검색
2013년 분야별 중요판례분석

[2013년 분야별 중요판례분석] ⑫ IT법

최승재 변호사(김앤장 법률사무소 )

I. 들어가며

2013년 정부의 핵심 국정과제인 창조경제를 구현하기 위한 핵심이 ICT 산업 진흥 및 융합의 활성화에 있다는 것이고, 이를 위해서 미래창조과학부가 만들어졌다. 그리고 이를 법제적으로 실현하기 위하여 '정보통신 진흥 및 융합 활성화 등에 관한 특별법(소위 "ICT 특별법")'이 2013년 제정되었다.

이런 분위기에서 IT법 분야의 2013년을 소송의 관점에서 회고하면 가장 중요한 사건은 역시 개인정보보호와 관련된 사건이라고 생각된다. 매년 개인정보 사건들에 대해서 소개하였으나 2013년만큼 개인정보 문제나 잊혀질 권리(right to be forgotten)와 같은 인터넷 상에서의 개인정보삭제요청권에 대한 국민적인 관심을 받은 해는 없었던 것 같다. 개인정보보호 필요성이 부각되어 개인정보 데이터베이스의 암호화를 의무화하는 등 여러 가지 조치를 취한 2011년 9월 30일 시행된 '개인정보보호법'과 기존의 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(이하 '정통망법') 등 개인정보보호관련 법규의 수와 양은 증가하고 있지만, 개인정보 유출 사고는 계속되고 있고 피해의 정도도 커지고 있다.

이 상황에서 개인정보보호법이 다른 법과의 관계에서 보완적인 기능을 하도록 하는 입법방향을 취함으로써 법제의 분절(分節)화의 문제는 여전히 제도적인 보완을 요구하는 부분이다. 앞으로도 기업들은 정보를 지속적으로 수집하려고 하고, 정보의 양이 많아질수록 침해되는 증가하는 편익만큼이나 발생하는 위험의 크기도 증가할 것이다.

II. 해킹(hacking)과 정보보관자의 고객정보유출 관련 책임

1. 판례의 유형화


개인정보 사건은 GS 칼텍스 사건처럼 내부자 유출형 사건이 있다.(=1유형) IT인력이 외주화되면서, 외주개발업체의 직원이나 외부 인력이 관리하면서 이들이 유출시키는 경우도 증가하고 있다. 법원은 GS 칼텍스 사건의 경우 고객정보가 유출되었다고 하더라도 유출범이 개인정보를 팔기 전에 검거되어 유출된 정보의 도용으로 인한 추가피해(=2차적인 피해)가 발생하지 않았고, 피해의 우려조차 인정하지 않아 손해배상을 부정한 바 있다. 2유형으로 옥션 사건이나 SK컴즈 사건처럼 해킹으로 인해서 정보유출이 발생하는 경우가 있다. 이 경우 법원은 피해가 인정된다고 하더라도 기업들이 법령에서 요구하는 수준의 보안조치를 다하면 배상의무가 없다고 보아 역시 손해배상책임을 부정한 바 있다. 이러한 판례의 태도에 의할 때, 정통망법 등 관계법령이 요구하는 수준의 기술적, 관리적 조치를 다했다고 인정할 만큼의 개인정보보호시스템을 구축하는데 투자를 하면, 여전히 해킹으로 인한 손해배상책임에 대해서는 면책을 구할 수 있다. 방송통신위원회로부터 정보보호 관리체계(ISMS) 인증을 받으면, 설령 사고가 발생하더라도 면책되거나 감경될 가능성이 있다.
한편 형사사건으로 2013년 6월 서울중앙지방법원은 보안조치를 취하지 않아 고객 개인정보가 대량 유출되었다는 혐의(정통망법 위반)로 기소된 대부업체 대표이사 및 양벌규정에 의하여 같이 기소된 법인 모두에게 무죄를 선고하였다.

