[민사/판례] 싸이월드 해킹 사건과 압축프로그램 알집(ALZIP) 이야기

[민사/판례] 싸이월드 해킹 사건과 압축프로그램 알집(ALZIP) 이야기

최근 핫한 SNS인 인스타그램이나 페이스북보다 훨씬 더 이른 시기에 국내 SNS 시장을 독점했던 '싸이월드'. 허세와 감성 사이 촉촉했던 그 싸이월드가 곧 돌아온다는 뉴스가 심심찮게 보이곤 한다.

그 시절 '허세근석'으로 유명했던 장근석. 지금 다시 보니 허세가 아니라 낭만이 느껴진다.

 

대학생 시절에는 나 역시 싸이월드에 완전히 중독된 상태였다. 매일매일 내 미니홈피 투데이에 민감했으며, 일촌평이 두 페이지를 넘어갔을 때 느꼈던 보람찬(??) 감정은 여전히 잊을 수 없다. 허세를 가득 담아 작성했던 그 시절 싸이월드 다이어리의 감성이 가끔은 그리울 때도 있다. 스마트폰이 없었기에 네이트온으로 모든 것을 해결했고, 네이트온과 연계되어 있던 싸이월드 파도타기를 하느라 시간 가는 줄 몰랐던 그때 그 시절이 어느덧 15년 가까이 지나버렸다.

 

어쨌든, 국내에서 그렇게 독점적 시장 점유를 하고 있던 싸이월드는 PC 중심의 커뮤니티에서 스마트폰 중심의 커뮤니티로 전환 되어가는 트렌드에 발맞추지 못하고 결국 폐쇄라는 결말을 맞이했다. 그런데, 단순히 트렌드만 따라가지 못한 것이 아니다. 지금은 많이 잊혔지만, 싸이월드의 개인정보 해킹 사건으로 인하여 민심 자체가 싸이월드에서 돌아섰던 것이 한몫했던 것으로 기억한다. 물론 스마트폰으로도 매우 사용이 용이했던 페이스북의 등장이 가장 큰 타격이었겠지만 말이다.

 

싸이월드는 2011년, 중국의 어느 해커로부터 개인정보 저장 DB를 해킹당하여, 이용자의 성명, 주민등록번호, 이메일, 아이디, 비밀번호 등을 모두 통째로 유출 당하는 초유의 피해를 보았다. 사람들의 분노는 어마어마했다. 많은 사람들은 이러한 피해를 보상받기 위해 집단으로 소송에 나아가기도 하는 등, 개인정보를 제대로 관리하지 못한 싸이월드에 대해 공분했다. 

 

'개인정보'를 관리하는 관리주체는 그 개인정보가 유출되지 않도록 최선의 노력을(합리적인 보호조치를) 다해야 한다. 이 경우에는 싸이월드, 보다 정확하게는 싸이월드의 운영주체였던 SK커뮤니케이션즈가 개인정보의 관리주체에 해당했다. 일단 해킹을 당하여 모든 개인정보를 유출당했다는 결과는 발생한 이후였기에, 개인정보 유출 피해자들과 싸이월드 간 소송의 쟁점은 '싸이월드가 개인정보 보호를 위한 최선의 노력을 다했는가'에 집중되었다.

 

싸이월드 측에서는 자신들이 개인정보 관리주체로서 최선의 노력을 다했음에도 중국 해커의 교묘하고도 치밀한 해킹에 피해를 당한 것이라고 주장했다. 실제로 당시 싸이월드는 국내 최고의 정보보안 업체인 안철수연구소(현 안랩)를 비롯한 보안 업체들과 계약을 체결해놓은 상태이기도 했고, '와이즈허브시스템즈'라는 회사와 DLP 솔루션을 체결한 상태이기도 했음에도 해킹을 막을 수 없었다.

 

그러나 개인정보 유출 피해자들과 고등법원의 의견은 달랐다. 이 사건 해킹이 벌어진 경위에 조금 더 주목한 것이다. 이 사건 해킹의 시초가 된 것은 다름아닌, 유명 압축프로그램인 알집(ALZIP)이었다. 중국의 해커는 싸이월드에서 이 알집 프로그램을 사용한다고 예상했었는지, 알집 프로그램에서 이용되는 파일명인 ALAD.dll과 같은 이름의 악성 프로그램을 만들어서 싸이월드 내 개인정보 관리주체의 PC에 키로깅 파일을 설치하는 데에 성공하였다. 이후에는 키로깅 파일을 통해 관리 주체의 DB 접속 ID과 비밀번호를 파악했고, 결국 DB 전체를 훔쳐갈 수 있었던 것이다.

