검색
판결전문 서울중앙지방법원 2017가합585293

손해배상(기)

판결

서울중앙지방법원 제30민사부 판결

 

사건2017가합585293 손해배상()

원고AA, 소송대리인 법무법인 대송, 담당변호사 김지환

피고주식회사 □□□코리아닷컴, 소송대리인 법무법인 충정, 담당변호사 박주홍, 조성환, 김민지

변론종결2018. 10. 25.

판결선고2018. 12. 20.

 

주문

1. 원고의 청구를 기각한다.

2. 소송비용은 원고가 부담한다.

 

청구취지

피고는 원고에게 478,242,531원 및 이에 대하여 2017. 11. 30.부터 이 사건 소장 부본 송달일까지 연 5%, 그 다음날부터 다 갚는 날까지는 연 15%의 각 비율로 계산한 돈을 지급하라.

 

이유

1. 기초사실

. 당사자의 지위

피고는 전자상거래에 의한 금융업 등을 영위하는 회사로서 온라인 가상화폐 거래소인 ◇◇(www.○○○○○○○.com)’(이하 ◇◇'이라 한다)을 운영하고 있고, 원고는 ◇◇을 통하여 비트코인 등 가상화폐 거래를 하여 온 사람이다.

. 이 사건 사고로 인한 원고의 손해 발생

원고는 2017. 11. 30. 09:02:59경부터 같은 날 09:03:26경까지 ◇◇에서 보유하고 있던 가상화폐를 매도하면서, ◇◇ 원고의 계정에 478,242,531원 상당의 KRW 포인트(◇◇ 내에서 가상화폐나 각종 상품권을 구매하는데 사용되고, 1KRW 포인트는 원화 1원과 동등한 가치를 갖는다)를 보관하게 되었고, 원고는 같은 날 10:01:54◇◇에서 로그아웃하였다.

그런데, 같은 날 11:27:46경 해커로 추정되는 성명불상자가 원고가 사용하는 아이피 주소(182.***.***.***)가 아닌 다른 아이피 주소(27.***.**.***)◇◇ 원고 계정에 로그인을 하였다가 약 13초 뒤인 11:27:59경 로그아웃하였다. 성명불상자는 다시 같은 날 19:44:59경 위 아이피 주소(27.***.**.***)◇◇ 원고 계정에 로그인하였고, 같은 날 19:46경부터 19:52경까지 4회에 걸쳐 가상화폐인 이더리움(원고의 계정에 보관되어 있던 KRW 포인트는 그 이전 이더리움으로 교환되었다)을 외부로 출금해 줄 것을 요청하였으며, 위와 같이 출금 요청된 이더리움은 같은 날 20:01경부터 20:06경까지 4회에 걸쳐 피고의 직원 임EE의 승인을 받아 외부로 출금되었고, 그 결과 ◇◇ 원고의 계정에는 121원 상당의 KRW 포인트와 0.7794185 이더리움만이 남게 되었다(이하 이 사건 사고라 한다).

한편, 같은 날 오후 8시 이전쯤에 원고는 컴퓨터를 통해 ◇◇에 로그인을 하기 위해 아이디(이메일 주소)와 로그인 비밀번호를 입력하였는데, 이 경우 보안비밀번호 4자리1)를 입력하라는 화면이 나와야 할 것이나, 평소와 달리 휴대폰으로 전송되는 6자리의 인증코드를 입력하라는 화면이 나왔다. 원고는 휴대폰으로 전송되는 6자리의 인증코드를 입력하였으나 로그인에 계속 실패하다가, 같은 날 20:11경에야 ◇◇ 원고 계정에 로그인할 수 있었고, 그리하여 원고 계정에 있는 KRW 포인트가 위와 같이 사라진 사실을 알게 되었다.

 

[각주1] 피고는 2017. 7. 12.부터 보안을 강화하기 위해 2단계 로그인 방식을 시행하였는데, 2단계 로그인 방식은 첫 번째 단계로 아이디와 로그인 비밀번호를 입력하고, 두 번째 단계로 보안비밀번호 4자리를 입력하거나 별도의 OTP 어플을 통하여 발급된 6자리의 숫자를 입력해야 ◇◇에 로그인할 수 있는 방식이다.

