공한다는 동의’, ‘제공한 개인정보를 신용카드 회원모집에 활용한다는데 대한 동의’ 및 ‘멤버쉽카드 회원모집을 위한 영리목적의 광고성 정보를 전화를 통해 제공한다는데 대한 동의’가 필요하다는 점을 알게 됐다. 이에 하나로텔레콤은 2006년 9월 21일 소비자 이용약관의 ‘개인정보보호방침’의 ‘개인정보 수집 및 활용목적’에 다음 표와 같이 추가된 내용을 하나로텔레콤의 인터넷 홈페이지에 고지했으나 고객들로부터 별도의 동의는 받지 않았다. 
 

이후 하나로텔레콤은 2006년 9월 30일경부터 2007년 7월 20일경까지 예드림씨앤엠에게 하나로텔레콤의 초고속인터넷서비스인 하나포스 가입자 515,206명의 개인정보인 성명, 서비스명, 전화번호, 주민등록번호 중 앞부분 생년월일과 뒷자리 중 첫 번째 숫자, 주소, 사용요금조회 등의 정보를 제공했다. 그 방법은 별도의 저장장치를 통해 개인정보를 주고받은 것이 아니라, 하나로텔레콤이 설치하여 관리하고 있는 중앙정보시스템(개인정보처리시스템)에 접속할 수 있는 시스템을 예드림씨앤엠에 설치한 후 아이디 및 비밀번호 등으로 인증을 거쳐 권한을 부여받은 사람만 접속하여 열람할 수 있도록 하는 방식이었다.   

예드림씨앤엠은 하나로텔레콤으로부터 위와 같이 정보를 제공받아 2006년 9월 30일경부터 2007년 7월 20일경까지 하나포스 가입자들에게 전화를 통하여 멤버스카드의 발급을 권유했다.   

이에 검사는 정보통신서비스 제공자인 하나로텔레콤 주식회사와 그 임원을, 이용자들의 개인정보를 수집하면서 ‘미리’ 고지하거나 약관에서 명시한 ‘개인정보의 이용목적’의 범위를 넘어 개인정보를 이용했다고 해 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘구 정보통신망법’) 위반으로 기소하고, 나아가 이용자들의 동의를 받지 아니하고 개인정보를 제3자인 예드림씨앤엠 주식회사에 제공했다고 하여 역시 구 정보통신망법 위반으로 기소하기에 이르렀으며(형사), 개인정보가 제공된 이용자들은 손해배상청구를 하기에 이르렀다(민사).   

가. 형사판결   

형사사건에서의 주요 쟁점은, 구 정보통신망법 제24조 제1항에서 정한 ‘제22조 제2항의 규정에 의한 고지의 범위 또는 약관에 명시한 범위’의 의미, 즉 사후에 약관이 변경된 경우 변경된 약관을 기준으로 법 제24조 제1항 위반 여부를 판단해야 하는지 여부, 그리고 개인정보의 ‘제3자 제공’과 ‘타인 위탁’의 구별기준이었다.      

이에 대하여 법원은, 첫째, 구 정보통신망법 제24조 제1항에 의하면, 정보통신서비스제공자는 당해 이용자의 동의가 없더라도 법 제22조 제2항의 규정에 의한 고지의 범위 또는 정보통신서비스이용약관에 명시한 범위 내에서 개인정보를 이용할 수 있다고 보아야 하며, 동법 제22조는 ‘개인정보의 수집’에 관한 규정이고, 제24조는 ‘개인정보의 이용 및 제공’에 관한 규정으로서, 제22조 제2항 제2호에 의하면 정보통신서비스제공자는 개인정보 수집을 위한 동의를 얻고자 하는 경우 ‘미리’ ‘개인정보의 수집목적 및 이용목적'을 이용자에게 고지하거나 정보통신서비스이용약관에 명시하여야 한다고 규정하고 있다.    

그러므로 제24조 제1항에서 말하는 '제22조 제2항의 규정에 의한 고지의 범위 또는 약관에 명시한 범위’란 개인정보를 수집하면서 ‘미리’ 고지하거나 약관에 명시한 ‘개인정보의 이용목적’의 범위를 말하고, 사후에 정보통신서비스이용약관이 변경된 경우 변경된 약관을 기준으로 제24조 제1항 위반 여부를 판단하여야 한다고 볼 수는 없다고 판시하여, 사후에 변경된 약관을 기준으로 하여야 한다는 피고인들의 주장을 배척했다.   

또한, 법원은 둘째로, ①제24조에서 말하는 개인정보의 ‘제3자 제공’은 ‘제공받는 자의 목적’을 위하여 개인정보가 제공되는 경우로, 제25조에서 말하는 개인정보의 ‘타인 위탁’은 ‘제공하는 자의 사무처리’를 위한 경우로 구별되어야 하고, 따라서 제24조에 정한 ‘제3자’에는 개인정보 취급을 위탁받은 수탁자는 포함되지 아니한다고 해석하여야 하는 점, ②예드림씨앤엠은 실질적으로 하나로텔레콤의 상품 안내 및 가입자 유치를 목적으로 설립된 회사로서 하나로텔레콤과의 업무협약을 통해 하나로텔레콤 주식회사의 상품 안내를 위한 전화 영업을 하고, 그 수수료를 하나로텔레콤으로부터 지급받았으며, 하나로텔레콤 이외의 다른 동종 업체의 업무는 처리하지 않은 채 폐업한 점,   

③하나로텔레콤이 가지고 있는 개인정보가 다른 저장매체나 출력물 등을 통해 예드림씨앤엠에 제공된 것이 아니라 하나로텔레콤의 서버에 접속할 수 있는 시스템을 별도로 설치하여 기간을 정하여 제한된 방법과 절차로만 접근이 가능하도록 한 점, ④예드림씨앤엠이 고객을 유치한 이 사건 제휴카드에는 단지 신용카드의 기능뿐만 아니라 하나TV의 설치비 면제 등 하나로텔레콤의 상품이나 고객의 혜택에 관한 내용도 포함되어 있는 점,   

⑤예드림씨앤엠은 위 제휴카드를 신청한 고객의 경우 그 개인정보를 SC제일은행에 제공하기는 하였으나, 이는 하나로텔레콤의 업무협약 내용에 따른 것이고 고객과의 통화를 통해 카드 발급에 관한 동의를 얻은 후 이루어진 것인 점 등을 종합하면, 예드림씨앤엠은 구 정보통신망법 제24조에서 규정하는 ‘제3자’가 아니라 하나로텔레콤을 위하여 하나로텔레콤의 일부 업무를 위탁받아 수행하는 ‘수탁자’로서의 지위를 가진다고 판시하여, 하나로텔레콤은 개인정보의 ‘제3자 제공’이 아니라 ‘타인 위탁’을 한 것이라고 판단했다.   