2. 서울서부지방법원 2013. 2. 15. 선고 2011가합11733, 2011가합13234 외 판결(병합)

2013년 2월 서울서부지방법원은 SK컴즈에 개인정보유출 책임을 인정하고 원고들(2881명)에게 각 20만원을 배상하라고 판결하였다. 2012. 11. 서울중앙지법은 동일한 SK컴즈 사례에서 책임이 없다고 판단한 바 있었다. 그런데, 이번 판결은 과실을 인정하면서, 개인정보유보유출로 인한 피해에 대한 책임을 위자료의 형식으로 인정하였다.
2유형 사건으로는 2005년 발생한 엔씨소프트 사건에서 법원이 2009년 암호화되지 않은 이용자의 접속 정보를 이용하여 다른 이용자들의 아이템을 훔치는 사건에서 44명의 회원들에게 각 10만원의 배상을 인정한 후 드물게 외부자 해킹 사례에서 손해배상을 인정한 사건이다. 이 사건의 경우 데이터베이스 관리자가 접속 후 로그아웃을 하지 않고 퇴근을 하였고, 데이터베이스에서 개인정보대량파일 생성시 이상징후로 탐지(정통망법 고시 제4조 제5항, 제8조)하지 못하고, FTP로 개인정보 파일을 외부유출한 것을 차단(정통망법 고시 제4조 제9항)하지 못한 점 등을 기초로 하여 손해배상을 인정하였다.
이 사건은 해킹에 의한 개인정보 유출 사건 중에서는 처음으로 개인정보보관자인 기업의 과실을 인정한 사건으로 보이며, 제2유형 사례에서 법원이 보안장비만 구비여부에 따라 보안조치를 다하였는지 여부를 판단하는 것에서 나아가 보안장비 운영 실제를 고려하여, 운용의 적절성까지 판단하는 태도를 보인 사례로서 향후 소송에 영향을 줄 수 있는 하급심 판결로 보인다.

III. 파밍(pharming)과 전자금융거래 관련 금융기관의 책임

1. 전자금융관련 사건


미국이나 일본 등에 비하여 우리나라는 전자금융거래가 매우 활발하다. 일본의 경우에는 신용카드의 사용에 대해서도 소극적인데 반해서, 우리는 플라스틱 공화국이라고 불릴 만큼 많은 신용카드가 발급되고, 스마트폰의 활발한 보급으로 스마트폰을 이용한 금융도 활발하다. 그 만큼 금융정보의 유출의 경우 대형사고로 이어질 가능성이 높다. 2013년 11월 일부 은행을 이용하는 고객 13만 명의 개인정보가 유출되는 문제가 생기는 등 지속적인 우리나라의 경우에는 사회적인 특성을 감안하면 이 부분에 대한 법적 보완이 필요하다. 경찰청에 따르면 올해 상반기 스미싱은 1만8천631건으로 37억 여 원, 파밍은 1천263건 63억 여 원, 메모리 해킹은 112건으로 약 7억 여 원의 피해를 입혔다고 한다.

2. 의정부지방법원 2013. 7. 12. 선고 2012가단50032판결

가. 사실관계

원고 정씨는 2012년 9월 11일 성명불상자로부터 보안승급과 유사 은행사이트 주소가 적힌 휴대전화 문자메시지를 받은 뒤 이 사이트에 접속, 안내에 따라 공인인증서와 보안카드 일련번호 등을 입력하였다. 성명불상자는 이러한 방법으로 원고의 금융계좌정보를 알아내어 2012. 9. 13. 원고명의로 공인인증서를 발급받은 뒤, 다른 계좌로 수차례에 걸쳐 총 2천 여 만원을 이체한 후 인출하였다. 같은 날 이상한 느낌에 정씨는 계좌를 확인한 뒤 은행 고객상담센터에 사고신고를 하였고, 원고는 2012. 12. 4. 전기통신금융사기 피해금 환급에 관한 특별법 규정에 따라 피해환급금을 돌려받았다. 그리고 원고는 해당 은행과 이체 계좌를 빌려 준 사람들을 상대로 손해배상소송을 제기하였다.

