손해배상(기)

【전문】

【원고, 항소인】

원고 (소송대리인 법무법인 에이엘 담당변호사 양남주)

【피고, 피항소인】

주식회사 ○○○ (소송대리인 법무법인 민후 담당변호사 김나영)

【제1심판결】

서울남부지방법원 2023. 3. 3. 선고 2021가소568939 판결

【변론종결】

2023. 11. 9.

【주 문】

1. 원고의 항소를 기각한다.
2. 항소비용은 원고가 부담한다.

【청구취지 및 항소취지】

제1심판결을 취소한다. 피고는 원고에게 300,000원과 이에 대하여 이 사건 소장 부본 송달 다음날부터 다 갚는 날까지 연 12%의 비율로 계산한 돈을 지급하라.

【이 유】

1. 기초사실
 
가.  피고는 리포트, 논문, 자기소개서, 시험자료 등의 거래 중개를 포함하는 온라인 지식거래 서비스를 제공하는 △△△ 웹사이트(이하 ‘이 사건 웹사이트’)를 운영하면서 원고를 포함한 가입 회원들 의 ID, 비밀번호, 성명, 생년월일, 이메일 주소 등의 개인정보파일을 운용하기 위하여 스스로 개인정보를 처리하는 개인정보보호법 상의 개인정보처리자이다.
 
나.  원고는 2001. 4. 10. 이 사건 웹사이트에 회원으로 가입하면서 피고에게 ‘ID, 비밀번호, 성명(원고), 생년월일, 성별(남), 전화번호, 이메일 주소’ 등 개인정보를 제공하였다.
 
다.  2021. 9. 10.부터 2021. 9. 13. 사이에 신원미상의 해커가 이 사건 웹사이트를 해킹하여 원고를 비롯한 회원 403,298명의 이메일 주소, 비밀번호 등 개인정보가 유출되는 사고(이하 ‘이 사건 사고’)가 발생하였는데, 원고의 경우 비밀번호와 이메일 주소가 유출되었다.
 
라.  피고는 2021. 9. 13. 10:00경 자체 모니터링 과정에서 이 사건 사고가 발생한 사실을 인지하고, 2021. 9. 16. 개인정보보호위원회, 사이버경찰청 등에 사고발생사실을 신고하였고 , 2021. 9. 17. 원고를 비롯한 회원들에게도 문자와 이메일, 홈페이지 안내를 통하여 사고발생사실을 알리고 비밀번호 변경 등을 권고하는 내용의 통지를 하였다.
 
마.  개인정보보호위원회 는 2021. 12. 10.부터 2022. 7. 7.까지 이 사건 사고에 대한 피고의 개인정보 취급·운영 실태 및 개인정보보호법 위반여부를 조사한 다음, 2022. 9. 14. ‘피고가 운영 중인 웹방화벽을 비활성화하는 등 해킹 공격을 정상적으로 탐지·차단하지 못하였으며, SQL 쿼리와 같은 웹서버 입력값에 대한 검증 과정이 없는 등 홈페이지 취약점 점검을 하지 않아 이용자의 개인정보가 열람 권한이 없는 자에게 공개되도록 하였다’는 사실을 확인하고, 피고의 이런 행위가 개인정보보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 같다) 제29조, 같은 법 시행령(2023. 9. 12. 대통령령 제33723호로 개정되기 전의 것, 이하 같다) 제48조의2 제1항 제2호의 안전조치의무위반에 해당된다고 판단하여 위 법령의 관련 규정에 따라 피고에게 과징금 1,210만 원 과 과태료 1,020만 원 을 부과하는 의결을 하였다.
 
바.  이 사건 사고로 유출된 원고의 비밀번호는 대표적인 대칭키 암호 알고리즘의 하나인 AES-128 방식과 SHA-512 방식으로 암호화된 텍스트에 내부 정의된 텍스트를 추가하고 MD암호화된 것인데, 이 사건 사고로 대칭키가 유출되지는 않았다.
[인정근거] 다툼 없는 사실, 갑 1, 2, 3, 을 23, 26, 27, 28의 각 기재, 변론 전체의 취지
2. 당사자의 주장
 
가.  원고
피고는 이 사건 웹사이트의 개인정보처리시스템에 대한 외부의 접근통제를 소홀히 한 고의 또는 중과실로 원고의 개인정보를 유출하였고, 이로 인하여 이 사건 사고 이후 스팸메일을 받고 있고, 비밀번호가 유출되어 보이스피싱 등 2차 피해 발생 우려되는 등 정신적 손해를 입었으므로, 피고는 원고에게 개인정보보호법 제39조의2 제1항에 따라 법정손해배상금으로 30만 원 및 이에 대한 지연손해금을 지급할 의무가 있다.
 
나.  피고
이 사건 사고로 유출된 원고의 정보는 이메일 주소와 암호화된 비밀번호인데, 원고가 주장하는 스팸메일로 인한 피해는 이 사건 사고로 이메일 주소가 유출된 것과 관련이 없고, 비밀번호는 암호화되어 있어 2차 피해가 발생할 가능성이 거의 없다. 따라서 원고 주장의 손해와 이 사건 사고 사이에 인과관계가 없고, 또한 위와 같은 사정을 고려하면 이 사건 사고로 원고에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 볼 수 없다.
3. 청구원인에 관한 판단
 
가.  개인정보보호법 관련 규정
제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다. 제39조(손해배상책임) ① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. ③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. 제39조의2(법정손해배상의 청구) ① 제39조 제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. ② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다. ③ 제39조에 따라 손해배상을 청구한 정보주체는 사실심의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.
 