결국 모든 문제의 단초가 된 것은 ALAD.dll이라는 의미이다. 그런데, 알집의 개발사인 이스트소프트의 입장에선 매우 억울하고도 당황할 만한 사건이었다. 왜냐하면, ALAD.dll 파일은 기본적으로 알집의 '광고 정보'를 불러오는 기능을 수행하는 파일로서, '개인 배포용 알집' 프로그램에만 존재하는 파일명이었기 때문이다. 싸이월드, 더욱 크게는 SK와 같은 굴지의 국내 대기업의 경우에는 당연하게도 이용약관상 개인 배포용 알집이 아니라 기업 배포용 유료 소프트웨어 알집을 사용해야 하는 것이 원칙이고, 만약 싸이월드의 직원이 원칙대로 기업용 알집을 사용하였다면, 이 사건과 같이 ALAD.dll 파일로 인한 해킹을 당할 일 역시 없었을 것이다. 싸이월드로서는 너무나도 큰 망신이었다. 또한 이 부분은 고등법원에서 싸이월드가 개인정보 관리주체로서 합리적인 보호조치를 취하지 못했다는 판결을 하는 근거로 사용되기도 하였다.

이미지 출처 : https://www.chosun.com/site/data/html_dir/2011/08/12/2011081200155.html

그런데, 대법원에서는 이후 원심과 달리 이러한 판단을 뒤집었다. ALAD.dll 파일에만 초점을 맞춰서 본다면, 기업용 알집 프로그램에서 ALAD.dll 파일을 사용하지 않는 것은 사실이지만, 기업용 알집 프로그램의 업데이트 과정에서도 해당 파일은 다운로드되도록 설계되어있기 때문이라는 것이다. 

 

사실 나로서는 조금 이해가 되지 않는다. 이용자가 프로그램 일체를 다운받은 후, exe파일이 아니라 폴더 내에서 굳이 '.dll 파일'만을 찾아서 실행할 가능성이 있다는 것은, 일반적인 PC 이용자의 시선에서는 굉장히 부정적으로 느껴진다. 물론 판결에서는 실제 사람의 실행 여부가 아니라 '가능성이 있다'는 부분에 더욱 초점을 맞추었겠지만, 그래도 여전히 아쉬움이 남는 것은 사실이다. 

 

결국 대법원은 위 ALAD 파일과 더불어, FTP 등 다양한 이유를 들어 고등법원의 판결을 파기하였고, 나를 포함한, 싸이월드에 가입되어 있던 그 수많은 사람들의 개인정보는 모두 중국에 유출되었지만 누구 하나 싸이월드 측으로부터 보상을 받지는 못하였다. 우리나라 국민의 주민등록번호가 중국에선 공공재라는 우스갯소리가 나오기 시작한 것도 그즈음인 것 같다. 참담한 일이다. 

 

최근 뉴스에서 '싸이월드' 이야기가 나올 때면, 가슴 한 켠이 먹먹한 것은 이러한 사건 때문인지도 모르겠다. 또한 '블록체인' 기술과 함께 싸이월드가 부활한다는 얘기에 '혹시... 또?'라는 부정적인 시선을 거두기 어려운 점 역시 이러한 이유 때문일지 모르겠다.

 

어쨌든, 고등법원의 판단과 달리 싸이월드(SK커뮤니케이션즈)에게 개인정보 유출 피해자들에 대한 위자료 배상 책임이 없다고 인정한 대법원 2018. 6. 28. 선고 2014다20905 판결을 소개한다. 

 

---

 

대법원 2018. 6. 28. 선고 2014다20905 판결 [위자료]

원고, 피상고인     A 

피고, 상고인     에스케이커뮤니케이션즈 주식회사 

원심판결
대구지방법원 2014. 2. 13. 선고 2012나9865 판결

판결선고
2018. 6. 28.

주 문

원심판결 중 피고 패소부분을 파기하고, 이 부분 사건을 대구지방법원 합의부에 환송한다.

