법무법인 다래
인터넷에서의 개인정보 유출사례와 손해배상
- 조회수
- 166
- 작성일
- 2014.10.24
I. 들어가며
최근 인터넷의 발달과 함께 개인정보의 해킹과 대규모 유출 사건이 잇따라 발생하여 큰 문제가 되고 있습니다. 해커에 의해 약 3,500만 명의 개인정보가 유출된 네이트온 사건을 비롯하여 각종 유명 포털사이트 등 에서의 개인정보유출에 따른 손해배상소송이 핫이슈가 되어 왔고, 얼마 전에 발생한 3.20 사이버테러와
관련하여서도 신한은행이나 농협에서 금융거래와 관련된 개인정보가 유출되었는 지 여부는 큰 관심사였습니다. 이하에서는 인터넷상에서 수집된 개인정보의 유출 사례를 통하여 정보통신서비스 제공자의 손해배상책임의 성부를 관계 법령 및 판결을 통해 간단하게 소개하겠습니다.
II. 인터넷에서의 개인정보 유출과 손해배상
1. 인터넷에서의 개인정보 유출과 관련된 법령
개인정보는 성명, 주소, 영상, 전화번호, 컴퓨터 IP주소, e-mail 등을 통하여 살아 있는 개인을 알아볼 수 있거나 다른 정보와 용이하게 결합하여 개인을 알아볼 수 있는 정보를 의미합니다(개인정보보호법 제2조 제1호).1)
인터넷상에서의 개인정보를 불법수집하거나 해킹한 경우 발생하는 민형사상의 문제와 관련하여, (i) 먼저 형사적 관점에서 살펴보면, 정보는 절도죄(형법 제329조)의 객체인 “타인의 재물”에 해당하지 않는 것으로 해석되므로 절도죄는 성립하지 않습니다.2) 하지만 불법수집자와 해커는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 법명 생략) 제71조3), 제72조4)에 의해 처벌받게 되고, 법인인 정보 통신서비스 제공자는 종업원 등이 법 제71조, 제72조에 의해 처벌 받는 경우 법 제75조에 의해 벌금형의 처벌을 받으며, 개인정보보호에 관한 기술적•관리적 조치를 제대로 취하지 않은 경우 별도로 법 제73조5)에 의해 처벌받게 됩니다. (ii) 민사적으로는 해커, 불법수집자, 정보통신서비스 제공자 등에 대해 불법행위에 따른 손해배상책임(법 제32조6))과 정보통신서비스 제공자에 대해 약관, 관계 법령에 규정된 정보보호의무 위반을 이유로 채무불이행에 따른 손해배상책임(민법 제390조) 이 문제됩니다.
2. 실제 사례에서 손해배상인정 여부
가. 내부자에 의한 유출 사례 – 리니지 2, GS칼텍스 사례
(1)리니지 2- 과실에 의한 유출 사례
1 2005. 5. 11. 게임 서버 등 담당 직원이 아이디/비밀번호 입력과 관련된 기능을 테스트하기 위하여 임시로 이용자들의 아이디와 비밀번호가 로그파일(log file)에 기록되도록 하였다가, 테스트 종료 후 아이디/비밀번호 기록 기능을 삭제하지 않은 상태에서 서버 업데이트 작업을 마치는 바람에, 2005. 5. 11. 오전 10시부터 이 사건 게임에 접속한 이용자들에 대하여 생성된로그파일에 이용자들의 아이디와 비밀번호가 기록되게 되어, 피해자들의 개인정보가 공개된 로 그파일이 PC방 컴퓨터 등에 남아 유출된 사례입니다.
2 이 사건에서 법원7)은, 아이디와 패스워드가 개인정보라는 전제하에 오늘날과 같이 컴퓨터 기술과 인터넷이 고도로 발달한 사회에서는 개인 정보의 유출 이 가져올 수 있는 피해가 심각하다는 점, 다수의 이용자들을 회원으로 가입시켜 게임서비스를 제공하고 그로 인하여 수익을 얻고 있는 업체에게는 그 사업 과정에서 알게 되는 이용자들의 개인 정보를 보호하기 위한 특별한 주의의무를 부담하도록 하는 것이 미래에 더 고도로 발달될 정보 사회에서의 개인의 비밀과 자유의 보호를 위해 바람직한 것으로 판단되는 점 등을 이유로, 리니지2 운영회사에 대하여 게임서비스 약관8)과 법 제49조9) 위반에 의한 정신적 손해배상책임10)을 인정하였습니다.