나. 법원의 판결
의정부지방법원은 파밍 피해자인 은행고객이 A은행을 상대로 낸 부당이득금 반환 소송에서 원고 청구액의 30%인 538만2천원을 지급하라는 청구인용판결을 선고했다. 법원은 금융회사나 전자금융업자는 부정한 방법으로 획득한 공인인증서 등 접근매체의 이용으로 발생한 사고에 대해 손해배상을 할 책임이 있다고 하면서도 원고 역시 접근매체를 누설하거나 노출, 방치한 중대한 과실이 있기 때문에 피고의 책임 감경 사유로 판단, 피고의 책임 비율을 30%로 제한하였다.

다. 평석
이 사건은 전자금융거래법과 관련된 사건이다. 관련하여, 전자금융거래법, 동 시행령 제8조, 전자금융거래 기본약관 등을 보아야 한다. 현행 전자금융거래법 제9조제1항 제1호는 공인인증서 등의 접근매체의 위조나 변조로 발생한 사고로 고객에게 손해가 발생할 경우 금융기관이 책임지도록 하면서, 같은 조 제2항에서 제1항의 손해배상규정에 대한 면책사유로 (i) 사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우나 (ii) 법인('중소기업기본법' 제2조제2항에 의한 소기업을 제외한다)인 이용자에게 손해가 발생한 경우로 금융회사 또는 전자금융업자가 사고를 방지하기 위하여 보안절차를 수립하고 이를 철저히 준수하는 등 합리적으로 요구되는 충분한 주의의무를 다한 경우를 규정하고 있다. 이러한 요건에 해당하면 금융회사 또는 전자금융업자는 자신들의 책임의 일부 또는 전부의 면책을 주장할 수 있다.
사안의 경우 파밍 수법으로 공인인증서 등을 빼낸 뒤 재발급한 행위를 위조로 볼 수 있는지 여부와 금융기관이 제2항에 의한 면책이 되는지 여부가 문제가 되었다. 동법 시행령은 공인인증서 등을 누설하거나 노출·방치하는 행위를 고의·중대 과실로 정하고 있어 은행 측은 이 규정을 적용, 공인인증서 등을 빼낸 뒤 재발급한 행위가 위조에 해당하지 않고 관리를 못한 고객에게 중과실이 있어 면책된다고 주장했다.
이에 대해서 법원은 전자금융거래법이 이용자 보호에 중점이 있는 데다 민사상 책임 규정이므로 위조의 개념을 형법처럼 엄격히 해석할 필요가 없다고 보면서, 부정한 방법으로 빼낸 공인인증서를 재발급한 행위를 위조로 해석하면서, 원고에게 중대한 과실이 있다고 하면서도 피고의 전자금융거래 기본약관을 기초로 하여 이용자의 고의로 인한 경우에는 피고의 손해배상책임이 면책이 되지만, 이용자의 중과실로 인한 경우에는 면책을 인정하지 않았다. 법원의 판단은 전자금융거래 기본약관의 해석에서 근거를 찾고 있으므로 만일 전자금융거래 기본약관에서 명백하게 이용자의 중과실의 경우에도 면책을 하는 규정을 두는 경우, 이를 면책의 근거로 할 것인가는 여전히 논의의 여지를 남기고 있다.
한편 피해자 보호를 위해 2013년 5월 제9조 제3호가 신설되었고, 본 조는 11월부터 시행되고 있다. 개정 전자금융거래법에 따르면 부정한 방법으로 얻은 공인인증서 등을 이용해 사고가 나면 금융기관에 책임이 있다는 점은 명문화되었다.

IV. 태깅(tagging)과 상표권침해

1. 전자상거래에서의 상표침해


미국의 경우, 2009년경 미국 제2연방항소법원은 레스큐컴(Rescuecom) vs. 구글(Google) 사건에서는 구글이 자신의 애드워즈(AdWords)를 통하여 상표를 검색어로 판매하는 것은 상표적 사용에 해당한다고 판시하였으며, 2012년 4월경 미국 제4연방항소법원은 로제타스톤(Rosetta Stone) vs 구글(Google) 사건에서 구글이 자신의 애드워즈를 통하여 로제타스톤 상표를 검색어로 판매하는 것은 상표권 침해에 해당한다고 판시하였다. 이런 문제는 HTML 문서에서 브라우저나 검색엔진에 사용할 수 있는 문서 정보를 담고 있는 메타태그(meta-tag)의 경우도 유사한 문제가 발생할 수 있다. 국내에도 태그(tag)와 관련된 사건이 현재 진행 중이다.