 

. 2017. 6.경 개인정보유출사고 발생 및 이에 대한 방송통신위원회의 처분

1) 개인정보유출사고의 발생

성명불상의 해커는 피고의 직원 채용기간 중인 2017. 4. 28. 피고와 자문계약관계에 있던 이BB에게 원격제어형 악성코드가 포함된 이력서.hwp” 파일을 첨부한 스피어피싱2)메일을 발송하였고, 이를 실행한 이BB의 컴퓨터가 위 악성코드에 감염되었다. 그러자 성명불상의 해커는 이BB의 컴퓨터에서 ◇◇ 회원 31,506명의 개인정보가 들어 있는 “2017년 회원관리정책.xlsx”(피고의 직원 김CC2016. 2. 26.부터 2017. 7. 15.까지 총 560여 차례 서버에서 추출한 자료로 작성한 파일로, BB2017. 4. 16. 피고의 직원 강DD으로부터 위 파일을 이메일로 전송받아 컴퓨터에 저장하고 있었다) 외 다수의 파일을 외부로 유출하였다.

 

[각주2] 스피어피싱(Spear phishing)이란 특정한 개인이나 회사를 대상으로 이메일이나 전자통신사기를 통해 수신자의 개인정보를 요청하거나 정상적인 문서파일을 위장한 악성코드를 실행하도록 하는 공격기법이다.

 

또한 성명불상의 해커는 2017. 4. 1.부터 2017. 6. 29.까지 3,534개의 아이피에서 약 200만 번의 사전대입공격3)을 시도하였고, 그 결과 4,981개의 ◇◇ 계정(아이디, 비밀번호)이 탈취되었으며, 그 중 226개 계정은 가상화폐 출금이 이루어져 이용자 피해가 있는 것으로 확인되었다.

 

[각주3] 사전대입공격(Dictionary Attack이란 비밀번호로 사용될 만한 문구들을 사전(Dictionary)과 같은 형태로 만든 뒤 프로그램을 통해 위 문구들을 대입하여 비밀번호를 알아내는 방법이다.

 

2) 방송통신위원회의 처분

방송통신위원회는 2017. 12. 12. “피고가 2017. 4. 1.부터 2017. 6. 29.까지 있었던 약 200만 번의 사전대입공격을 탐지하지 못한 행위는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법이라 한다) 28조 제1항 제2호 등을 위반하였고, 피고의 직원 강DD이 이용자정보 31,506건이 포함된 “2017년 회원관리 정책.xlsx” 파일을 암호화하지 않고 개인용 컴퓨터에 저장하고, 위 파일을 강DD으로부터 전송받은 이BB 역시 암호화하지 않고 위 파일을 개인용 컴퓨터에 저장한 행위는 정보통신망법 제28조 제1항 제4호 등을 위반하였으며, BB이 이메일을 통해 파일을 송수신하는 컴퓨터를 사용하면서도 한글프로그램을 업데이트 하지 않고 백신소프트웨어를 설치하거나 업데이트하지도 않은 행위는 정보통신망법 제28조 제1항 제5호 등을 위반하였고, 피고의 직원 김CCUSB 또는 파일서버를 통해 개인정보를 복사하면서 이를 전달한 기록을 남기지 않은 행위는 정보통신망법 제28조 제1항 제6호에 위반하였다.”는 이유로 정보통신망법 제64조 제4, 64조의3 1항 제6, 76조 제1항 제3호 등4)에 의하여 피고에게 시정조치명령과 과징금 43,500,000, 과태료 13,500,000원을 부과하였다.

 

[각주 4] 64(자료의 제출 등)

과학기술정보봉신부장관 또는 방송통신위원회는 이 법을 위반한 정보통신서비스 제공자등에게 해당 위반행위의 중지나 시정을 위하여 필요한 시정조치를 명할 수 있고, 시정조치의 명령을 은은 정보통신서비스 제공자등에게 시정조치의 명령을 받은 사실을 공표하도록 할 수 있다. 이 경우 공표의 방법·기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.

64조의3(과징금의 부과 등)

방송통신위원회는 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.