이 유

상고이유를 판단한다.

1. 소액사건에서 구체적 사건에 적용할 법령의 해석에 관한 대법원판례가 아직 없는 상황에서 같은 법령의 해석이 쟁점으로 되어 있는 다수의 소액사건들이 하급심에 계속되어 있을 뿐 아니라 재판부에 따라 엇갈리는 판단을 하는 사례가 나타나고 있는 경우에는, 소액사건이라는 이유로 대법원이 그 법령의 해석에 관하여 판단을 하지 아니한 채 사건을 종결한다면 국민생활의 법적 안전성을 해칠 것이 우려된다. 따라서 이와 같은 특별한 사정이 있는 경우에는 소액사건에 관하여 상고이유로 할 수 있는 '대법원의 판례에 상반되는 판단을 한 때'의 요건을 갖추지 아니하였더라도 법령해석의 통일이라는 대법원의 본질적 기능을 수행하는 차원에서 실체법 해석 · 적용의 잘못에 관하여 직권으로 판단할 수 있다고 보아야 할 것이다(대법원 2004. 8. 20. 선고 2003다1878 판결, 대법원 2008. 12. 11. 선고 2006다50420 판결 등 참조).

2. 가. 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전의 것, 이하 '구 정보통신망법'이라 한다) 제28조 제1항은 정보통신서비스 제공자가 개인정보를 취급할 때에는 개인정보의 분실 · 도난 · 누출 · 변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 그 각 호의 기술적 ·관리적 보호조치를 하여야 한다고 규정하고 있다. 이어 위 조항은 그 각 호로 '1. 개인 정보를 안전하게 취급하기 위한 내부관리계획의 수립 · 시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 · 운영 3. 접속기록의 위조 · 변조 방지를 위한 조치 4. 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치 5. 백신 소프트웨어의 설치 · 운영 등 컴퓨터바이러스에 의한 침해 방지조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치'를 규정하고 있다. 그리고 구 정보통신망법 제28조 제1항의 위임을 받은 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것, 이하 '구 정보통신망법 시행령'이라 한다) 제15조는 정보통신서비스 제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 위와 같은 기술적 · 관리적 조치를 보다 구체적으로 규정하고 있다. 따라서 정보통신서비스 제공자는 구 정보통신망법 제28조 제1항 등에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적 · 관리적 조치를 취하여야 할 법률상 의무를 부담한다.

나아가 정보통신서비스 제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원 정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스 제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실 · 도난 · 누출 · 변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다.

나. 그런데 정보통신서비스가 '개방성'을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스 제공자가 구축한 네트워크나 시스템과 그 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 '해커' 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다. 또한, 해커 등은 여러 공격기법을 통해 정보통신서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적이다. 이처럼 정보통신서비스 제공자가 취해야 할 개인정보의 안전성 확보에 필요한 보호조치에 관해서는 고려되어야 할 특수한 사정이 있다.

그러므로 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종 · 영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다.

다. 특히 구 정보통신망법 시행령 제15조 제6항은 "방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안 전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다."라고 규정하고 있다. 이에 따라 방송통신위원회가 마련한 「개인정보의 기술적 · 관리적 보호조치 기준」 (방송통신위원회 고시 제2011-1호, 이하 '이 사건 고시'라 한다)은 해킹 등 침해사고 당시의 기술 수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항 등에 따라 준수해야 할 기술적 · 관리적 보호조치를 구체적으로 규정하고 있다. 그러므로 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결 등 참조).

라. 다만, 이 사건 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다. 따라서 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다. 나아가 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다고 하더라도, 불법행위에 도움을 주지 말아야 할 주의의무를 위반하여 타인의 불법행위를 용이하게 하였고 이러한 방조행위와 불법행위에 의한 피해자의 손해 발생 사이에 상당인과관계가 인정된다면 민법 제760조 제3항에 따른 책임을 면할 수 없다(대법원 2007. 6. 14. 선고 2005다32999 판결 등 참조).

3. 원심판결 이유 및 원심이 적법하게 채택한 증거들에 의하면 다음과 같은 사실 또는 사정을 알 수 있다.

가. 원고는 정보통신서비스 제공자인 피고와 서비스 이용계약을 체결하고 피고가 제공하는 온라인 서비스인 네이트와 싸이월드에 회원으로 가입하면서, 피고의 서비스 이용약관에 따라 피고에게 이름, 주민등록번호, 아이디, 비밀번호, 전화번호, 이메일 주소 등의 개인정보를 제공하였다.