2. 서울서부지방법원 2013. 6. 21. 선고 2013가합31083 판결

가. 사실관계

이 사건의 원고는 주식회사 X의 대표이사로서, 영국의 Y(이하 "Y사")로부터 '포트메리온'이라는 표장의 도자기류 제품을 수입하여 국내에 판매하고 있는 자이고, 피고는 다른 상호로 각종 주방용품 등을 생산, 판매하고 있는 자이다. Y사는 2008. 6. 9. '포트메리온'이라는 한글 표장으로 비금속제 공기, 비금속제 과일컵, 비귀금속제 대접 등을 지정상품으로 한 상표권 등록을 하여 현재까지 이 사건 등록상표권을 보유하고 있다. 피고는 자사의 공식 홈페이지에서 피고의 제품을 광고하면서 각각의 상품 선전 웹페이지에 '포트메리온'이라는 태그를 입력함으로써, 일반 소비자들이 국내 포털사이트에서 '포트메리온'이라는 단어를 검색할 경우 피고의 홈페이지 등이 검색되도록 하였다. 이에 대해 원고가 피고의 행위는 상표법 및 부정경쟁방지법에 위반되므로 피고의 표장 사용은 금지되어야 한다는 취지의 이 사건 소를 제기하였고, 그 후 피고는 자신의 홈페이지에서 위와 같은 태그를 모두 삭제하였다.

나. 법원의 판결
법원은 피고는 피고의 공식 홈페이지에서 피고의 제품을 광고하면서 자신의 등록상표를 사용하여 피고가 생산, 판매하는 상품의 출처가 피고임을 밝히고 있으며, 피고가 자사의 홈페이지 및 포털사이트 등에 검색용 태그를 입력하는 것 외에 달리 등록상표와 동일 또는 유사한 표장을 홈페이지 어디에서도 사용하고 있지 않으며, 피고 자신의 등록 상표를 사용하면서 그 출처가 피고임을 분명히 표시하는 경우에는 수요자들이 피고가 생산, 판매하는 상품이 Y사의 상품이라고 오인할 가능성이 있다고 보기 어렵고, 피고가 이 사건 등록상표를 검색용 태그에 입력하는 방법으로 이용하였다고 하더라도 이는 피고가 생산, 판매하는 제품의 출처가 Y 사인 것처럼 오인케 하기 위한 목적으로 이 사건 등록상표를 피고의 지정상품에 관한 표장으로 사용한 것이라고 볼 수 없다고 판단하여 상표권 및 부정경쟁방지법(제2조 제1호 가목)에 기한 금지청구를 모두 배척하였다.

다. 평석
이 사건은 자신의 홈페이지 등에 타사의 저명상표를 검색용 태그로 입력한 행위가 상표권 침해인지 여부가 쟁점이 되는 사안이다. 이 사건의 특징은 피고가 원고의 저명한 등록상표의 한글 표장을 검색용 태그에 사용한 것 외에는 원고의 등록상표를 사용하지 않았다는 점에 있다. 이러한 검색용 태그는 검색을 위한 식별자로서 기능을 하지만, 실제 홈페이지에 접속한 일반 이용자나 거래의 상대방은 당해 제품이 원고의 저명상표 제품이 아니라 피고가 생산한 제품이라는 점은 알고 있다.
실무적으로 타인의 등록상표를 검색용 태그로 사용하는 것이 상표법 침해에서의 상표적 사용인가 하는 점은 명확하지 않았다. 이 사건은 하급심 법원의 판결이기는 하지만, 위와 같은 경우는 상표법에 의한 등록상표를 피고의 지정상품 출처를 나타내는 표장으로 사용한 것이라고 볼 수 없으므로 상표적 사용이 아니라고 보았다. 다만 이 사건에서 서부지원은 검색용 태그만으로 사용한 경우에 상표법상 상표적 사용이나 부정경쟁방지법상 상품출처혼동행위가 되지 않는다는 점을 확인한 것일 뿐, 일반 이용자나 거래의 상대방이 오인할 수 있는 다른 행위를 추가적으로 하였을 경우에도 상표법이나 부정경쟁방지법 침해가 없다고 단정할 수는 없다고 본다. 이 사건은 항소심이 진행 중이므로 이후 법원의 판결을 살펴볼 필요가 있다.