나. 민사판결   

민사사건에서의 주요 쟁점은, 하나로텔레콤이 원고들로부터 개인정보 수집·이용에 관한 적법한 동의를 받았는지 여부, 하나로텔레콤의 전화권유판매 사업자 등에 대한 개인정보 제공이 정보통신망법상 ‘취급 위탁’과 ‘제3자 제공’ 중 어디에 해당하는지 여부 등이었다.   

이에 대하여 법원은, 먼저 적법한 동의 여부와 관련하여, ①하나로텔레콤이 개인정보 수집·이용에 대한 동의 자료를 제출하고 있지 못하고 있는 원고들에 대하여는 개인정보 수집·이용에 관한 동의가 없었던 것으로 보았고, ②서비스개통 의사와 개인정보 수집·이용 의사를 분리하여 구하지 않고 ‘본인은 상기와 같이 서비스가 개통되었음을 확인합니다’며 동의 확인 부분을 생략하거나 ‘본인은 상기 개인정보의 제공 및 활용에 관한 동의서와 뒷면의 내용에 대하여 충분히 인지하고 준수할 것을 동의하며 서비스 개통되었음을 확인합니다’는 내용으로 그 의사의 확인을 구한 데 그친 원고들에 대해서도 하나로텔레콤이 개인정보 수집·이용에 관한 유효한 동의를 획득하지 못하였다고 보았으며,   

③별도의 동의 양식을 제시했으면서도 개인정보 수집·이용에 관한 동의를 받지 않은 원고들의 경우 및 개인정보 수집·이용에 관한 동의를 받았다고 할지라도 동의 이전에 이미 취급 위탁의 형태로 개인정보를 외부에 제공한 원고들의 경우에는, 하나로텔레콤이 위 원고들의 동의 없이 개인정보를 이용·제공한 것이므로 위 원고들의 개인정보자기결정권을 침해했다고 보았다. 그러나 ④별도의 동의 양식을 제시하였고 개인정보 수집·이용에 관한 별도의 동의를 받은 후에서야 비로소 개인정보를 외부에 제공한 원고들의 경우에는 하나로텔레콤이 개인정보 수집·이용에 관한 동의 과정에서 그 원고들의 권리를 침해했다고 볼 수는 없다고 판시했다.   

또한 법원은 둘째로, 적법한 위탁 여부와 관련하여, 이 사건은 정보통신서비스제공자인 하나로텔레콤 측의 사업 목적을 위해 개인정보를 외부에 제공한 것이므로, ‘제3자 제공’이 아니라 ‘취급 위탁’에 해당한다고 판시했다.   

그리하여 법원은 개인정보 수집·이용에 관한 동의를 받지 아니한 채 또는 동의를 받기도 전에 개인 정보를 외부에 제공한 원고들에게는 20만원의 위자료를, 개인정보 수집·이용 등에 관한 동의를 받았으나, 그 후 새로운 수탁자에게 취급 위탁을 하면서도 개정된 정보통신망법에 따른 동의 절차를 거치지 않은 원고들에 대하여는 10만원의 위자료를 인정했다.   

이 사건은 동의의 방식, 수집목적을 벗어난 활용에 관한 정보통신서비스제공자의 책임, 제3자 제공과 타인 위탁의 구별 등 매우 중요한 쟁점들에 대하여 법원이 명확한 기준을 제시하여 준 중요한 사안이다.   

6. [2008. 1.] 옥션 해킹 사건   

중국인 해커로 추정되는 갑은 ①2008. 1. 4. 04:49경부터 05:33경까지, ②2008. 1. 5. 03:33경부터 04:33경까지, ③2008. 1. 7. 04:08경부터 05:11경까지, ④2008. 1. 8. 02:42경부터 03:45경까지 등 4차례에 걸쳐 인터넷 오픈마켓사인 옥션의 웹 서버 중 하나인 이노믹스 서버[아이피(IP) 주소 : 211.233.17.184]에 침입하여 이노믹스 서버를 통해 피고 옥션의 메인디비2(MAINDB2) 데이터베이스 서버에 저장되어 있던 피고 옥션 회원의 이름, 주민등록번호, 주소, 전화번호, 아이디, 계좌번호 등 개인정보를 자신의 컴퓨터로 내려받아 이를 유출했다(10,807,471명의 개인정보 유출).   

갑은, 옥션이 운영하는, 아이디 ‘admin’, 비밀번호는 기본으로 설정되어 있는 톰캣 서버에 무단 로그인한 다음 위 서버에 백도어 프로그램을 올렸고, 이후 ‘ipconfig’ 등의 명령어를 실행하여 IP 주소 등 시스템 정보를 획득했으며, 3389 포트의 터미널 서비스를 기동한 다음, 자신의 IP 주소를 세탁하기 위하여 한국 내 경유지로 터미널 서비스 포트를 포워딩했다. 이어서 경유지인 서버를 거쳐 옥션의 이노믹스 서버를 통하여 데이터베이스 서버에 접속한 다음 데이터베이스 서버에 저장되어 있던 옥션 회원의 개인정보를 경유지로 전송하고, 경유지에서 개인정보를 백업한 다음 자신의 컴퓨터로 전송받은 것이었다. 이에 원고들은 옥션에게 30만원의 위자료 청구를 하기에 이르렀다.   

이 사건에서의 쟁점은, 옥션이 법령에서 요구하고 있는 정보보호조치 의무를 다하였는지 여부였다.   

이에 대하여 원고들은, 옥션이 보안전담 부서를 따로 설치하지 않았고 웹 관련 해킹을 막기 위해서는 필수적으로 설치해야 하는 웹 방화벽을 웹 서버에 전혀 설치하지 않았으며, 2008. 1. 3.경 이노믹스 서버에 설치된 악성코드를 발견하고도, 데이터베이스 서버 관리자의 아이디를 변경하는 등의 적절한 조치를 취하지 않았다고 주장했다. 또한, 정보통신부 고시 제2005-18호에서 암호화 대상으로 규정하고 있는 본인인증 정보인 주민등록번호 등이 사건 데이터베이스 서버에 저장되어 있는 피고 회사의 개인정보를 암호화하지 않았으며, 서버에 대한 인증 및 접근 제어 시스템을 도입하지 않았다고 주장했다.   