나. 2011. 7. 말경 피고의 서버에 해킹사고(이하 '이 사건 해킹사고'라 한다)가 발생하여 네이트 · 싸이월드 회원들의 개인정보가 유출되었는데, 경찰수사결과에 의하면 중국에 거주하는 것으로 추정되는 인적사항을 알 수 없는 해커(이하 '이 사건 해커'라 한다)가 아래와 같은 경로로 네이트 · 싸이월드 회원정보가 저장되어 있는 데이터베이스서버(이하 '이 사건 DB 서버'라 한다)에 침입하여 여기에 저장되어 있던 회원들의 개인 정보를 유출해 간 것으로 파악된다.

(1) 주식회사 이스트소프트(이하 '이스트소프트'라 한다)는 파일 압축 프로그램인 알 집을 국내 공개용, 국내 기업용, 공공기관용, 교육기관용, PC방용, 해외용 등으로 구분하여 공급하고 있다. 그 중 공개용 알집은 기업용 등 다른 제품과 달리 무료로 배포하는 대신 공개용 알집을 실행할 경우 프로그램 창의 상단에 광고가 게시되도록 하여 이를 통해 이익을 얻고 있다. 공개용 알집에는 위와 같이 광고가 게시될 수 있도록 광고 콘텐츠 서버로부터 광고 내용을 불러와서 이를 실행하는 역할을 하는 'ALAD.dll'이라는 파일이 포함되어 있어서, 공개용 알집을 최초로 설치하거나 업데이트하는 경우 위 ALAD.dll 파일이 이스트소프트의 알집 업데이트 서버로부터 사용자의 컴퓨터에 다운로드된다.

(2) 이 사건 해커는 정상적인 ALAD.dll 파일이 아닌, 같은 이름의 악성 프로그램인 ALAD.dll 파일을 만든 다음 알집 업데이트 웹사이트의 ISAPI 필터에 stmpxml.dll 파일을 등록하였다. 위 stmpxml.dll 파일이 ISAPI 필터에 등록되면 피고 등 선별된 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우, 이스트소프트가 설정한 본래의 다운로드 경로가 아니라 해커가 설정한 악성 프로그램 유포지에서 ALAD.dll을 다운로드받게 된다. 위 ALAD.dll은 악성 프로그램인 ALAD.exe을 생성 · 실행시키고, 이는 다시 키로깅(keylogging, 사용자가 키보드로 컴퓨터애 입력하는 내용을 몰래 가로채는 해킹 기법) 프로그램인 Nateon.dll 파일을 실행시켜 키보드 입력값이 컴퓨터에 파일로 저장되게 하는 악성 프로그램이다. 이에 따라 2011. 7. 18. 08:58:27경 피고의 컴퓨터가 알집 업데이트 과정에서 악성 프로그램인 위 ALAD.dll 파일을 최초로 다운로드받았다.

(3) 또한 이 사건 해커는 2011. 7. 21. 00:40경 피고의 데이터베이스(이하 'DB'라 한다) B팀 소속 직원인 C의 컴퓨터에 윈도우 예약작업을 이용하여, 해커가 미리 설정해놓은 임의의 도메인에 역접속을 시도하는 기능을 가진 악성프로그램인 nateon.exe를 유포하였다. 이에 따라 2011. 7. 21. 02:02경 C의 컴퓨터가 nateon.exe에 감염되었다.

(4) 이 사건 해커는 ① 2011. 7. 26. 02:07경 C의 컴퓨터를 경유하여 피고의 D의 아이디로 게이트웨이 서버에 접속한 후 이 사건 DB 서버에 침입하였고, ② 같은 날0342경부터 같은 날 0541경까지 이 사건 DB 서버에 저장되어 있는 개인정보를 덤프(dump) 파일로 생성하여 압축한 다음 이를 게이트웨이 서버에 내려받았으며, ③ 같은 날 06:21경부터 2011. 7. 27. 06:30경까지 파일전송 프로토콜(File Transfer Protocol, 인터넷을 통해 컴퓨터 간에 파일을 송수신하는 데 사용되는 통신규약. 이하 'FTP'라 한다)을 이용하여 위 개인정보 파일을 게이트웨이 서버에서 C의 컴퓨터와 D의 컴퓨터로 내려받은 다음 이를 대한민국 내 경유지인 에듀티에스 사이트를 거쳐 중국으로 전송하였다.