나.  관련 법리
개인정보를 처리하는 자가 수집한 개인정보를 피용자가 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다(대법원 2012. 12. 26. 선고 2011다59834, 59858, 59841 판결 등 참조).
 
다.  판단
1) 먼저 위 기초사실에 의하면, 이 사건 사고로 원고의 개인정보가 유출되었고, 피고가 이에 관하여 고의 또는 과실이 없다는 점을 주장·입증하고 있지 않으므로, 이 사건 사고는 개인정보보호법 제39조의2가 규정하는 법정손해배상청구의 대상이 된다.
2) 다음 위 규정에 의한 법정손해배상책임을 구하는 경우 손해발생의 입증책임이 완화되어 피해자는 구체적인 손해발생의 개연성을 입증하는 것으로 족하다고 볼 것인데, 사회통념상 이메일 주소 등 개인정보가 유출되는 것은 정보주체의 개인정보자기결정권을 침해하는 것으로 정신적 손해를 발생시킬 개연성이 있다고 봄이 타당하므로, 이 사건 사고로 인하여 원고에게 손해가 없다고 볼 수 없다. 이 사건 사고와 원고 주장의 정신적 손해 사이에 인과관계가 없다는 피고의 주장은 받아들이지 아니한다.
3) 나아가 이 사건 사고로 인하여 원고에게 위자료로 배상할 만한 정신적 손해가 발생하였는지를 위 법리에 따라 보건대, 다음과 같은 사정에 비추어 볼 때, 원고가 이 사건 사고로 인한 개인정보 유출로 불안감이나 불쾌감 등 정신적 고통이 없다고 볼 수 없으나, 그것을 금전으로 위자할 정도의 정신적 손해로 보기는 어렵다 .
① 갑 제4, 5호증의 기재에 의하면, 이 사건 사고 이후 2021. 9. 16.부터 2021. 9. 23. 사이에 원고의 이메일 주소로 스팸메일 2건과 스팸메일로 의심되는 메일 1건이 보내진 사실은 인정되나, 원고가 이 사건 사고 전후 위 이메일 주소로 보내진 스팸메일의 횟수나 내용 등을 확인할 추가 증거(메일 수신 내역 등)를 제출하지 않고 있으므로, 위 스팸메일이 이 사건 사고로 원고의 이메일 주소가 유출된 것과 어떤 연관관계가 있는지 확인되지 않는다.
② 이메일은 개인의 사회적·경제적 활동을 위한 필수적 수단이고, 온라인 상에서 이메일 주소가 개인의 식별 표지 중 하나로 이용되기도 하나, 이메일 주소가 유출되는 경우라도 원하지 않는 메일을 수신하게 될 가능성이 생기는 것일 뿐 이메일 자체의 본질적 기능이나 이에 대한 정보주체의 지배에 있어 의미 있는 제한이 가해진다고 보기는 어렵다.
③ 이메일 주소가 그 정보주체에 관한 추가적인 개인정보와 함께 유출된 것이 아니라면 그것만으로 정보주체를 식별할 가능성이 생긴다고 보기는 어렵고, 스팸메일이 보내지는 것 외에 추가적인 피해가능성이 있다고 보기도 어렵다. 따라서 이메일 주소는 다른 개인정보와 비교하여 직접적인 식별정보나 민감정보는 아니라고 볼 수 있다.
④ 이 사건 사고 발생 이후 약 2년이 지난 변론종결일 현재까지 원고의 이메일 주소가 이 사건 웹사이트를 해킹한 해커가 아닌 제3자에게 유출되었다는 정황은 보이지 않고, 원고의 비밀번호의 경우 암호화되어 있어 타인이 이를 이용할 가능성도 상정하기 어렵다.
⑤ 피고가 개인정보보호법 제29조의 안전조치의무를 제대로 이행하였다면 이 사건 사고가 방지되었을 개연성이 있다고 보이나, 피고의 위 안전조치의무 위반을 개인정보 유출행위 자체와 동일시할 수 없고, 원고의 개인정보 유출에 대하여 피고에게 중과실이 있다고 볼 수 없다 .
⑥ 피고는 이 사건 사고를 인지한 이후 유출 정보 내역을 확인한 다음 개인정보보호위원회와 사이버경찰청에 사고 발생사실을 신고하고, 원고에게도 정보유출사실을 통보하고 비밀번호 변경을 요청하여 피해 발생 및 확산을 방지하기 위한 나름의 조치를 하였다.
3) 따라서 이 사건 사고로 금전으로 위자할 정도의 정신적 손해(고통)를 입었음을 전제로 하는 원고의 주장은 받아들이기 어렵다.
4. 결론
그렇다면 원고의 청구는 이유 없으므로 기각할 것인바, 제1심판결은 이와 결론을 같이하여 정당하므로, 원고의 항소를 기각하기로 하여, 주문과 같이 판결한다.