또한, 웹서버인 이노믹스 서버에 대하여 아무런 보안 조치를 하지 않은 채, 전용선이나 ‘VPN’이 아닌 인터넷을 통해서도 외부에서 이노믹스 서버에 접근할 수 있도록 함으로써 해커에게 이노믹스 서버를 노출했고, 해커가 새벽 시간대에 이노믹스 서버를 통해 이 사건 데이터베이스 서버에 저장되어 있던 피고 회원의 개인정보를 조회하는 과정에서 이노믹스 서버로부터 데이터베이스 서버로의 정보조회 요청에 따른 비정상적인 다량의 쿼리(Query)가 발생했다.   

그럼에도 이를 탐지하고 경고할 수 있는 모니터링 시스템을 갖추지 않아 이 사건 해킹 사고를 전혀 인식하지 못하였으며, 이노믹스 서버 관리자의 아이디, 비밀번호 앞 여섯 자리, 이 사건 데이터베이스 서버 관리자의 아이디, 비밀번호를 피고 옥션의 아이디 및 비밀번호에 대한 내부 관리 지침에 위배하여 설정했다고 주장했다.   

옥션은 원고들에게 서비스 이용계약에 따른 전자금융거래 서비스를 제공하는 계약당사자 또는「전자금융거래법」상 전자금융업자로서 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자가 입은 손해를 배상할 책임을 지는데, 이 사건 해킹사고를 통해 원고들의 금융정보가 유출되도록 했으며, 그 밖에 피고의 약관 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등에서 요구하고 있는 정보보호 조치 의무를 다하지 않았다는 것이 원고들의 주장이었다.   

이에 대하여 법원은, 첫째, 피고는 이 사건 해킹 사고 당시 정보보호정책 및 관리지침서 제2장 정보보호조직 관리지침에 따라 임원을 정보보호책임자로 임명하고 산하에 세부 분야별로 정보호호관리자 및 담당 직원(보안 전담 부서로는 SIT팀)을 운영하여 정보보호 업무를 한 사실이 인정되고, 둘째, 피고 옥션이 이 사건 해킹 사고 당시 이노믹스 서버를 비롯한 피고의 웹 서버에 웹 방화벽을 설치하지 않았다고 하더라도 관련 법령상으로도 웹 방화벽의 설치가 의무화되어 있지 않는 한 피고에게 그로 인한 주의의무 위반이 있다고 할 수 없다.   

셋째, 피고 옥션이 2008년 1월 4일경 이노믹스 서버에 설치된 악성코드를 발견한 다음 수행한 대응 조치에 어떠한 주의의무 위반이 있다고 할 수 없고, 달리 피고 옥션이 이 사건 해킹 사고 당시 적절한 대응조치를 취하지 않아 이 사건 해킹 사고를 막지 못하였다는 점을 인정할 만한 증거가 없으며, 넷째, 주민등록번호는 생존하는 개인에 관한 정보로서 개인을 식별할 수 있는 개인정보에 해당될 뿐, 이 사건 고시 제5조 제1항에서 암호화 대상으로 정하고 있는 본인 인증 정보에는 해당되지 않는다.    

그리고 다섯째, 피고 옥션은 서버 운영체제인 ‘윈도우 서버 2003’에 내재되어 있는 인증 및 접근 제어 시스템인 ‘Active Directory’를 사용하여 중앙통제 방식으로 다양한 권한의 등급을 가진 사용자 및 하위 관리자의 인증 및 접근제어를 구현했고, 데이터베이스 관리 시스템(DBMS, Database Management System)의 하나인 ‘윈도우 SQL 서버’의 내재된 인증 및 제어 시스템을 사용하여 데이터베이스에 대한 SQL(질의) 작업시 별도 서버에서 가상 계정이 부여된 사용자만이 접근할 수 있도록 함으로써 비인가자의 데이터베이스 접근을 차단했다.    

여섯째, 해커가 이 사건 해킹 당시 침입하였던 이노믹스 서버에 대하여 외부 인터넷을 통해서도 접근이 가능했던 사실만으로는 피고 옥션이 이노믹스 서버에 대하여 아무런 보안 조치를 하지 않은 채 해커에게 이노믹스 서버를 노출하여 이 사건 해킹 사고가 발생하였다는 사실을 인정하기에는 부족하다.   

일곱째, 이 사건 해킹 사고 당시 이 사건 데이터베이스 서버에서는 초당 약 3,333개(12,000,000개/3,600초) 정도의 쿼리가 발생하고 있었는데, 해커가 이 사건 해킹에 사용한 쿼리는 모두 십여 개에 불과하며, 이 사건 해킹 사고 당시 데이터베이스 서버에 대하여 평소 대비 정상 범위를 벗어난 수의 쿼리가 발생하거나 비정상 쿼리가 발생하는 경우 이를 실시간으로 탐지하여 문자나 메일로 알려주는 자체 개발 프로그램을 운영하고 있었는 바, 옥션이 이 사건 해킹 사고 당시 해커가 개인정보를 유출하는 과정에서 발생한 쿼리를 탐지하지 못하였다고 하더라도 그로 인한 주의의무 위반이 있다고 할 수 없다.   

여덟째, 시스템 관리자의 아이디와 비밀번호를 회사명 등 잘 알려진 단어로 설정하는 경우 브루트-포싱(brute-forcing) 공격에 취약해 브루트-포싱 공격을 시도하는 해커에게 시스템 관리자 권한을 빼앗길 우려가 크기는 하나, 이 사건 해킹 사고는 해커가 웹쉘을 통해 이 사건 데이터베이스 서버 관리자의 아이디와 비밀번호를 알아낸 다음 이를 통해 이 사건 데이터베이스 서버에 저장되어 있던 옥션 회원의 개인정보를 자신의 컴퓨터로 내려받아 이를 유출하여 발생한 것으로 추정된다.     

