ijacked.jpg최근 엔씨소프트의 리니지 등 회원가입시 개인정보의 도용 및 침해에 대한 사건등이 이슈화되면서 개인정보의 보호와 주민등록번호의 대체제도에 대한 논의가 한층 심화되고 있습니다. 여러분은 침해되거나 혹은 침해하신 적이 있으신 가요? 필자 개인적으로 5~6년전 주민등록번호생성기가 유포될 당시, 주민등록번호 검사에 대한 로직과 그 로직을 이용해 제작된 프로그램이 그저 흥미롭게 다가왔답니다. '아~ 이렇게 하면 여러개의 아이디를 만들 수 있겠구나~' 라는 막연한 생각에 게임을 평소 좋아하지 않는 필자로선 커뮤니티 사이트에서 여러 시각의 관점을 가진 다수의 ID로 공격과 반박을 거듭하는 필객으로 네티즌들을 농락(?)한 전력이 기억납니다.

법원의 판결로 정해진 위자료 50만원

아래는 작년 5월 리니지 II의 로그파일의 유출로 인한 개인정보침해사건과 관련된 법원의 판결입니다.


서울중앙지법 2006. 4. 28.선고 2005가단240057


○ 사안의 개요

1. 피고 회사는 게임사업을 운영하며 다중 이용자 온라인 롤플레잉게임(MMORPG : Massively Multiplayer Online Role Playing Game)인 리니지II 게임(이하 이 사건 게임이라고 한다)을 개발하여 그 이용서비스를 제공함으로서 수익을 올리는 회사이고, 원고들은 이 사건 게임서비스를 이용하고 있는 이용자들이다.


2. 피고 회사는 2005. 5. 11. 이 사건 게임 서버 및 네트워크 정기점검 및 업데이트 작업을 실시하는 과정에서, 담당 직원이 아이디/비밀번호 입력과 관련된 기능을 테스트하기 위하여 임시로 이용자들의 아이디와 비밀번호가 로그파일(log file)1)에 기록되도록 하였다가, 테스트 종료 후 아이디/비밀번호기록 기능을 삭제하지 않은 상태에서 서버 업데이트 작업을 마치는 바람에,

2005. 5. 11. 오전 10시부터 이 사건 게임에 접속한 이용자들에 대하여 생성된 로그파일에 이용자들의 아이디와 비밀번호가 기록되게 되는 사고(이하 ‘이 사건 사고’라고 한다)가 발생하게 되었다.


3. 피고 회사는 2005. 5. 16. 12:00경에서야 이용자들의 아이디와 비밀번호가 로그파일에 기록되고 있음을 알게 되었고, 즉시 이용자들의 게임서버 접속을 차단하고, 아이디와 비밀번호가 로그파일에 기록되도록 하는 기능을 삭제하였으며, 이미 개별 컴퓨터에 생성된 로그파일이 삭제되도록 하는 시스템 패치작업을 실시하였다.


4. 피고 회사는 이러한 시스템 패치 작업과 더불어, 2005. 5. 16. 13:20부터 15:45까지 이용자들의 게임서버 접속을 차단하고, 이 사건 사고기간(2005. 5. 11. 10:00 - 2005. 5. 16. 12:00) 동안에 이 사건 게임에 접속하였던 모든 이용자들로 하여금 주민등록번호로 동일인 확인을 거친 후에 새로운 비밀번호로 변경한 다음에만 이 사건 게임에 접속할 수 있도록 하는 조치를 취하였다.


5. 원고들은 이 사건 사고기간 동안 이 사건 게임에 접속한 이용자들이다.


6. 이 사건 게임의 로그파일은 이용자가 이용하는 컴퓨터의 하드디스크 C드라이브에 C://Program Files/ncsoft/lineageII/system/l2.log라는 경로를 가진 파일로 저장이 된다.


7. 피고 회사는 2005. 5. 16. 이 사건 사고와 관련하여 이 사건 게임 홈페이지에 이용자들에 대한 사과문을 게재하고, 유료 이용자들에게 1일간의 무료사용권을 제공하는 이외에는 이 사건 사고와 관련하여 이용자들에게 별다른 보상조치를 취한 것이 없다.


○ 관련 규정

1. 이 사건 게임서비스 이용약관 제13조 제2항에서는 “회사는 이용자의 계정 정보를 포함한 일체의 개인정보가 서비스 시스템으로부터 유출되지 않도록 하며, 제3자에게 공개 또는 제공되지 아니하도록 보호합니다”라고 정하고 있다.


2. 한편, 정보통신망이용촉진및정보보호등에관한법률(이하 ‘법’이라고 한다) 제49조에서는 “누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니된다”라고 규정하고 있다.


○ 당사자들 주장 및 쟁점

1. 원고들은 이 사건 사고로 인하여 자신들의 개인정보가 피고 회사의 과실로 인하여 유출되었으므로 피고 회사는 원고들에게 정신적 피해에 대한 위자료로 1인당 500만원씩이 손해배상을 구함.