다. 이 사건 해킹사고 당시 피고는 침입차단 및 탐지의 목적으로 주식회사 안철수연구소, 인포섹 주식회사 등과 개인정보시스템에 대한 침입차단시스템 · 침입탐지시스템 설치, 유지보수 및 증설계약 등을 체결하여 침입차단시스템 · 침입탐지시스템을 설치 ·운영하고 있었다.

라. 이외에도 피고는 와이즈허브 시스템즈의 디엘피 솔루션(Data Loss Prevention Solution, 기밀 또는 중요 정보의 유출을 차단 · 예방하는 활동을 구현한 하드웨어 또는 소프트웨어. 이하 'DLP 솔루션'이라 한다)을 설치 · 운영하고 있었다. 이는 사용자 PC에 저장된 전자문서 및 데이터가 외부로 유출되는 것을 탐지 또는 차단, 로그를 생산하여 자료의 유출을 방지하고 감시 및 추적 기능을 제공하는 자료유출방지시스템이다. 위 DLP 솔루션은 이름, 주소, 전화번호, 이메일주소, 주민등록번호, 계좌번호 등 특정 패턴의 정보가 들어 있는 파일을 식별할 수 있고, 이들 정보가 특정 건수 이상 유출될 경우에는 관리자에게 경고를 발송하거나 유출을 차단시키는 등의 기능이 있었다.

마. 그런데 피고가 설치 · 운영하고 있던 침입탐지시스템과 DLP 솔루션은 이 사건 해킹 사고 당시 위와 같은 개인정보의 유출을 탐지하지 못하였다.

4. 원심은 위와 같은 사실관계를 기초로 다음과 같이 피고가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 · 계약상 의무를 위반하였다고 판단하였다.

가. 대용량 개인정보의 유출 탐지와 방지를 위한 기술적 · 관리적 보호조치의무 위반(1) 피고는 개인정보에 대한 불법적인 접근 및 유출을 차단하기 위하여 개인정보가 보관된 DB의 접속내역 및 DB에 접속하여 수행하는 업무내역을 감시(모니터링)하고, 통상적으로 수행되는 업무와 다른 형태의 업무가 수행되거나 비정상적인 트래픽이 발생할 경우 이를 탐지하여 보안관리자에게 즉시 경고함으로써 보안관리자가 이에 대해조처를 할 수 있도록 하는 침입탐지시스템을 갖출 법률상 · 계약상 의무가 있다.

(2) 피고는 이 사건 해킹사고 당시 침입차단시스템과 침입탐지시스템을 설치 · 운영하고 있었으나, 피고가 설정한 침입탐지시스템의 수준이 지나치게 완화되어 있어서 개인정보를 보호하기에 매우 부족한 수준이었다.

(3) 따라서 피고는 구 정보통신망법 제28조 제1항, 같은 법 시행령 제15조 및 이용자의 개인정보보호를 위한 적절한 보안시스템의 구축과 기술적 · 관리적 보호조치를 취할 계약상의 의무를 위반하여 개인정보에 대한 불법적인 접근을 차단하기 위한 침입탐지시스템을 적절히 운영하지 못한 잘못으로 이 사건 해킹사고 당시 개인정보의 유출을 탐지하지 못하였다고 봄이 타당하다.

나. 게이트웨이 서버와 DB 서버 관리자 PC에 보안상 취약한 FTP 방식의 프로토콜을 설정한 잘못

(1) 피고가 제정하여 내부적으로 시행해 온 개인정보보호 업무지침서 제26조 제4항에는 "개인정보 접근 PC에 대한 NULL session 접근이 불가능하도록 보안설정을 하고, telnet 및 ftp 서비스 등 보안상 취약한 서비스는 제공하지 않도록 한다."고 규정되어 있다. NULL session 접근이란 사용자인증을 거치지 않고 시스템에 접근하는 것을 말한다.

(2) 그럼에도 피고는 보안상 취약한 FTP가 게이트웨이 및 개인정보 접근권한이 있는 컴퓨터에서 기능하도록 하였다.