설령 옥션이 내부 관리 지침에 위배하여 이노믹스 서버 및 이 사건 데이터베이스 서버 관리자의 비밀번호와 이 사건 데이터베이스 서버 관리자의 아이디를 회사명이 포함되게 설정했다고 하더라도, 이로 인해 이 사건 해킹사고가 발생했다고 볼 수는 없다고 판시했다.   

나아가 법원은, 이 사건 해킹 사고는 옥션이 저장·보관하고 있는 회원 개인정보의 도난에 해당할 뿐, ‘접근매체의 위조나 변조로 발생한 사고’, 또는 ‘계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고’에 해당한다고 볼 수 없다.   

그리고 옥션은 이 해킹 사고 당시 이용약관 및 각종 기술적·관리적 정보보호조치의 이행, 그 밖에 피고 내부의 정보보호정책 및 관리지침에 따른 보안조치 등 다양한 방식의 해킹 방지 조치를 이행하고 있었던 점, 이 사건 해킹 사고는 초급 수준을 넘어 적어도 상당한 수준의 해킹 기술을 보유하고 있는 지능적인 해커에 의하여 발생한 것으로 보이는 점 등을 종합적으로 고려하면, 옥션이 이용약관  등에서 규정하고 있는 정보보호 치 의무를 다하지 않아 이 사건 해킹 사고를 예방하지 못했다고 할 수 없다.   

그러므로, 결국 옥션이 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조 제1항, 같은 법 시행규칙 제3조의3 제1항 및 이에 근거한 정보통신부 고시 제2005-18호, 제2007-3호에서 각각 규정하고 있는 개인정보 보호를 위한 기술적·관리적 조치를 다한 사실은 인정된다고 판시했다.

이번 사건은 해커가 톰캣 서버를 간단하게 뚫은 다음에 여러 단계를 거쳐 데이터베이스 시스템에 접근한 사건으로서, 대규모 해킹에 의한 개인정보 유출사건에 대해 법원이 기업의 과실을 부정한 대표적인 사건이다.

7. [2008. 3.] 엘지텔레콤(현 엘지유플러스) 사건   

엘지유플러스는 콘텐츠 제공업체들로부터 제공받은 모바일 콘텐츠를 이용자들에게 제공하고 있기에 서비스 제공을 위해 콘텐츠 제공업체로 하여금 부여받은 아이디와 패스워드를 통해 엘지유플러스의 고객정보 시스템에 접속할 수 있게 하고 있었다. 한편, 엘지유플러스의 CP인 코디너스는 엘지유플러스에 ‘mive’라는 연예인 화보 및 풍경 서비스를 제공하기 위해 엘지유플러스로부터 아이디 및 패스워드를 부여받았다.   

그런데 엘지유플러스의 CP로 가입하려는 엠샵사이트는 아직 CP로 가입하지 않은 상태에서 엠샵사이트와 엘지유플러스의 연동을 시험하는 과정에서 인증이 이루어지지 않자, 코디너스에 요청하여 코디너스의 CP 아이디와 패스워드를 제공받았는데, 이후 아이디와 패스워드를 삭제하지 않음으로써 그 이후에도 엠샵사이트에서 휴대폰 번호를 입력하면 폰정보 조회가 가능하게 되었다.   

갑은 우연히 엠샵사이트에서 엘지유플러스에 가입된 자신의 휴대폰 번호를 입력하면 주민등록번호, 가입일자, 휴대폰 기종 등의 정보가 URL에 나타나는 사실을 알게 되자, 친구인 을에게 위 사실을 알려 주었다. 을은 ‘폰정보 조회’ 페이지에서 키보드의 시프트 키를 누른 상태에서 휴대폰 번호를 입력하자 특정 URL이 나타났는데, 그 URL 뒷부분에 주민등록번호, 가입일, 휴대폰 기종 등이 그대로 표시되는 것을 확인하게 되자, 위 URL의 소스를 확보한 다음 자신이 2001년경부터 운영하는 개인 홈페이지에 ‘휴대폰 정보조회’라는 페이지를 만들었다. 이에 개인정보가 유출된 피해자들이 엘지유플러스와 코디너스를 상대로 손해배상청구를 하기에 이르렀다.   

이 사건에서의 주요 쟁점은, 엘지유플러스가 코디너스에 아이디와 패스워드를 부여한 것이 원고들의 동의를 얻지 아니하고 원고들의 개인정보를 제공 또는 위탁한 것인지 여부, 누구라도 엠샵사이트에 접속하여 원고들의 개인정보인 주민등록번호를 알 수 있는 상태에 이르러 원고들에게 정신적 손해가 발생하였는지 여부, 엘지유플러스가 개인정보의 기술적·관리적 보호조치 의무를 이행하지 않았는지 여부, 코디너스의 아이디·패스워드 관리 부실에 대하여 엘지유플러스가 사용자책임을 지는지 여부 등이었다.   

이에 대해 1심 법원은 엘지텔레콤측은 최소한의 보안장치도 마련하지 않은 채 800만명에 이르는 가입자 정보가 저장돼 있는 서버를 허술히 관리한 것으로 드러났다며, 원고 1인당 5만원을 지급하라는 원고 승소 판결을 선고했다.   

그러나 항소심 법원은 이에 대해, 첫째, ‘mive’를 사용하는 이용자는 자신의 주민등록번호를 이미 코디너스에 제공했으므로 엘지유플러스의 사용자 인증에 대하여도 자신들의 주민등록번호 제공을 동의했다고 봄이 상당하고 엘지유플러스가 코디너스에 아이디와 패스워드를 부여했다고 하여 코디너스에 원고들의 개인정보를 제공 또는 위탁했다고 볼 수 없다.   

둘째, ‘폰정보 조회’ 페이지에서 나타나는 정보는 색상, 액정크기 등에 불과하며 을과 같은 컴퓨터 전문가에 의해 분석을 거쳐야만 비로소 주민등록번호를 알 수 있으므로 개인정보를 URL에 그대로 붙여서 평문으로 전송된다는 사정만으로 원고들의 개인정보가 엘지유플러스의 관리통제권을 벗어나 제3자가 알 수 있는 상태에 이르렀다고 보기 어렵다고 해석했다. 또한, 설사 누구라도 엠샵사이트에 접속하여 원고들의 주민등록번호를 알 수 있는 상태에 이르게 하여 원고들 및 엘지유플러스의 원고들의 주민등록번호에 대한 관리·통제권을 벗어나 제3자가 알 수 있는 상태에 있었다 하더라도, 원고들의 주민등록번호가 그 의사에 반하여 실제로 검색되지 않았기에 검색될 수 있는 상태에 있다는 사정만으로 원고들에게 위자할 정도의 정신적 고통이 있었다고 볼 수 없다.   

