【판시사항】

[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률로 보호되는 개인정보 누출의 의미 및 개인정보가 정보통신서비스 제공자의 관리·통제하에 있고 제3자에게 실제 열람되거나 접근되지 아니한 상태인 경우, 제3자가 인터넷 사이트를 통해 정보통신서비스 제공자가 보관하고 있는 개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수 있는지 여부(소극)

[2] 갑 주식회사가 개인휴대통신서비스를 제공하는 을 주식회사로부터 웹사이트의 시스템 점검을 위하여 아이디와 비밀번호를 임시로 부여받았다가 시스템 점검 후 아이디와 비밀번호를 삭제하지 아니하여 위 웹사이트에 휴대폰번호를 입력하면 가입자의 개인정보가 서버로부터 전송되는 상태에 있었음을 이유로 을 회사의 서비스에 가입한 병 등이 을 회사 등을 상대로 개인정보 누출로 인한 손해배상을 구한 사안에서, 병 등의 개인정보가 을 회사의 관리·통제권을 벗어나 제3자가 내용을 알 수 있는 상태에 이르게 되었다고 볼 수 없다고 한 사례

【판결요지】

[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률로 보호되는 개인정보의 누출이란 개인정보가 해당 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미하는바, 어느 개인정보가 정보통신서비스 제공자의 관리·통제하에 있고 개인정보가 제3자에게 실제 열람되거나 접근되지 아니한 상태라면, 정보통신서비스 제공자의 기술적·관리적 보호조치에 미흡한 점이 있어서 제3자가 인터넷상 특정 사이트를 통해 정보통신서비스 제공자가 보관하고 있는 개인정보에 접근할 수 있는 상태에 놓여 있었다고 하더라도 그것만으로 바로 개인정보가 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 내용을 알 수 있는 상태에 이르게 되었다고 할 수는 없다.

[2] 갑 주식회사가 개인휴대통신서비스를 제공하는 을 주식회사로부터 서버와 연동하는 웹사이트의 시스템 점검을 위하여 서버와 연동할 수 있는 아이디와 비밀번호를 임시로 부여받았으나 시스템 점검 후 아이디와 비밀번호를 삭제하지 아니하여 위 웹사이트의 폰정보 조회 페이지에 휴대폰번호를 입력하면 휴대폰번호 가입자의 개인정보가 서버로부터 전송되는 상태에 있었음을 이유로, 을 회사가 제공하는 개인휴대통신서비스에 가입한 병 등이 을 회사 등을 상대로 개인정보 누출로 인한 손해배상을 구한 사안에서, 위 웹사이트의 폰정보 조회 페이지에 병 등의 휴대폰번호를 입력하기 전에는 병 등의 개인정보는 서버에 그대로 보관된 채 아무런 접근이 이루어지지 않으며 을 회사가 관리·통제권을 행사하여 위 웹사이트와 서버가 더 이상 연동하지 않도록 함으로써 병 등의 개인정보에 대한 접근과 전송 가능성을 없앨 수 있었던 상태에 있었으므로, 병 등의 휴대폰번호가 위 웹사이트의 폰정보 조회 페이지에 입력되었는지가 확인되지 않은 상황에서 위 웹사이트와 서버가 연동하고 있었다 하더라도 병 등의 개인정보가 을 회사의 관리·통제권을 벗어나 제3자가 내용을 알 수 있는 상태에 이르게 되었다고 볼 수 없다고 한 사례.

【참조조문】

[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제3조 제1항, 제28조 제1항, 제32조 [2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제3조 제1항, 제28조 제1항, 제32조

【전 문】

【원고, 상고인】별지 원고 명단 기재와 같다. (소송대리인 법무법인 으00뜸 담당변호사 00)

0
【피고, 피상고인】주식회사 00000 외 1인 (소송대리인 변호사 000 외 4인)

【원심판결】서울고법 2011. 2. 10. 선고 2009나119131, 119148 판결

【주 문】

상고를 모두 기각한다. 상고비용은 원고들이 부담한다.

【이 유】

상고이유(상고이유서 제출기간이 경과한 후에 제출된 각 상고이유보충서면의 기재는 상고이유를 보충하는 범위 내에서)를 판단한다.

