법무법인 율하 - 고객의 행복을 항상 생각합니다

소송상담전화

정지훈 변호사

051-503-8804

최병주 변호사

051-952-1001

박지현 변호사
이재규 변호사
전경민 변호사

<송무전담>

051-507-8208~9

<파산전담>

051-866-7930~1

법무법인 율하는 고객의 행복을 항상 생각합니다

홈으로
뉴스 / 판례
법률 / 판례

뉴스 / 판례

법률 / 판례

Legal Information

다양한 최신 법률정보를 알려드립니다 .

정보보기
제목	해킹에 의해 인터넷 오픈마켓 사이트의 회원의 정보가 유출됐다면?
내용	[사건 현황] -대법원 2015. 2. 12.선고 2013다43994, 44003(병합) 판결 (제1부, 주심 고영한 대법원)->원고 간OO 외 22,650명, 피고 1, (주)이베이코리아, 2. 인포섹(주) -대법원 2015. 2. 12.선고 2013다64847, 64854(병합), 64861(병합), 판결(제1부, 주심 고영한 대법원)->원고 강OO 외 10,327명, 피고 (주)이베이코리아 -대법원 2015. 2. 12.선고 2013다48715, 48722(병합), 48739(병합), 48746(병합), 48753(병합) 판결(제2부, 주심 김창석 대법관)->원고 강OO 외 234명, 피고 (주)이베이코리아 -대법원 2015. 2. 12.선고 2013다16053 판결(제1부, 주심 김소영 대법관)->원고 양OO 외 2명, 피고 (주)이베이코리아 [사안의 내용] 원고들은 피고 옥션이 제공하는 상품 중개서비스를 이용하기 위하여 피고 옥션과 서비스 이용계약을 체결하고 피고 옥션의 인터넷 오픈마켓 사이트에 온라인 회원으로 가입하면서, 피고 옥션의 이용약관에 따라 피고 옥션에 이름, 주민등록번호, 휴대전화번호, 이메일 주소 등을 제공함. 2008. 1.초경 피고 옥션의 서버에 해킹사고가 발생하였는데, 경찰 수사 결과에 의하면 위 해킹사고는 중국인 해커로 추정되는 홍성 등이 2008. 1. 3.경 피고 옥션의 웹 서버 중 하나인 이노믹스 서버에 설치된 웹 어플리케이션 서버인 톰캣 서버에 초기설정상태인 아이디와 비밀번호로 접속하여 위 톰캣 서버의 관리자 페이지에 'job.war'라는 백도어 프로그램을 올렸고, 각종 해킹기법을 통해 이노믹스 서버에 침입하고 이 사건 데이터베이스 서버의 관리자 아이디와 암호화된 비밀번호를 알아낸 다음, 2008. 1. 4.경부터 2008. 1. 8.경까지 네 차례에 걸쳐 이 사건 데이터베이스 서버에 저장되어 있던 회원의 이름, 주민등록번호 등 피고 옥션의 회원정보를 누출한 것으로 추정됨. [소송의 경과] 원고들은 피고 옥션 등을 상대로 하여, 정보통신서비스제공자인 피고 옥션이 원고들의 개인정보가 도난, 누출되지 않도록 안전성 확보에 필요한 기술적, 관리적 조치를 다하지 않음으로써 원고들의 개인정보가 유출되었다고 주장하면서 손해배상을 청구함. 제1심과 원심은 정보통신서비스제공자인 피고 옥션이 해킹사고를 방지하기 위하여 취하여야 할 기술적, 관리적 조치 의무를 위반하지 않았다고 하여 원고들의 청구를 기각함. 이에 원고들은 대법원에 상고를 제기함 [사건의 쟁점] 정보통신서비스제공자가 이용자의 개인정보가 도난, 누출되지 않도록 안전성 확보에 필요한 기술적, 관리적 조치를 다하였는지 여부. [판결 결과 및 판단 요지] -주문의 요지->상고를 기각함 -판단의 요지 해킹 등 침해사고의 특수성 : 정보통신서비스가 '개방성'을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스제공자가 구축한 네트워크나 시스템 및 그 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 '해커'등의 불법적인 침입행위에 노출될 수 밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 아니한 점, 해커 등은 여러 공격기법을 통해 정보통신서비스제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하지 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적인 점 등의 특수한 사정이 있음. -정보통신서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무 위반의 판단 기준 : 정보통신서비스제공자가 구 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』(2008. 2. 29.법률 제8852호로 개정되기 전의 것. 이하 '구 정보통신망법'이라 한다) 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종.영업규모와 정보통신서비스제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가능성, 정보통신서비스제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 함. -이 사건의 경우 : 이 사건 해킹의 수법이나 당시의 보안기술 수준, 피고 옥션이 취하고있던 전체적인 보안조치의 내용과 수준 등 여러 사정을 고려하면, 피고 옥션이 원고들이 주장하는 바와 같이 구 정보통신망법 제28조 제1항에서 정한 기술적.관리적 조치를 취하여야 할 의무나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 의무를 위반하였다고 보기 어려움. [이 판결의 의의] 제3자의 해킹으로 정보통신서비스제공자가 보유하고 있던 개인정보가 유출된 사건과 관련하여, 정보통신서비스제공자가 이용자의 개인정보가 도난,누출되지 않도록 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지를 판단하는 기준을 처움으로 제시한 판결임. -대법원 뉴스레터-