셋째, 엘지유플러스가 원고들 주장과 같이 주의의무를 위반했다 하더라도 그 자체만으로 원고들의 사생활의 비밀과 자유를 침해했다고 볼 수 없고, 위와 같이 원고들의 주민등록번호가 누출되었거나 원고들이 정신적 고통을 받았다고도 볼 수 없다.   

넷째, 엘지유플러스가 코디너스에 대하여 사용자로서의 지위를 가지고 있고, 코디너스가 CP 계정을 제대로 관리하지 못했다 하더라도, 원고들의 개인정보가 누출되지 아니하고 금전으로 위자할 정도의 정신적 고통을 받았다고 볼 수 없는 이상 코디너스가 CP 아이디와 패스워드를 제대로 관리하지 아니한 사정만으로는 어떠한 불법행위가 성립한다고 볼 수 없다고 판시하였다.   

이에 원고들은 상고했다(2011다24555, 2011다24562).   

대법원은 아래와 같이 판시하면서 상고를 기각하였다. 

8. [2008. 7.] 다음(Daum) 개인정보유출 사건   

다음커뮤니케이션은 서비스 이용자가 다음에 접속하면 본인의 마지막 로그인 기록을 보여주는 기능을 추가한 프로그램을 개발해, 2008. 7. 22. 15:10경 이용자들을 대상으로 배포했다.   

그런데 위 프로그램에 오류(일명 ‘버그’)가 발생해 동시간대에 다음 서버에 접속한 이용자들이 어떤 서비스를 요청한 경우 마지막에 서비스를 요청한 이용자의 이메일 정보가 동시에 접속한 다른 이용자들에게 노출되는 사고가 발생했다.   

이 사건 사고 당시 로그기록을 분석한 결과에 의하면, 이 사건 사고로 인해 자신의 메일 내용을 다른 사람이 본 이용자는 최대 307명, 자신의 메일에 첨부된 파일을 다른 사람이 다운로드한 이용자는 최대 141명인 것으로 확인됐다. 이에 피해자들은 다음을 상대로 손해배상청구를 하기에 이르렀다.   

이 사건에서의 주요 쟁점은 피고 다음에게 주의의무위반이 있는지 여부였다.   

이에 대해 법원은, 오늘날 인터넷을 통한 정보의 전달과 이용은 일반인에게도 필수적인 것이 되고 있고, 이를 보다 편리하고 안전하게 이용하기 위하여 새로운 프로그램을 개발하거나 기존 프로그램의 성능 개선을 원하는 고객들의 수요가 매우 큰 반면, 현재의 기술수준과 경제성에 비추어 프로그램 개발 과정에서 버그 발생 가능성을 완전히 배제하는 것은 거의 불가능한 바, 따라서 이 사건 사고로 인하여 원고들에게 금전으로 위자하여야 할 손해가 발생하였다거나, 피고에게 주의의무 위반이 있었다는 점을 인정하기 어렵다고 판시했다.   

당시 판결은 프로그램 개발 과정에서 발생하는 오류에 대하여 기업이 책임을 부담하는지에 관한 판결이다. 법원은 이 사건 사고에 대하여 본질적으로 새로 개발한 프로그램에 발생한 버그에 의한 것으로서, 피고가 영업상 이익을 추구하는 과정에서 개인정보보호 시스템에 중대한 하자를 야기하거나 이를 방치하는 등으로 개인정보 보호를 태만히 하여 발생한 것으로 볼 수는 없다고 판시한 것이다.   

9. [2008. 7.] GS칼텍스 개인정보 유출사건   

원고들은 GS칼텍스가 제공하는 구매금액 등에 따라 포인트가 적립되는 주유 관련 보너스카드의 회원으로 가입하면서 GS칼텍스에 이름, 주민등록번호, 자택주소, 자택전화번호, 회사주소, 회사전화번호, 핸드폰번호, 이메일주소 등 개인정보를 제공했다.   

GS칼텍스는 원고들을 비롯해 보너스카드 회원으로 가입한 고객들의 개인정보를 ‘보너스카드 데이터베이스’를 구축해 관리하고, 위 보너스카드 데이터베이스에서 고객들의 개인정보를 추출하여 ‘CSC(고객서비스센터) 데이터베이스’를 구축했으며, GS넥스테이션은 GS칼텍스로부터 위 CSC 운영업무 및 관련 장비 유지·보수 업무 등을 위탁받아 이를 수행했다.   

그러던 중 갑은 동료직원인 GS넥스테이션의 CSC팀 소속 을과 함께 위 CSC DB 접근권한을 이용해 고객정보를 빼낸 후 이를 시중에 판매하거나 집단소송을 의뢰받을 변호사에게 판매하는 방법 등으로 금원을 취득하기로 모의했고, 이에 갑은 2008년 7월 8일경부터 같은 달 20일경까지 GS넥스테이션 관리팀 사무실에서, 자신이 사용하는 사무용 컴퓨터를 이용해 데이터베이스 원격관리 프로그램인 PLSQL Deve loper에 평소 업무상 알고 있던 계정명 ‘lgcsc’와 비밀번호를 입력하여 CSC서버에 접속한 후 보너스카드 회원 11,517,125명의 성명, 주민등록번호, 주소, 전화번호, 이메일 주소 등 고객정보를 자신의 위 사무용 컴퓨터로 전송 받았다.   

갑은 2008. 8. 29. 자신이 편집한 DVD 1장을 병에게 전달해 주었고 병은 2008년 8월 28일경 변호사 사무실 사무장으로 재직하고 있던 정에게 GS칼텍스 보너스카드 회원 1,200만명의 개인정보를 가지고 있는데, 이를 넘겨 줄테니 GS칼텍스를 상대로 한 집단소송에 활용하고 그 수익을 달라고 제의했고, 이에 정은 집단소송을 위해서는 우선 개인정보 유출 사실이 언론에 보도되어 사회문제가 되어야 한다고 말했다.   