V. OSP(Online Service Provider) 책임과 기술적 불가능성

1. 디지털 저작물의 해적행위


디지털 저작물은 무한복제가 가능하고, 그 복제로 인한 질의 저하가 없어서 웹스토리지서비스 제공 사이트 들이 해적행위를 위한 플랫폼(platform)으로 기능할 가능성이 많고, 반면 침해자를 추적하여 발견하고 피해액을 확정하기 어려운 문제가 있어서 책임의 문제는 주로 OSP(Online Service Provider) 책임의 문제로 논의되었다. 2013년 사건 중 저작권법상 면책에 대한 제102조 및 제103조에 대한 좋은 사례가 있어 소개한다.

2. 대법원 2013. 9. 26. 선고 2011도1435 판결

가. 사실관계

피고인들이 운용하는 이 사건 각 웹스토리지 서비스 제공 사이트에서 불특정 다수의 사이트 이용자들에 의하여 저작재산권자의 동의를 얻지 않은 영화 파일들의 업로드 및 다운로드가 이루어지고 있었다. 이 사건 피고인들은 이 사건 각 사이트들의 실질적인 운영자로서 위 각 사이트의 운용방식과 이용실태 등을 모두 인식하고 있었다. 그럼에도 피고인들은 사이트 이용자들에게 영화 파일의 업로드를 유인하거나 다운로드를 용이하게 해주고, 이를 통해 수익을 얻었다. 한편 피고인들은 이 사건 각 사이트 이용자들에 의한 저작재산권 침해사실을 알고서 즉시 그 저작물의 복제ㆍ전송을 방지하거나 중단시킨 바 없고, 피고인들이 이 사건 각 사이트에 취한 기술적 조치는 '금칙어 설정' 또는 '해쉬값 등록ㆍ비교'를 통한 필터링 방식뿐이었다. 원심은 구 저작권법 제102조 제1항이나 제103조 제5항 및 구 저작권법 제102조 제2항에 의한 형사상 책임 면제를 인정할 수 없다고 보았다.

나. 판결의 요지
대법원은 피고인들의 방조책임을 인정하면서, 책임 면제를 부정한 원심의 판단이 타당하다고 보고 상고를 기각하였다. 대법원은 구 저작권법 제102조 제2항이 규정하고 있는 '기술적으로 불가능한 경우'라 함은, 온라인서비스의 제공 자체는 유지함을 전제로 이용자들의 복제ㆍ전송행위 중 저작권의 침해행위가 되는 복제ㆍ전송을 선별하여 방지 또는 중단하는 것이 기술적으로 불가능한 경우를 말하는 것이므로, 비록 온라인서비스 이용자들이 해당 온라인서비스를 이용하여 저작물을 복제·전송함으로써 그 저작권을 침해하였다고 하더라도, 온라인서비스제공자가 그와 같은 침해사실을 알고 저작권의 침해가 되는 복제ㆍ전송을 선별하여 이를 방지 또는 중단하는 기술적 조치를 다하였다고 인정되는 경우에는 해당 침해행위에 대한 형사상 책임이 면제된다고 할 것이다. 그리고 온라인서비스제공자가 구 저작권법 제103조 제5항에 의하여 그 책임을 감경 또는 면제받을 수 있기 위해서는 저작권자로부터 중단 요구를 받은 즉시 그 저작물의 복제ㆍ전송을 중단시켜야(notice and take-down) 하는 점에 비추어, 온라인서비스제공자가 스스로 저작권 침해사실을 알게 된 경우에도 그 즉시 당해 복제ㆍ전송을 중단시켜야 구 저작권법 제102조 제1항에 의하여 그 책임을 감경 또는 면제받을 수 있다고 봄이 상당하다고 판시하였다.