1. 상고이유 제1점에 관하여

정보통신망 이용촉진 및 정보보호 등에 관한 법률로 보호되는 개인정보의 누출이란 개인정보가 해당 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미하는바, 어느 개인정보가 정보통신서비스 제공자의 관리·통제하에 있고 그 개인정보가 제3자에게 실제 열람되거나 접근되지 아니한 상태라면, 정보통신서비스 제공자의 기술적·관리적 보호조치에 미흡한 점이 있어서 제3자가 인터넷상 특정 사이트를 통해 정보통신서비스 제공자가 보관하고 있는 개인정보에 접근할 수 있는 상태에 놓여 있었다고 하더라도 그것만으로 바로 개인정보가 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되었다고 할 수는 없다.

원심이 확정한 사실과 이 사건 기록에 의하면, 주식회사 필링크(이하 ‘필링크’라고 한다)는 2005. 10.경 피고 주식회사 엘지유플러스(이하 ‘피고 엘지유플러스’라고 한다)의 2G 서버(이하 ‘2G 서버’라고 한다)와 연동하는 엠샵사이트의 시스템이 제대로 작동하는지를 점검하기 위하여, 피고 엘지유플러스의 CP(Contents Provider)인 주식회사 코디너스(이하 ‘코디너스’라고 한다)로부터 2G 서버와 연동할 수 있는 코디너스의 아이디와 비밀번호인 ‘○○○○○○’를 임시로 부여받은 사실, 필링크는 위 아이디와 비밀번호를 이용하여 2G 서버와 연동하는 시스템이 성공적으로 구축되었음을 확인하였지만, 그 시스템 점검 후에도 엠샵사이트에서 위 아이디와 비밀번호를 삭제하지 아니하여 엠샵사이트와 2G 서버가 계속 연동하고 있었던 사실, 엠샵사이트와 2G 서버의 연동은 엠샵사이트의 ‘폰정보 조회’ 페이지에 특정 휴대폰번호를 입력한 다음, 이를 2G 서버로 전송하면 위 휴대폰번호 가입자의 주민등록번호, 가입일, 휴대폰 기종, 통신사 등의 개인정보가 2G 서버로부터 엠샵사이트로 전송되는 방식으로 이루어지고, 그중 주민등록번호, 가입일 등의 개인정보는 피고 엘지유플러스의 2G 서버로부터 엠샵사이트의 ‘폰정보 조회’ 페이지로 전송되는 URL을 분석하여야 알 수 있는 사실, 한편 소외인이 2008. 3. 21. 엠샵사이트의 ‘폰정보 조회’ 페이지를 분석하여 자신이 운용하는 (인터넷 주소 생략) 서버에 ‘휴대폰정보 조회’ 페이지를 만들어 피고 엘지유플러스 가입자 583명의 주민등록번호가 조회되자, 피고 엘지유플러스는 2008. 3. 25. 코디너스로 하여금 비밀번호를 강제로 변경하게 하여 엠샵사이트의 ‘폰정보 조회’ 페이지에서 피고 엘지유플러스 가입자의 개인정보를 더 이상 조회할 수 없게 된 사실, 원고들은 피고 엘지유플러스의 가입자인데, 원고 130이 스스로 자신의 휴대폰번호를 엠샵사이트의 ‘폰정보 조회’ 페이지에 입력하여 그 개인정보가 전송된 적이 있을 뿐, 이 경우를 제외하면 원고들의 휴대폰번호가 엠샵사이트의 ‘폰정보 조회’ 페이지에 입력되어 피고 엘지유플러스의 2G 서버로부터 엠샵사이트로 위와 같은 개인정보가 전송되었음이 확인되지 않은 사실 등을 알 수 있다.

이러한 사실관계에 의하면, 엠샵사이트의 ‘폰정보 조회’ 페이지에 원고들의 휴대폰번호를 입력하여야만 비로소 2G 서버로부터 엠샵사이트로 위와 같은 개인정보가 전송되어 누출되는 것이고, 휴대폰번호를 입력하기 전에는 위와 같은 개인정보는 2G 서버에 그대로 보관된 채 아무런 접근이 이루어지지 않으며 피고 엘지유플러스가 관리·통제권을 행사하여 엠샵사이트와 2G 서버가 더 이상 연동하지 않도록 함으로써 원고들의 개인정보에 대한 접근과 전송 가능성을 없앨 수 있었던 상태에 있었으므로, 달리 원고들의 휴대폰번호가 엠샵사이트의 ‘폰정보 조회’ 페이지에 입력되었는지가 확인되지 않은 이 사건에 있어서 엠샵사이트와 2G 서버가 연동하고 있었다 하더라도 이를 가리켜 곧바로 원고들의 개인정보가 피고 엘지유플러스의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되었다고 볼 수 없다.