이에 병은 모 매체 기자 등을 만나 ‘도심 쓰레기 더미에서 GS칼텍스의 고객정보가 담긴 DVD를 주웠다’는 취지로 말하며 기자 등에게 샘플 CD와 DVD를 교부했다.   

갑 등은 언론보도가 나간 이후 각 검거되었고 갑 등이 소지하고 있던 고객정보가 수록된 CD, DVD, USB, 외장형 하드디스크 및 위 작업에 사용된 컴퓨터, 노트북 등은 모두 압수되었거나 폐기됐으며 기자들에게 제공된 CD 및 DVD는 언론보도 이후 전량 임의제출됐다.   

이 사건에서의 주요 쟁점은, 개인정보가 유출되어 원고들에게 정신적 손해가 발생했는지 여부였다.   

이에 대해 1심 법원은 피고들에게 개인정보 누출로 인한 손해배상책임을 지우기 위해서는 우선 원고들의 개인정보가 피고들의 지배영역을 떠나 외부로 누출됨으로써 원고들에게 정신적 손해가 발생하였다는 사정이 구체적으로 입증되어야 한다고 할 것인 바, 개인정보 누출로 인하여 당해 개인정보를 모르는 제3자가 현실적으로 그 내용을 알게 되었다거나 적어도 이와 동일시할 수 있는 정도의 구체적이고 현실적인 고도의 위험이 발생할 것까지 요구되는 것은 아니라고 할지라도, 최소한 개인정보가 외부로 누출됨으로써 원고들의 개인정보가 불특정 다수에게 공개되어 이를 열람할 수 있는 상태 또는 원고들의 의사에 반해 원고들의 개인정보가 수집·이용될 수 있는 상태에 이르러 원고들의 개인정보 자기결정권이 침해되었다거나 침해될 상당한 위험이 발생했다는 점이 인정되어야 한다고 할 것이다.   

그러나 갑 등으로부터 저장매체 등은 모두 조기에 압수되거나 폐기된 점, 기자들이 소지하던 저장매체도 모두 회수된 점, 갑 등이 빼낸 고객정보가 다른 경로로 누출된 흔적이 발견되지 아니한 점 등에 비추어 보면, 원고들의 개인정보가 누출됨으로써 불법행위자인 갑 등 이외의 불특정 다수에게 공개되어 이를 열람할 수 있는 상태 또는 원고들의 의사에 반하여 원고들의 개인정보가 수집·이용될 수 있는 상태에 이르러 원고들의 개인정보자기결정권이 침해되었거나 침해될 상당한 위험성이 발생하여 원고들에게 정신적 손해가 발생하였다는 점을 인정하기 어렵다.   

나아가 갑 등의 행위로 인해 원고들이 자신들의 개인정보가 추가로 복제되어 유출됨으로써 제3자에 공개되거나 범죄 등에 도용 또는 악용될지도 모른다는 막연한 불안감이나 불쾌감을 가지게 될 수도 있었음은 능히 추단되나, 이러한 사정만으로는 원고들이 수인한도를 초과하여 피고들이 금전으로 위자할 만한 정신적 손해를 입었다고 할 수는 없다고 판시했다.   

또한 항소심 법원은, 이 사건 개인정보는 원고들의 성명, 주민등록번호, 전화번호, 이메일 주소 등 개인을 알아볼 수 있는 정보이고, ‘사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보’와 같이 정보주체에 관한 아주 민감한 정보는 아닐 뿐만 아니라, ‘은행계좌번호, 은행계좌의 비밀번호 등 금융에 관한 정보’와 같이 공개될 경우 곧바로 정보주체의 경제적 이익을 침해할 우려가 높은 정보에도 해당하지 않는 것인 점, 이 사건 개인정보는 범행공모자와 언론기관 관계자에게 유출된 직후 곧바로 전체가 회수되어 폐기된 점, 실제로 이 사건 개인정보가 부정하게 사용되었다거나 이 사건 개인정보의 유출로 말미암아 이를 취득한 제3자로부터 많은 양의 스팸메시지나 스팸메일을 받게 되었다는 등의 원고들이 개별적, 구체적인 피해를 입은 사실을 인정할 증거가 없거나 부족한 상태에서, 원고들의 이 사건 개인정보가 한때나마 유출된 적이 있었다는 사실만으로 원고들에게 정신적인 피해가 있었을 것이라고 단정하기는 어렵고, 달리 원고들이 개별적, 구체적으로 정신적 피해를 입었다고 인정할 만한 증거도 없으므로, 원고들에게 정신적 손해가 발생하였다고 보기는 어렵다고 판시했다.   

이에 대하여 대법원은 개인정보를 처리하는 자가 수집한 개인정보를 피용자가 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생했는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생했는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취해졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단해야 한다고 설명했다.   

개인정보가 유출된 후 저장매체에 저장된 상태로 공범들과 언론관계자 등에게 유출되었지만 언론보도 직후 개인정보가 저장된 저장매체 등을 소지하고 있던 사건 관련자들로부터 저장매체와 편집 작업 등에 사용된 컴퓨터 등이 모두 압수, 임의제출되거나 폐기된 점, 범행을 공모한 사람 등이 개인정보 판매를 위한 사전작업을 하는 과정에서 위와 같이 한정된 범위의 사람들에게 개인정보가 전달 또는 복제된 상태에서 범행이 발각되어 개인정보가 수록된 저장매체들이 모두 회수되거나 폐기되었고 그 밖에 개인정보가 유출된 흔적도 보이지 아니하여 제3자가 개인정보를 열람하거나 이용할 수는 없었다고 보이는 점, 개인정보를 유출한 범인들이나 언론관계자들이 개인정보 중 일부를 열람한 적은 있으나 개인정보의 종류 및 규모에 비추어 위와 같은 열람만으로 특정 개인정보를 식별하거나 알아내는 것은 매우 어려울 것으로 보이는 점, 개인정보 유출로 인하여 신원확인, 명의도용이나 추가적인 개인정보 유출 등 후속 피해가 발생했음을 추지할 만한 상황이 발견되지 아니하는 점 등 제반 사정에 비추어 볼 때, 개인정보 유출로 인하여 위자료로 배상할 만한 정신적 손해가 발생했다고 보기는 어렵다고 판시했다.   