(2) GS칼텍스11) - 고의에 의한 유출사례
1 주유 관련 보너스카드 회원으로 가입한 고객들의 개인정보를 데이터베이스 로 구축하여 관리하면서 이를 이용하여 고객서비스센터를 운영하는甲주식회사로부터 고객서비스센터 운영업무 등을 위탁받아 수행하는 乙주식회사 관리 팀 직원 丙이 丁등과 공모하여 戊등을 포함한 보너스카드 회원의 고객정보를 빼내어 DVD 등 저장매체에 저장된 상태로 전달 또는 복제한 후 개인정보유출 사실을 언론을 통하여 보도함으로써 집단소송에 활용할 목적으로 고객정보가 저장된 저장매체를 언론관계자들에게 제공한 사례입니다.
2 대법원 12)은 개인정보를 처리하는 자가 수집한 개인정보를 피용자가 해당 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지 판단하는 기준을 다음과 같이 제시하였습니다.
『개인정보를 처리하는 자가 수집한 개인정보를 피용자가 해당 개인정보 정보 주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상 할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇 인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인 정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다.』
다만 이 사건과 관련하여서는, 언론보도 직후 개인정보가 저장된 저장매체 등 이 모두 폐기 등이 된 점, 범행을 공모한 丙등이 개인정보 판매를 위한 사전작업을 하는 과정에서 범행이 발각되어 개인정보가 수록된 저장매체들이 모두 회수되거나 폐기되는 등 제3자가 개인정보를 열람하거나 이용할 수는 없었다고 보이는 점, 개인정보의 종류 및 규모에 비추어 위와 같은 열람만으로 특정 개인 정보를 식별하거나 알아내는 것은 매우 어려울 것으로 보이는 점, 개인정보 유출로 인하여 추가적인 개인정보 유출 등 후속 피해가 발생하였음을 추지할 만 한 상황이 발견되지 아니하는 점 등을 이유로 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기는 어렵다고 판단하였습니다.
나. 외부의 작용(해커)에 의한 유출 - 옥션, 네이트온 사례
해커에 의해 특정 사이트 서비스 이용자의 개인정보가 유출되는 경우, 해커의 정체를 알 수 없기 때문에 정보통신서비스 제공자에게 손해배상책임이 문제되고, 이는 정보통신서비스 제공자가 해킹 사고를 방지하기 위해서 선량한 관리 자로서 취해야 할 기술적•관리적 조치의무를 위반하였는지 여부가 문제됩니다.
(1)옥션 사례
13)
법원은 정보통신서비스 제공자가 해킹 사고를 방지하기 위해 취해야 할 선량한 관리자로서의 주의의무를 위반하였는지 여부는 1 관련 법령이 정보통신서비스 제공자에게 요구하고 있는 기술적. 관리적 보안 조치의 내용14), 2 해킹 당 시 당해 정보통신서비스 제공자가 취하고 있던 보안 조치의 내용, 3 해킹 방지 기술의 발전 정도, 4 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도, 5 해커가 사용한 해킹 기술의 수준, 6 개인정보 유출로 인해 이용자가 입게 되는 피해의 정도 등을 종합적으로 고려하여 판단하여야 한다고 판시하며, 본 사례와 관련하여서는, 1 보안 전담 부서를 운영한 점, 2 웹 방화벽을 설치하지 않았다고 하더라도 당시 웹 방화벽 설치가 관계 법령상 의무가 아니고, 다른 보안 조치를 취하고 있는 점 3 주민번호를 암호화 하지 않았지만 이는 고시 제5조 제1항에 의해 암호화 대상이 아닌 점, 4 개인정보 데이터베이스를 관리 하는 서버에 대한 다양한 방식의 인증 및 접근 제어 시스템을 도입하여 운영한 점, 5 해커가 탐지가 어려운 고급의 해킹 기법을 사용한 점 등에 비추어 손해 배상책임을 부정하였습니다.
(2) 네이트온 사례- SK커뮤니케니션즈와 관련하여
1 서울중앙지방법원 2012. 11. 23. 선고2011가 합 90267 판결에서는, 앞서 본 옥션사례와 동일한 이유로 정보통신서비스 제공자가 해킹 사고를 방지하기 위해 취해야 할 선량한 관리자로서의 주의의무를 다하였다고 인정하여 손해배상 책임을 부정했습니다.
2 하지만, 서울서부지방법원 2013. 2. 15. 선고 2011가합11733등 판결에서는, A 법 제28조제1항 15), 같은 법 시행령 제15조16), 고시 제8조에 위반하여 침입탐지시스템 등을 적절하게 운영하지 못하여 대용량 개인정보의 유출을 탐지하 지 못한 점, B 기업용 알집 프로그램을 유료로 구입하여 사용하지 않고 공개용 무료 알집 프로그램을 사용한 점, C 보안상 취약한 FTP서비스를 제공한 점, DDB관리자가 DB서버에 접속하여 업무를 수행한 후 로그아웃을 하지 않았고, 자동 로그아웃 시간을 설정하지 않은 점 등을 이유로 정보통신서비스 제공자에게 법 제32조 위반 및 채무불이행에 의한 손해배상책임(1인당 위자료 20만 원)17)을 인정하였습니다.