(3) 이로써 피고는 이 사건 해커가 FTP 방식으로 개인정보가 대량으로 외부에 유출되도록 하는 데에 기여하였다고 봄이 타당하다.

다. 피고 직원 컴퓨터에서 기업용이 아닌 국내 공개용 알집을 사용하는 것을 방지하지 않은 잘못

(1) 이스트소프트의 라이센스 정책에 의하면 국내 공개용 알집은 개인이 가정에서 사용하는 용도로만 무료로 제공되며, 피고와 같은 기업은 국내 기업용 알집을 유료로 구매 또는 대여하여 사용하여야 한다.

(2) 그럼에도 피고는 직원들이 국내 공개용 알집을 사용하는 것을 방지하지 않은 잘못으로 이스트소프트의 알집 저작권을 침해하였다.

(3) 국내 공개용 알집이 이 사건 해킹사고의 도구로 이용된 점, 국내 공개용 알집이 국내 기업용 알집보다 보안이 취약하여 국내 공개용 알집을 사용할 경우 개인정보 유출 가능성이 증가하는 점 등에 비추어 볼 때, 피고가 직원들의 공개용 알집의 사용을 방지하지 않은 잘못과 이 사건 해킹사고 발생 사이에 상당인과관계를 인정할 수 있다.

라. 보안강도가 낮은 개인정보 암호화 방식을 사용한 잘못

(1) 피고는 구 정보통신망법 제28조 제1항 제4호, 같은 법 시행령 제15조 제4항 제1호, 이 사건 고시 제6조에 따라 개인정보를 안전한 방법으로 암호화하여 저장하여야 하고, 특히 비밀번호의 경우 일방향 해쉬함수를 통해 암호화하여 안전하게 저장할 의무가 있다.

(2) 피고는 이 사건 해킹사고 발생 당시 MD5 방식의 해쉬함수를 이용하여 회원들의 비밀번호를 암호화하여 저장하고 있었는데, MD5는 그 보안강도가 다른 해쉬함수에 비해 낮아서 일반적으로 권고되지 않는 암호화 방법이다.

(3) 따라서 피고는 비밀번호 등 개인정보를 안전한 방법으로 저장할 의무를 위반하였다고 봄이 타당하다.

5. 그러나 원심판결 이유를 앞에서 본 법리에 비추어 살펴보면, 원심의 판단은 다음과 같은 이유에서 그대로 수긍하기 어렵다.

가. 먼저 국내 공개용 알집 프로그램의 사용에 관한 원심의 판단을 살펴본다.

앞에서 본 법리에 비추어 보면, 정보통신서비스 제공자가 직원들로 하여금 보안에 취약하여 해킹도구로 악용될 우려가 있는 프로그램을 사용하지 않도록 하는 것은, 비록 이 사건 고시에서 정하고 있는 기술적 · 관리적 보호조치에는 해당하지 않으나, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치에 해당한다. 따라서 정보통신서비스 제공자가 이러한 보호조치를 다하지 아니하였다면 위법행위로 평가될 수 있다. 또한 정보통신서비스 제공자가 이러한 보호조치를 미이행하여 제3자가 이와 같이 보안에 취약한 프로그램을 해킹도구로 악용하여 개인정보 도난 등의 행위를 하는 것을 용이하게 하였다면 이는 불법행위에 도움을 주지 말아야 할 주의의무를 위반한 것이다. 만약 이러한 방조행위와 피방조자의 불법행위 사이에 상당인과관계가 인정된다면 공동불법행위자로서의 책임을 면할 수 없다.

그러나 원심이 인정한 것과 같이 국내 공개용 알집 프로그램이 보안에 취약한 프로그램이고 피고에게 직원들의 위 프로그램 사용을 방지하지 못한 과실이 있다고 하더라도, 피고가 이스트소프트의 저작권이 침해된다는 것을 넘어서서 이 사건 해킹사고와 같이 알집 업데이트 사이트가 변조되어 알집 업데이트 과정에서 악성 프로그램을 다운로드받게 됨으로써 해킹수단으로 이용될 것까지 구체적으로 예견할 수 있었다고 인정하기 어렵다.