판례는 이 사건에서 개인정보 유출로 인하여 위자료로 배상할 만한 정신적 손해가 발생하기 위해서는, ‘최소한 개인정보가 외부로 누출됨으로써 원고들의 개인정보가 불특정 다수에게 공개되어 이를 열람할 수 있는 상태 또는 원고들의 의사에 반하여 원고들의 개인정보가 수집·이용될 수 있는 상태’가 되어야 한다고 판단했다.   

다시 말하면 유출이 되었다고 하더라도 불특정 다수에게 공개될 가능성이 없는 상태라면, 기업은 손해배상책임을 부담하지 않는다고 판단한 것이다. 다만 제1심에서는 ‘원고들의 개인정보가 불특정 다수에게 공개되어 이를 열람할 수 있는 상태’를 요구한 것과 달리 대법원에서는 ‘제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지’를 판단기준으로 세웠다.

10. [2011. 7.] 네이트·싸이월드 해킹 사건   

성명불상의 해커는 2011. 7. 21. 00:40경 SK컴즈 DB기술팀 직원의 컴퓨터에 역접속을 시도하는 기능을 가진 악성프로그램을 유포하고, 2011. 7. 26.부터 2011. 7. 27.까지 중국 내 불상지에서 자신의 컴퓨터로 직원의 컴퓨터에 원격접속하여 SK컴즈 정보통신망에 침입했다.   

그리고 네이트 회원정보가 저장되어 있는 데이터베이스 서버, 싸이월드 회원정보가 저장되어 있는 데이터베이스 서버, 중복 저장 회원정보가 저장되어 있는 데이터베이스 서버에 침입하여 위 각 서버에서 처리, 보관하고 있는 개인정보를 자신이 지정한 외부 서버로 전송했다.   

이 사건 해킹 사고를 통해 네이트 또는 싸이월드의 회원 중 34,954,887명의 개인정보가 유출됐는데, 유출된 개인정보에는 아이디, 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소가 포함되어 있고 가입 당시 혈액형, 닉네임 등을 입력한 일부 회원들의 경우 위 혈액형, 닉네임 등도 포함되어 있었다.   

경찰의 수사 결과에 따르면, 이스트소프트는 압축 프로그램인 알집 중 국내 공개용의 경우, 무료로 배포하는 대신 프로그램 실행시 프로그램 창의 일부에 광고가 게시되도록 하여 수익을 얻고 있는데 이스트소프트는 위 광고를 교체하기 위해 알집 업데이트 서버를 이용하여 알집 프로그램에 ALAD.dll이라는 파일을 전송하고 있었다.   

그런데 해커는 정상적인 ALAD.dll 파일이 아닌, 동일한 이름의 악성 프로그램인 ALAD.dll 파일을 만들었고, 이를 이스트소프트의 알집 업데이트를 통해 국내 공개용 알집의 사용자 컴퓨터에 설치하기 위해 알집 업데이트 서버에 있는 ISAPI 필터에 stmpxml.dll 파일을 등록함으로써, SK컴즈 등 선별된 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우, 해커가 설정한 악성 프로그램 유포지인 ‘http://inexon.softsforum.org’에서 악성 프로그램인 ALAD.dll 파일을 다운로드 받게 했다.   

악성 프로그램인 ALAD.dll 파일이 다운로드되면, 위 파일은 악성 프로그램인 ALAD.exe 파일을 생성·실행시키고, 위 프로그램은 키로깅(keylogging) 프로그램인 nateon.exe 프로그램을 실행시켜 키보드 입력값이 컴퓨터에 파일로 저장되게 되어 있었다.   

2011. 7. 18. 08:58:27경 SK컴즈의 컴퓨터가 알집 업데이트 과정에서 악성 프로그램인 ALAD.dll 파일을 최초로 다운로드 받았고 그 후 2011. 7. 20. 14:59경 SK컴즈 직원의 컴퓨터에 nateon.exe 파일이 생성되어 2011. 7. 21. 02:02경 nateon.exe에 감염됐으며, 2011. 7. 23. 13:09경 위 직원의 컴퓨터가 update.exe 파일과 windowsrpc.dll 파일을 실행했다. 그 후 2011. 7. 26. 02:07경 위 해커가 직원의 컴퓨터를 경유하여 게이트웨이 서버에 DB 관리자 아이디로 접속했고, 이어서 SK컴즈의 DB 서버에 침입하여 개인정보를 덤프 파일로 생성하여 압축한 다음, 이를 게이트웨이 서버에 내려받고 직원의 컴퓨터로 내려받아 중국으로 전송했다.   

이 사건에서의 주요 쟁점은, SK컴즈가 개인정보 관리에 대하여 주의의무를 다했는지 여부였다.   

서울서부지방법원 2013. 2. 15. 선고 2011가합11733, 2011가합13234(병합), 2011가합14138(병합), 2012가합1122(병합) 판결   

원고들은,   

1. SK컴즈는 대용량 개인정보의 유출을 탐지하지 못했다.   

2. SK컴즈의 직원들의 컴퓨터에서 공개용 알집을 사용했다.   

3. SK컴즈는 FTP 서비스를 제공했다.   

4. SK컴즈의 담당직원은 DB에서 로그아웃을 하지 않고 퇴근했고, 자동 로그아웃 시간을 설정하지 않았다.   

5. 비밀번호의 개인정보 암호화 수준이 낮다.   

6. SK컴즈는 필요한 최소한의 정보 외의 개인정보를 수집하고, 이러한 개인정보의 제공을 강요한 잘못이 있다.   

7. SK컴즈는 허용되지 않은 IP 주소로도 게이트웨이 서버에 접속할 수 있도록 한 잘못이 있다.   

8. 해커는 이 사건 해킹사고와 동일한 방법으로 중국에서 원격접속을 통해 NHN의 내부망에 접근하였으나, NHN은 침입방지시스템을 통해 이를 차단했다.   

9. 해킹사고 발생 후 SK컴즈가 이 사건 해커가 사용한 IP 주소를 차단하지 않아서 이 사건 해커가 2011. 7. 28. 같은 IP 주소를 이용하여 SK컴즈의 직원 컴퓨터로 다시 접속을 시도하였다.   

10. SK컴즈가 이스트소프트사의 백신인 알약이나 안랩의 백신인 V3를 사용하였더라면 이 사건 해킹사고가 발생할 가능성이 적었다.   

11. SK컴즈가 2011. 7. 26. 업무시간 중 같은 날 새벽에 원격접속의 방법으로 이루어진 대용량 개인정보 접속 내역에 대하여 아무런 사후 모니터링을 하지 않았기 때문에 같은 달 27. 추가적으로 발생한 해킹사고를 방지하지 못한 잘못이 있다.   