6. 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 경우로서 제28조 제1항 제2호부터 제5호까지(67조에 따라 준용되는 경우를 포함한다)의 조치를 하지 아니한 경우

76(과태료)

다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만 원 이하의 과태료를 부과한다.

3. 28조 제1(67조에 따라 준용되는 경우를 포함한다)에 따른 기술적·관리적 조치를 하지 아니한 자

 

. 관련 규정

정보통신망법, 전자금융거래법, 개인정보의 기술적·관리적 보호조치 기준(방송통신위원회 고시 제2015-03) 중 이 사건과 관련된 부분은 별지 기재와 같다.

[인정근거] 다툼 없는 사실, 갑 제1, 2호증, 갑 제3호증의1, 2, 갑 제4, 6, 9, 10, 20, 25, 26호증, 을 제2, 3호증의 각 기재, 이 법원의 방송통신위원장에 대한 사실조회 결과, 변론 전체의 취지

 

2. 당사자의 주장

. 원고

1) 피고가 법인등기부에 전자상거래에 관한 금융업, 결제대금예치업, 전자화폐 환전 및 중개업, 신문업을 목적으로 한다고 기재하고 있고, 금융업과 유사한 서비스를 제공하는 점을 고려할 때 피고에게는 사실상 금융기관에 요구되는 정도와 같은 고도의 보안조치가 요구된다고 할 것이므로, 피고에게도 전자금융거래법이 적용 또는 유추적용된다. 따라서 피고는 전자금융거래가 안전하게 처리될 수 있도록 선관주의의무를 다해야 하고(전자금융거래법 제21조 제1), 정보통신망에 침입하여 거짓이나 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다(전자금융거래법 제9조 제1항 제3).

나아가 ◇◇ 계정 로그인 기록에는 매도, 매수, 송금기록이 남는 것이 당연함에도, ◇◇ 원고의 계정 로그인 기록에는 해커로 추정되는 성명불상자가 2017. 11. 30. 19:44경부터 20:05경까지 원고의 계정에서 KRW 포인트로 이더리움을 매수하고, 매수한 이더리움을 출금해버린 기록이 남아있지 않은바, 이는 누군가가 피고의 정보통신망에 침입하여 획득한 ◇◇ 원고 계정의 이용권한으로 원고에게 손해를 가하였음을 의미한다. 따라서 피고는 전자금융거래법 제9조 제1항 제3호에 의하여 원고에게 478,242,531원의 손해를 배상할 책임이 있다.

2) 피고는 ◇◇에서 가상화폐 거래가 있을 경우 수수료를 받고 있고, ◇◇ 서비스 이용 과정에서 발생하는 이자 수입을 서비스 제공대가로 갖게 되므로(◇◇ 이용약관 제17조 제4, 20조 제1), 원고와 피고 사이에는 ◇◇ 계정에 보관되어 있는 가상 화폐에 대한 유상임치계약이 체결되었다고 할 수 있고, 피고는 유상임치계약상 선관주의의무를 부담한다고 할 것이며, 선관주의의무의 입증책임은 피고에게 있다.

그런데 피고는 스피어피싱과 사전대입공격으로 인하여 ◇◇ 계정의 개인정보를 유출당한 적이 있고, 원고가 손해를 입은 이후인 2018. 6. 20.에도 ◇◇이 해킹 피해를 입기도 하는 등 유상임치계약상 선관주의의무를 다 하지 못하고 있고, 이로 인해 이 사건 사고가 발생하여 원고가 손해를 입었으므로, 피고는 원고에게 478,242,531원의 손해를 배상할 책임이 있다.

. 피고

1) 피고는 전자금융거래법 제2조 제3항의 금융회사, 2조 제4호의 전자금융업자, 2조 제5호의 전자금융보조업자에 해당하지 않음이 명백하므로, 피고에게 전자금융거래법을 적용 또는 유추적용할 수 없다.

2) 스피어피싱과 사전대입공격에 의한 ◇◇ 계정의 개인정보 유출은 원고의 손해와 관계가 없고, 피고는 위 개인정보 유출 사건 이후 2단계 로그인 방식을 시행하는 등 보안정책을 강화하였으므로, 이 사건 사고 당시 선관주의의무를 다하였다.