또한 다음과 같은 사정들을 종합해 보면, 이 사건 해킹사고 당시 피고의 직원들이 국내 기업용 알집을 사용하고 있었는지 아니면 국내 공개용 알집을 사용하고 있었는지와 관계없이 업데이트 과정에서 악성 프로그램인 ALAD.dll 파일을 내려받아 키로깅 프로그램인 Nateon.dll 파일이 실행되었을 가능성을 배제하기도 어렵다.

① 국내 기업용 알집 프로그램도 업데이트 시 업데이트 서버로부터 국내 공개용 알 집 프로그램과 동일한 ALAD.dll 파일이 포함된 업데이트 파일을 전송받고, 공개용 알 집과 기업용 알집의 업데이트 서버가 같다.

② 국내 기업용 알집 프로그램은 국내 공개용 알집 프로그램과는 달리 ALAD.dll 파일을 사용하지 않도록 프로그램되어 있다. 그러나 이 사건 해커가 만든 악성 프로그램의 파일 이름이 ALAD.dll로 국내 공개용 알집 프로그램의 업데이트 과정에서 다운로드되는 파일과 동일하기는 하나, 이는 키로깅 프로그램을 실행시키도록 하는 파일이다. 따라서 국내 기업용 알집이 위와 같이 프로그램되어 있다고 하여 악성 프로그램인 ALAD.dll 파일도 실행되지 않았을 것이라고 단정하기는 어렵다.

따라서 피고에게 위와 같은 과실이 있다고 하더라도 그 과실과 이 사건 해킹사고로 인하여 원고가 입은 손해 사이에 상당인과관계가 인정된다고 보기 어렵다.

그럼에도 불구하고 원심은 그 판시와 같은 이유만으로 피고의 과실과 이 사건 해킹 사고로 원고가 입은 손해 사이에 상당인과관계가 인정된다고 판단하였다. 이러한 원심판단에는 상당인과관계에 관한 법리를 오해하여 판결에 영향을 미친 위법이 있다. 이 점을 지적하는 상고이유 주장은 이유 있다.

나. 원심의 나머지 판단 부분 역시 다음과 같은 이유로 수긍하기 어렵다.

(1) 원심이 적법하게 채택한 증거들과 기록에 의하면, 다음과 같은 사정을 알 수 있다.

(가) 대용량 개인정보의 유출 미탐지 등과 관련하여

① 이 사건 해킹사고 당시 피고는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 이 사건 고시 등 관련 법령에 따라 침입차단시스템과 침입탐지시스템을 설치 · 운영하고 있었고, 위 시스템에는 이 사건 고시 제4조 제5항 제휵 2호에서 정한 기능이 포함되어 있었다.

② 이외에도 피고는 자료유출방지 시스템인 DLP 솔루션을 설치 · 운영하고 있었으나, 당시 DLP 솔루션은 command 상태(일명 DOS창)에서 FTP명령을 실행하여 파일을 전송할 경우 이름, 주소, 전화번호, 이메일 주소 등 개인정보 유출을 탐지하지 못하는 프로그램 오류(bug)가 있었다. 또한 이 사건 해킹 사고 당시 DLP 솔루션의 설치는 피고와 동종업계 사업자들 사이에서 보편적으로 사용되던 기술적 조치는 아니었다.

③ 이 사건 해커는 이 사건 DB 서버에 침입하여 이용자들의 개인정보를 덤프 파일로 생성 · 압축하였기에 그 파일 용량이 10GB 정도에 불과하였다.

④ 한편 구 정보통신망법 제46조의3 제1항, 「정보보호조치 및 안전진단 방법 · 절차 · 수수료에 관한 지침」 (방송통신위원회 고시 제2010-3호) 제5조 제1항 [별표 3]에 의하면, '주요정보통신서비스 제공자 및 인터넷접속역무 제공자'와 '집적정보통신시설사업자(단, 집적정보통신시설재판매사업자 제외)'는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 기술적 보호조치 중 하나인 '트래픽 모니터링'(2.1.1.)에 대한 안전진단을 받아야 할 의무가 있는데, 피고는 위와 같은 사업자에 해당하지 않는다.

(나) FTP 방식의 프로토콜 설정과 관련하여

① 피고의 개인정보보호 업무지침서 제26조 제4항은 개인정보 접근 PC에서 FTP 서비스를 제공하는 행위, 즉 개인정보 접근 PC를 FTP 서버로 설정하는 행위를 금지하고 있다.