12. SK컴즈는 원고들에게 재산적 손해배상으로서 20만원, 정신적 손해배상으로서 80만원을 지급해야 한다.   

고 주장했다.   

이에 대하여 법원은,   

1. SK컴즈는 개인정보에 대한 불법적인 접근 및 유출을 차단하기 위하여 침입탐지시스템 등을 갖춤으로써 개인정보가 보관된 DB의 접속내역 및 DB에 접속하여 수행하는 업무내역을 실시간으로 모니터링하고, 통상적으로 수행되는 업무와 다른 형태의 업무가 수행되거나 비정상적인 트래픽이 발생할 경우 이를 탐지하여 DB 관리자에게 즉시 경고함으로써 DB 관리자가 이에 대한 조치를 취할 수 있도록 하는 시스템을 갖출 의무가 있다.   

해커가 대용량의 개인정보 파일을 DB 서버에서 게이트웨이로 내려받고, FTP 방식으로 위 파일을 게이트웨이에서 외부망인 에듀티에스 사이트에까지 전송하는 동안에도 이를 전혀 탐지하지 못했다는 것은 개인정보가 대량으로 전송되는 것을 이상 징후로 감지하는 기준이 설정되지 않은 상태였다고 볼 수밖에 없는 점 등을 종합하면, SK컴즈가 설정한 경고 발생의 기준이 지나치게 완화되어 있어서 개인정보를 보호하기에 매우 부족한 수준이었고, 그로 인하여 이 사건 해킹사고를 탐지하지 못하였다고 봄이 상당하다.

2. ALDA.dll 파일은 공개용 알집에만 포함되어 있으며, 공개용 알집이 아닌 기업용 등 다른 유료 알집의 업데이트 과정에서 악성 ALAD.dll 파일을 내려받은 내역이 발견된 바가 없고, 공개용 알집과 같이 실시간으로 외부 서버와 연결되어 있는 프로그램을 이용하는 것이 일반적으로 외부 서버와 연결이 끊어져 있는 프로그램을 이용하는 것보다 보다 용이하게 해킹의 대상이 되리라고 보인다.   

3. SK컴즈는 정보통신망의 안정성 등을 확보하기 위해 게이트웨이에서 불필요한 FTP를 제거할 의무가 있는데, 이러한 의무를 이행하지 않았다.   

4. SK컴즈의 DB 관리자가 DB 서버에 접속하여 업무를 수행한 후 로그아웃을 하지 않았고, 일정 시간 이상 작업을 수행하지 않으면 자동으로 로그아웃이 되는 아이들 타임(idle time)이나 접속 가능한 최대시간인 커넥트 타임(connect time)도 설정되어 있지 않았기 때문에 로그인이 된 상태로 계속 남아있었으며, 이를 이용하여 이 사건 해커가 OTP 번호를 새로 받지 않고도 DB 서버에 접근할 수 있었던 것으로 봄이 상당하다.   

5. MD5는 그 보안 강도가 다른 해쉬함수에 비해 낮아서 일반적으로 권고되지 않는 암호화 방법인 사실을 인정할 수 있으므로, SK컴즈는 비밀번호 등 개인정보를 안전한 방법으로 저장할 의무를 위반하였다고 봄이 상당하다.   

6. 당시에는 정보통신망법에 따라 정보통신서비스 제공자가 서비스 이용자들로부터 주민등록번호를 수집하는 것이 가능하였고, 실제로 대부분의 정보통신망서비스 제공자들이 주민등록번호를 수집하고 있었다.   

7. SK컴즈는 게이트웨이에 접속가능한 IP 주소를 DB 서버에 접속할 권한이 있는 직원들이 사용하는 컴퓨터의 IP 주소로 한정시키고, DB 서버에 접속가능한 IP 주소는 게이트웨이의 IP 주소로 한정시키는 방법으로, 허용되지 않은 IP 주소를 통해 게이트웨이나 DB 서버에 접근할 수 없도록 조치를 취하고 있는 사실을 인정할 수 있다.   

8. NHN이 차단한 것을 SK컴즈가 차단하지 못했다는 것만으로는 SK컴즈의 침입탐지시스템 등의 운영에 어떠한 잘못이 있다고 단정할 수 없다.   

9. 원고들이 지적한 접근은 SK컴즈가 이 사건 해킹사고가 발생한 후 보안상의 취약점을 테스트하려는 목적으로 시행한 것으로 보인다.   

10. 알약이나 V3가 SK컴즈가 사용한 피고 시만텍의 엔드포인트 프로텍션보다 우수하여 이 사건 해킹사고에 이용된 악성 파일을 더 잘 탐지하여 이를 치료할 가능성이 더 높았다고 인정하기에 부족하다.   

11. 실시간 모니터링을 하는 외에 이 사건 해킹사고가 발생한 당일의 업무시간 중 실시간 모니터링에서 탐지되지 않은 이상 징후를 발견하기 위한 사후적인 점검조치를 했어야 한다고 보기 어렵다.   

12. 이 사건 해킹사고로 인하여 원고들에게 어떠한 재산상 손해가 발생하였음을 인정하기에 부족하나, SK컴즈는 이 사건 해킹사고로 인하여 원고들이 입은 정신적 손해를 배상할 의무가 있고, 그 범위는 각 200,000원으로 정함이 상당하다.   

고 판시했다.   

원고들은 SK컴즈 외에 이스트소프트, 시만텍코리아, 안랩을 피고로 삼았으나, SK컴즈에 대한 일부승소와 달리 나머지 세 피고에 대하여는 패소했다.   

이 판결에서는 SK컴즈의 주의의무 위반을 인정했고, 정신적 손해배상 20만원을 인용했다.

다만 고등법원, 대법원(대법원 2018. 1. 25. 선고 2015다24904, 2015다24911(병합), 2015다24928(병합), 2015다24935(병합) 판결) 단계에서 원고들은 패소했으나, 아래와 같이 고시에 열거된 것이 아니라도 법적 책임이 발생한다는 판시를 함으로써 과거 옥션 판결 내용을 뒤집었다는 평가를 받고 있다.