같은 취지의 원심의 판단은 정당하고, 거기에 상고이유의 주장과 같은 정보통신서비스 제공자가 보관하는 개인정보의 누출에 관한 법리오해나 이유불비 등의 위법이 있다고 할 수 없다.

2. 상고이유 제2점 내지 제5점에 관하여

가. 위에서 살핀 바와 같이 엠샵사이트의 ‘폰정보 조회’ 페이지를 통해서 원고들의 개인정보가 누출되었다고 볼 수 없으므로, 원고들이 자신들의 개인정보가 누출되었음을 전제로 원심이 개인정보 누출로 인한 원고들의 정신적 손해 발생을 인정하지 아니하였음을 다투는 상고이유는 더 나아가 살펴볼 필요 없이 이유 없다.

또, 코디너스가 엠샵사이트에 CP 아이디와 비밀번호를 부여하고 이를 곧 삭제하지 않아 일정기간 엠샵사이트와 2G 서버가 연동하고 있도록 함으로써 피고들의 개인정보의 기술적·관리적 보호조치 의무나 안전성 확보조치 의무의 불이행 또는 피고 학교법인 숭선학원의 2G 서버에 대한 침입금지의무의 위반이 있었다 하더라도, 엠샵사이트의 ‘폰정보 조회’ 페이지를 통한 원고들의 개인정보 누출이 인정되지 않는 이상, 원고들이 그로 인하여 사생활의 비밀과 자유를 침해당하였다고 볼 수 없으므로, 같은 취지에서 원고들의 손해배상 청구를 받아들이지 아니한 원심의 판단은 정당하고, 거기에 상고이유의 주장과 같은 채증법칙 위반, 이유불비나 이유모순, 판단누락 등의 위법이 있다고 할 수 없다.

나. 다만 원고 130, 214의 경우에는 소외인의 ‘휴대폰정보 조회’ 페이지에서 동인들의 주민등록번호가 조회되어 위 원고들의 개인정보가 누출되었다고 할 것이지만, 원심이 적법하게 채택한 증거들에 의하여 알 수 있는 다음과 같은 사정들, 즉 위 원고들은 소외인의 친구로서 원고 130이 먼저 소외인에게 ‘폰정보 조회’ 페이지로 주민등록번호를 알 수 있다고 알려준 점, 원고 214는 소외인을 위하여 수사기관에 탄원서까지 제출한 점 등을 종합하면, 소외인에 의해 위 원고들의 개인정보가 누출되었다고 하더라도 위 원고들이 금전으로 위자하여야 할 정도의 정신적 고통을 받았다고 볼 수 없다. 같은 취지의 원심의 판단은 정당하고, 거기에 상고이유의 주장과 같은 개인정보 누출로 인한 정신적 고통 발생에 관한 법리오해, 채증법칙 위배, 변론주의 위반 등의 위법이 없다.

3. 상고이유 제6점에 관하여

원심판결의 이유에 의하면, 원심은 피고 엘지유플러스가 원고들의 동의를 받지 아니하고 코디너스에 원고들의 개인정보를 제공하여 사생활의 비밀과 자유가 침해되어 정신적 고통을 받았다는 원고들의 주장에 대해, 코디너스가 피고 엘지유플러스의 2G 서버에 접속할 수 있는 아이디와 비밀번호를 부여받아 그 서버가 2G 서버와 연동하고 있어 2G 서버에 저장된 원고들의 주민등록번호가 코디너스에 제공될 수 있는 상태에 있었다 하더라도 실제로 원고들의 주민등록번호가 코디너스에 제공되지 아니한 이상, 원고들의 사생활의 비밀과 자유가 침해되었다거나 원고들이 정신적 고통을 받았다고 볼 수 없다고 판단하였다.

기록에 비추어 살펴보면 원심의 위와 같은 판단은 정당한 것으로서 수긍할 수 있고, 거기에 상고이유 주장과 같은 개인정보의 무단제공으로 인한 권리침해나 정신적 고통에 관한 법리오해, 변론주의 위반 등의 위법이 없다.

4. 결론

상고를 모두 기각하고, 상고비용은 패소자들이 부담하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.

[[별 지] 원고들 명단: 생략]

대법관   000(재판장) 000 000 000(주심)

(출처 : 대법원 2014.05.16. 선고 2011다24555 판결[손해배상(기)·손해배상(기)] > 종합법률정보 판례)