② 그런데 이 사건 해킹사고는 개인정보 접근 PC에서 FTP 서비스를 제공함으로써 발생한 것이 아니라 해커가 개인정보 접근 PC를 FTP 클라이언트로 사용하여 개인정보를 전송한 것이다.

③ 한편 이 사건 해킹사고 당시 FTP 프로그램이 아니더라도 네이트온 등의 메신저, 대용량 웹 메일서비스, 웹서버 업로드, 간이 전자우편 전송 프로토콜(Simple Mail Transfer Protocol) 등 다양한 프로그램이나 방식을 이용하여 대량정보 전송이 가능했다.

(다) 개인정보 암호화 방식과 관련하여

① 구 정보통신망법 제28조 제1항 제4호에서는 '개인정보를 안전하게 저장· 전송할 수 있는 암호화기술 ㎡ 이용한 보안조체를 하여야 한다고 규정하고 있고, 이에 따라 같은 법 시행령 제15조 제4항 제1, 2호 및 이 사건 고시 제6조 제1, 2항에서는 비밀번호는 일방향 암호화하여, 주민등록번호는 암호화하여 각 저장하도록 규정하고 있다. 일방향암호화란 원래의 자료에 함수를 적용하여 얻은 결과(이를 '해쉬 값'이라 한다)를 구하는 것은 간단하지만, 해쉬 값에서 원래의 자료를 구하는 것은 어려운 특성이 있는 일 방향 해쉬함수를 통해 암호화하는 것을 의미한다.

② 방송통신위원회와 한국인터넷진흥원이 2009년도에 발간한 이 사건 고시 해설서에서는 2010년까지는 보안강도 80비트 이상의 해쉬함수를, 2011년 이후에는 보안강도 112비트 이상의 해쉬함수를 각 사용할 것을 권고하고 있다. 그러나 80비트 이하의 보안강도를 가진 SHA-1도 현재 광범위하게 사용되고 있으며, 그 안전성 유지기간이 2010년까지라고 기재되어 있다.

③ 이 사건 해킹사고 당시 피고는 이 사건 고시 제6조 제1, 2항에 따라 이용자의 비밀번호를 일방향 암호화하고, 주민등록번호도 별도로 암호화하여 저장 · 관리하고 있었다. 다만, MD5는 보안강도가 80비트 이하인 일방향 해쉬함수를 사용한 암호화 방식이다.

④ 한편 암호화 방식에 따라 암호를 해독하는 데 걸리는 시간이 다를 뿐 어떠한 암호화 방식을 사용하더라도 암호화된 자료를 원래의 자료대로 만드는 것이 결국에는 가능하다. 따라서 설령 피고가 비밀번호를 MD5가 아닌 다른 해쉬함수를 이용하여 암호화하였다고 하더라도, 이 사건 해킹사고를 통해 암호화된 상태로 유출된 원고의 개인정보는 원래의 자료대로 노출될 가능성이 상당하다.

(2) 이와 같이 이 사건 해킹사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 피고의 업종 · 영업규모와 피고가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전정도에 따른 피해 발생의 회피 가능성 등을 종합적으로 살펴보면, 원심 판시와 같이 이 사건 해킹사고 당시 피고가 설치 · 운영하고 있던 침입탐지시스템이나 DLP 솔루션이 개인정보 유출을 탐지하지 못했고 게이트웨이 서버 등에 FTP 클라이언트 프로그램이 설치되어 있었으며 MD5 방식의 해쉬함수를 이용한 암호화 방식으로 이용자들의 비밀번호를 저장하고 있었다고 하더라도, 그러한 사정만으로는 피고가 이 사건 해킹사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하지 않았다고 볼 수 없다. 따라서 피고가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다.

(3) 그런데도 원심은 피고가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 · 계약상 의무를 위반하였다고 판단하였다. 이러한 원심의 판단에는 구 정보통신망법 제28조 제1항 제2호의 해석 등에 관한 법리를 오해하여 판결에 영향을 미친 위법이 있다. 이 점을 지적하는 상고이유 주장은 이유 있다.

6. 그러므로 원심판결 중 피고 패소부분을 파기하고, 이 부분 사건을 다시 심리 · 판단하도록 원심법원에 환송하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.

재판장 대법관  박상옥 
          대법관  김 신 
          대법관  이기택 
   주심 대법관  박정화