III. 나가며
개인정보가 유출된 경우, 보이스 피싱, 문자피싱(스미싱), 메일 피싱, 메신저 피싱 등의 전자금융사기를 비롯한 각종 범죄에 유출된 정보가 사용될 수 있고, 또한 유출된 정보를 바탕으로 금융, 프라이버시등과 관련된 다른 정보가 추가로 유출되는 피해를 입을 수도 있습니다. 따라서 개인정보의 유출을 막기 위해서는 먼저 정보 주체가 이를 효율적이고 안전하게 관리하여야 합니다18). 그리고 앞서 본 사례와 같이 인터넷상에서 수집된 개인정보가 유출된 경우에는 정보통신서비스 제공자에게 개인정보의 관리 등에 고의 또는 과실이 있는 경우 위자료를 청구할 수 있으 므로, 이에 적극적으로 대응하는 자세가 필요하다 할 것입니다.
1) “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.(개인정보보호법 제2조 제1호)
2) 대법원 2002. 7. 12. 선고 2002도 745 판결
3) 5년 이하 징역 또는 5천만 원 이하 벌금
4)3년 이하 징역 또는 3천만 원 이하 벌금
5) 2년 이하 징역 또는 1천만 원 이하 벌금
6) 이용자는 정보통신서비스 제공자 등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통
신서비스 제공자 등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자 등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다(법 제32조)
7) 서울중앙 지방법원 2006. 4.28. 선고 2005가단 240057 판결
8) 회사는 이용자의 계정 정보를 포함한 일체의 개인정보가 서비스 시스템으로부터 유출되지 않
도록 하며, 제3자에게 공개 또는 제공되지 아니하도록 보호합니다(이용약관 제13조 제2항).
9) 누구든지 정보통신망에 의하여 처리•보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해•도용 또는 누설하여서는 아니된다(정보통신망이용촉진 및 정보보호등에 관한 법률 제49조).
10)본 사례에서는 원고가 피고회사에게 정신적 손해배상만을 청구하였습니다.
11) 인터넷상에서의 개인정보 유출 사례는 아닙니다.
1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 “개인정보처리시스템”이라 한다)에 대한 접근권한의 부여•변경•말소 등에 관한 기준의 수립•시행
2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치•운영
3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단
4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영
5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치
3 법 제28조 제1항 제3호에 따라 정보통신서비스 제공자 등은 접속기록의 위조•변조 방지를 위하여 다음 각호의 조치를 하여야 한다.
1. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인•감독
2. 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관
4 법 제28조 제1항 제4호에 따라 정보통신서비스 제공자 등은 개인정보가 안전하게 저장•전송될 수 있도록 다음 각호의 보안조치를 하여야 한다.
1. 비밀번호 및 바이오정보(지문, 홍채, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 말한다)의 일방향 암호화 저장
2. 주민등록번호 및 계좌정보 등 금융정보의 암호화 저장
3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신•수신하는 경우 보안서버 구축 등의 조치 4. 그 밖에 암호화 기술을 이용한 보안조치
5 법 제28조 제1항 제5호에 따라 정보통신서비스제공자 등은 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검•치료할 수 있도록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로 갱신•점검하여야 한다.
6 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.
12) 대법원 2012.12.26. 선고 2011다 59834 판결
13) 서울중앙지방법원 2010. 1.14. 선고 2009가합88186 판결
14) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조 제1항, 동법 시행령 제15조 제6항에 따른 “개인정보의 기술적•관리적 보호조치 기준”고 시 참조
15) 법 제28조 (개인정보의 보호조치)
1 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실ᆞ도난ᆞ누출ᆞ변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각호의 기술적ᆞ관리적 조치를 하여야 한다.
1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립ᆞ시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ᆞ운영
3. 접속기록의 위조ᆞ변조 방지를 위한 조치
4. 개인정보를 안전하게 저장ᆞ전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치ᆞ운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
16) 시행령 제15조 (개인정보의 보호조치)
1 법 제28조 제1항 제1호에 따라 정보통신서비스 제공자 등은 개인정보의 안전한 취급을 위하여 다음 각호의 내용을 포함하는 내부관리계획을 수립•시행하여야 한다.
1. 개인정보 관리책임자의 지정 등 개인정보보호 조직의 구성•운영에 관한 사항
2. 개인정보취급자의 교육에 관한 사항
3. 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항
2 법 제28조 제1항 제2호에 따라 정보통신서비스 제공자 등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인 정보가 저장•관리되고 있는 이용자 수가 일일평균 100만 명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억 원 이상인 정보통신서비스 제공자등만 해당한다.
17) 재산상의 손해는 입증 부족을 이유로 배척되었습니다.
18) 개인정보보호 종합지원 포털 www.privacy.go.kr의 각종 정보 참고