.판례속보.[대법원 2015. 2. 12. 선고 주요판례]옥션 개인정보 유출사건
2013다43994, 2013다44003(병합) 손해배상(기) (다) 상고기각
◇제3자의 해킹으로 정보통신서비스제공자가 보유하고 있던 개인정보가 유출된 사건과 관련하여, 정보통신서비스제공자가 이용자의 개인정보가 도난․누출되지 않도록 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지를 판단하는 기준◇
구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(2008. 2. 29. 법률 제8852호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제28조 제1항은 “정보통신서비스제공자 등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실․도난․누출․변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적․관리적 조치를 하여야 한다.”고 규정하고 있다. 그리고 구 정보통신망법 제28조 제1항의 위임을 받은 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙」(2008. 9. 23. 행정안전부령 제34호로 전부 개정되기 전의 것, 이하 ‘구 정보통신부령’이라 한다) 제3조의3 제1항은 정보통신서비스제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 기술적․관리적 조치로 ‘개인정보의 안전한 취급을 위한 내부관리계획의 수립 및 시행(제1호)’, ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근통제장치의 설치․운영(제2호)’, ‘접속기록의 위조․변조 방지를 위한 조치(제3호)’, ‘개인정보를 안전하게 저장․전송할 수 있는 암호화기술 등을 이용한 보안조치(제4호)’, ‘백신소프트웨어의 설치․운영 등 컴퓨터바이러스 방지 조치(제5호)’, ‘그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치(제6호)’를 규정하고 있다. 따라서 정보통신서비스제공자는 구 정보통신부령 제3조의3 제1항 각호에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적․관리적 조치를 취하여야 할 법률상 의무를 부담한다.
나아가 정보통신서비스제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실․도난․누출․변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다.
그런데 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스제공자가 구축한 네트워크나 시스템 및 그 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 아니한 점, 해커 등은 여러 공격기법을 통해 정보통신서비스제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적인 점 등의 특수한 사정이 있으므로, 정보통신서비스제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스제공자의 업종․영업규모와 정보통신서비스제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가능성, 정보통신서비스제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다.
특히 구 정보통신부령 제3조의3 제2항은 “정보통신부장관은 제1항 각호의 규정에 의한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”고 규정하고 있고, 이에 따라 정보통신부장관이 마련한 「개인정보의 기술적․관리적 보호조치 기준」(정보통신부 고시 제2005-18호 및 제2007-3호, 이하 ‘이 사건 고시’라 한다)은 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스제공자가 구 정보통신망법 제28조 제1항에 따라 준수해야 할 기술적․관리적 보호조치를 구체적으로 규정하고 있으므로, 정보통신서비스제공자가 이 사건 고시에서 정하고 있는 기술적․관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다.
#판례속보
#대법원판례