다. 검토

(1) 온라인 서비스 제공자의 책임과 인식
초기 사건에서 온라인 서비스 제공자들은 자신들이 침해자를 특정하여 알기 어렵기 때문에 자신들에게는 침해를 조력한다는 의미에서의 방조의 고의가 있는 것은 아니라고 주장하였다.(관련된 논의의 전개에 대해서 최승재, 「IT 기술과 법 1」 중 "미국 연방대법원의 글록스터 판결과 P2P 기술의 전개", 홍익대학교 출판부(2008) 211~258면) 이에 대해 대법원은 저작권 침해의 방조에 있어서 인식의 정도에 대해서, 저작권법이 보호하는 복제권 및 전송권의 침해를 방조하는 행위란 정범의 복제권 및 전송권 침해를 용이하게 해주는 직접ㆍ간접의 모든 행위로서, 정범의 복제권 및 전송권 침해행위 중에 이를 방조하는 경우는 물론, 복제권 및 전송권 침해행위에 착수하기 전에 장래의 복제권 및 전송권 침해행위를 예상하고 이를 용이하게 해주는 경우도 포함하며, 정범에 의하여 실행되는 복제권 및 전송권 침해행위에 대한 미필적 고의가 있는 것으로 충분하고, 정범의 복제권 및 전송권 침해행위가 실행되는 일시, 장소, 객체 등을 구체적으로 인식할 필요가 없으며, 나아가 정범이 누구인지 확정적으로 인식할 필요도 없다(대법원 2005. 4. 29. 선고 2003도6056 판결, 대법원 2007. 12. 14. 선고 2005도872 판결 등 참조)고 판시한 이래 이러한 법리를 유지하고 있다.

(2) 온라인서비스제공자의 책임제한규정
국내 저작권 침해의 상당수가 온라인상의 웹하드와 같은 대용량 디지털 데이터 스토리지 서비스와 관련하여 발생하자 저작권법은 2003년 개정을 통해서 온라인서비스제공자의 책임제한규정을 제5장의2에 신설하였고, 2007년 기존의 2개 조문에 더해서 1개의 조문을 추가로 신설하였다. 그리고 2011년 다시 두 차례의 법 개정이 있었다. 현행법상 온라인서비스제공자의 책임제한 유형은 도관서비스, 캐싱서비스 저장서비스, 정보검색서비스로 나뉜다. 각 서비스 유형에 따라서 적용되는 면책규정이 상이하다. 이 사건에서는 저작권법 제102조 제2항과 제103조 제5항이 문제되었다.

(3) 저작권법 제102조 제2항
저작권법 제102조 제2항은 온라인서비스제공자 책임의 필수적 면제가 되려면, 온라인서비스제공자가 저작권 침해방지를 위한 기술적 보호조치를 하였고, 그럼에도 불구하고 침해방지가 불가능하여야 한다. 또 저작권법 제102조 제3항은 적극적 조사의무를 부담시키지 않고 있다. 문제는 제102조에서 말하는 '기술적 보호조치'가 경제적인 가능성(economic feasibility)을 고려하지 않은 기술적으로 최고의 수준(state of art)을 의미하는 것인지 경제적 가능성을 고려한 것이라면 누구를 기준으로 하여야 하는지 여부가 명확하지 않다.
대상판결은 이 점에 대해서 명확하게 설시하지 않으면서 기술적 보호조치로 대상판결에서 언급된 '금칙어 설정' 또는 '해쉬값 등록ㆍ비교'를 통한 필터링 방식은 최선의 기술이라고 할 수 없고, 이러한 기본적인 기술적 보호조치조차도 제대로 작동하고 있지 않다고 보아서 저작권법 제102조 제2항의 책임면제를 부정하였다. 대상판결의 설시는 본 사안을 해결함에 있어서는 부족하지 않은 설시일 수 있으나 위와 같은 질문들에 대한 판단기준을 제시하지는 못한 것으로 보인다.
미국변호사