 

3. 판단

. 피고에게 전자금융거래법을 유추적용할 수 있는지 여부

살피건대, 전자금융거래법은 전자금융거래의 법률관계를 명확히 하여 전자금융거래의 안전성과 신뢰성을 확보함을 목적으로 하고 있고(1), 금융위원회의 설치 등에 관한 법률 등 관련 법률에 정해진 자만을 금융회사로, 금융위원회로부터 허가, 등록을 받거나 지정된 자만을 전자금융업자, 전자금융보조업자로 정하고 있는데(2조 제3, 4, 5, 28조 제1, 2), 피고는 금융회사, 전자금융업자, 전자금융보조업자에 해당하지 않는 점, 전자금융거래법이 정하고 있는 전자지급수단 중 하나인 전자화폐5)는 일정 이상의 지역에서 일정 이상의 재화 또는 용역을 구입할 수 있고 발행자에 의해 현금 또는 예금으로 교환이 보장될 것을 요건으로 하고 있으나(2조 제14호 가목, 15호 가 내지 마목), 피고가 중개하고 있는 비트코인 등 가상화폐는 일반적으로 재화 또는 용역을 구입하는데 이용될 수 없고, 그 가치의 변동폭도 커 현금 또는 예금으로 교환이 보장될 수 없으며 주로 투기적 수단으로 이용되고 있으므로, 전자금융거래법에서 정한 전자화폐에 해당한다고 볼 수 없고, 전자금융거래법상 다른 전자지급수단에 해당한다고 볼 수도 없는 점, 전자금융거래법은 금융회사, 전자금융업자 및 전자금융보조업자가 선관주의의무를 다하지 못할 경우 과태료를 부과하도록 정하고 있고(전자금융거래법 제21조 제1, 51조 제1항 제1), 전자금융거래법에서 정한 사고가 발생하여 이용자에게 손해가 발생할 경우 금융회사 또는 전자금융업자는 원칙적으로 과실이 없어도 이용자에게 손해를 배상할 책임이 있고, 면책사유가 있음을 입증해야 책임을 면할 수 있는바(전자금융거래법 제9조 제1, 2), 위와 같이 무거운 책임을 부과하는 전자금융거래법 규정은 엄격하게 해석·적용할 필요가 있는 점 등을 종합하면, 금융위원회의 허가 없이 가상화폐거래를 중개하는 피고에게 전자금융업자에 준하여 전자금융거래법을 적용 또는 유추적용하는 것은 타당하지 않다. 따라서 이와 다른 전제에 선 원고의 이 부분 주장은 더 나아가 살필 필요 없이 모두 이유 없다.

 

[각주5] 전자화폐의 발행 및 관리업무를 행하고자 하는 자는 금융위원회의 허가를 받으면 전자금융업자가 될 수 있다(전자금융거래법 제28조 제1).

 

. 유상임치계약상 선관주의의무위반을 원인으로 한 손해배상책임 성립 여부

살피건대, 앞에서 본 사실과 을 제2, 3, 4호증의 각 기재 및 변론 전체의 취지에 의하여 인정되는 다음과 같은 사정을 종합하면, 피고가 원고와의 유상임치계약에 의한 선관주의의무를 다하지 못하였다고 인정하기 부족하고, 설령 피고가 선관주의의무를 다하지 못하였다고 하더라도 원고의 손해와 사이에 인과관계가 있다고 보기도 부족하며, 달리 이를 인정할 증거가 없다.6)따라서 원고의 이 부분 주장 역시 이유 없다.

 

[각주6] 선관주의의무위반으로 인한 손해배상책임의 발생에 관하여는 입증책임의 전환에 관한 명문의 규정이 없는 이상 손해배상책임을 주장하는 원고에게 그 입증책임이 있음이 당연하므로, 입증책임이 전환된다는 취지의 원고의 주장은 이유 없다.

 

2017. 4. 1.부터 2017. 6. 29. 사이 스피어피싱과 사전대입공격에 의하여 유출된 ◇◇ 개인정보에 원고의 개인정보가 포함되었다고 인정할 증거가 존재하지 않는다.

현재까지도 이 사건 사고 당시 해커로 추정되는 성명불상자가 어떠한 방법으로 원고의 개인정보를 취득하여 ◇◇ 원고의 계정에 로그인하였는지 알 수 없다.

앞에서 본 바와 같이 이 사건 사고 당시 성명불상자는 원고가 주로 사용하는 아이피 주소(182.***.***.***)가 아닌 다른 아이피 주소(27.***.**.***)로 접속을 한 것으로 보이기는 한다. 그러나, 하나의 회원이 컴퓨터뿐만 아니라 스마트폰 등 다수의 디바이스를 이용하여 ◇◇에 접속할 수 있고, 스마트폰과 같은 휴대가 가능한 디바이스는 접속 위치나 시간에 따라 아이피 주소가 변경될 수 있는 것이 현실이므로, 피고가 평소와 다른 아이피 주소를 통한 이용자의 접속을 막지 않았다고 하여 선관주의의무를 다하지 못한 것으로 보기는 어렵다.7)

 

[각주7] 개인정보의 기술적·관리적 보호조치 기준 제4조 제5항은 개인정보처리시스템에 대한 접속권한을 제한하는 규정이고, 피고가 이용자의 접속 아이피를 제한해야 한다는 규정이 아니다.

 

④ ◇◇에서 가상화폐를 외부로 전송하기 위해서는 관리자가 수동으로 승인하는 절차를 거쳐야 하는데, 이 사건 사고 당시 피고의 직원인 임EE4회에 걸친 원고 계정의 이더리움 출금 요청을 승인하여 이러한 절차를 거쳤다(출금 요청시각은 19:46경부터 19:52경까지이고, 출금 시각은 20:01경부터 20:06경까지이므로, 출금요청 승인은 그 사이에 이루어진 것으로 보인다). 또한 위 , 에서 본 사정에 의하면, 피고의 직원은 이 사건 사고 당시 ◇◇ 원고 계정의 로그인이 비정상적이라는 징후를 발견할 수 없었을 것으로 보이므로, 위 직원이 이더리움 전송 행위를 승인하였다고 하여 선관주의의무를 다하지 못한 것으로 볼 수도 없다.

이 사건 사고 당시 피고는 2017. 11. 30. 19:46경부터 20:03경까지 10회에 걸쳐 출금 인증 코드 문자메시지를 원고의 휴대폰으로 전송하여 원고 계정에 있는 이더리움에 대한 출금절차가 진행되고 있음을 알렸음에도 원고가 위 메시지를 수신하지 못한 사정에 비추어 볼 때, 피고의 ◇◇ 관리와 무관하게 원고의 휴대폰이 해킹당하거나 복제 당하였을 가능성을 배제하기 어렵다.

또한 이 사건 사고 당시 원고가 2017. 11. 30. 오후 8시 이전쯤 컴퓨터로 ◇◇에 로그인을 하기 위해 아이디(이메일 주소)와 로그인 비밀번호를 입력하자, 보안비밀번호 4자리를 입력하라는 화면이 아닌 휴대폰으로 전송되는 6자리의 인증코드를 입력하라는 화면이 나왔는데, 피고는 휴대폰으로 전송되는 6자리의 인증코드를 입력하는 방식의 인증방식을 채택한 사실이 없다. 그렇다면 피고의 ◇◇ 관리와 무관하게 성명 불상의 해커가 미리 원고의 컴퓨터에 파밍8)을 해 놓았고, 이에 따라 원고는 실제 ◇◇의 홈페이지가 아닌 파밍페이지에 접속하면서 성명불상의 해커에 의해 개인정보를 탈취 당하였을 가능성 역시 배제하기 어렵다.

 

[각주8] 파밍(Pharming)이란 악성코드에 감염된 컴퓨터를 조작해 이용자가 정상적인 홈페이지 주소로 접속하여도 파밍페이지로 접속하도록 유도한 뒤에 개인정보 등을 탈취하는 신종 범죄수법이다.

 

4. 결론

그렇다면 원고의 이 사건 청구는 이유 없으므로 이를 기각하기로 하여 주문과 같이 판결한다.

 

 

판사 이상현(재판장), 조용희, 구준모

미국변호사