2. 피고 회사는 이 사건 사고의 경위에 관해서는 크게 다툼이 없으나, 아이디와 패스워드만을 놓고 이를 원고들의 개인정보라고 볼 수 없고, 원고들이 실제로 입은 손해가 없으므로 손해배상청구에 응할 수 없다고 다툼.


○ 법원의 판단

1. 손해배상책임의 발생

살피건대, 피고 회사는 이 사건 게임 서비스 업자로서 이 사건 게임을 이용하는 이용자들의 개인정보가 유출되지 않도록 필요한 조치를 다하여야 할 계약상, 법상의 의무를 부담하고 있다고 할 것이다.

그런데, 앞에서 본 바와 같이 피고 회사가 이 사건 게임 서버의 업데이트 과정에서 이용자들의 개인정보인 아이디와 비밀번호가 암호화되지 않은 상태에서 로그파일에 저장되도록 함으로써, 컴퓨터에 관한 상당 수준의 전문지식이 있는 사람이라면 누구라도 그에 접근하여 이용자들의 아이디와 비밀번호를 알 수 있는 상황을 발생시킨 것은 이용자들의 개인정보를 유출되도록 한 것으로서 이는 이 사건 게임 서비스 이용계약 및 법에서 요구하는 주의의무를 다하지 않은 과실에 해당한다고 할 것이다.

따라서, 피고 회사는 이 사건 사고 기간 동안 이 사건 게임서비스에 접속하여 개인 정보 유출의 위험에 처하게 된 원고들이 입은 정신적 손해(원고들은 이 사건에서 정신적 손해의 배상만을 구하고 있다)를 배상할 책임이 있다.

피고 회사는 원고들이 이 사건 사고 기간 중에 PC방 등과 같이 불특정 다수인이 함께 사용하는 컴퓨터를 사용한 경우가 아니라 개인용 컴퓨터를 사용하여 이 사건 게임 서비스에 접속하였다면 개인정보유출의 위험이 없고,

또한 PC방 등에서 접속하였더라도 피고 회사가 신속한 패치작업을 통하여 개인 정보유출을 막았으므로
손해발생의 가능성이 전혀 없으며, 이 사건 사고 이후에도 이 사건 사고로 인하여 원고들 등 이 사건 게임 서비스 이용자들의 개인정보가 유출되어 실제로 피해가 발생한 사실이 없으므로 원고들의 이 사건 손해배상청구에 응할 수 없다는 취지의 주장을 하고 있으나,

오늘날과 같이 컴퓨터 기술과 인터넷의 발전에 수반하여 해킹 등 타인의 정보를 불법적으로 수집하는 방법도 고도로 발달되어 있는 상황에서는 이 사건 사고로 인하여 원고들의 개인정보가 공개된 로그파일이 PC방 등에 있는 컴퓨터가 아닌 개인용 컴퓨터에 저장되었다 하더라도 원고들의 개인정보유출의 위험이 없다고 볼 수 없고,

피고 회사의 주장에 의하더라도 2005. 5. 16. 12:00경 이전에는 피고 회사는 이 사건 사고로 인한 피해예방조치를 취하지 않았을 뿐만 아니라, 이 사건 사고발생 사실도 제대로 알지 못하고 있었다는 것이고,

이 사건 재판 과정에 나타난 증거들에 의하면 피고 회사가 2005. 5. 16. 12:00이후에 PC방 등에서 패치 작업을 한 이후에도 상당 기간 동안은 로그파일의 개인정보가 그대로 남아 있어서 개인정보유출의 위험이 존재하였던 사실을 인정할 수 있으며, 또한 피고 회사의 주장대로 이 사건 사고로 인하여 유출된 원고들의 개인 정보를 이용한 다른 사고가 확인된 바가 없다고 하더라도 원고들이 정신적 손해를 입지 않았다고는 말할 수 없으므로 피고회사의 위 주장은 받아들이지 아니한다.


2. 손해배상책임의 범위

그렇다면, 피고 회사가 원고들에게 배상해야하는 손해배상의 범위에 관하여 보건대, 오늘날과 같이 컴퓨터 기술과 인터넷이 고도로 발달한 사회에서는 개인 정보의 유출이 가져올 수 있는 피해가 심각하다는 점,

피고 회사와 같이 다수의 이용자들을 회원으로 가입시켜 게임서비스를 제공하고 그로 인하여 수익을 얻고 있는 업체에게는 그 사업과정에서 알게 되는 이용자들의 개인정보를 보호하기 위한 특별한 주의의무를 부담하도록 하는 것이 미래에 더 고도로 발달될 정보 사회에서의 개인의 비밀과 자유의 보호를 위해 바람직한 것으로 판단되는 점,

피고 회사는 이 사건 사고 이후에도 앞에서 본 바와 같이, 이 사건 게임 홈페이지에 이용자들에 대한 사과문을 게재하고, 유료 이용자들에게 1일간의 무료사용권을 제공하는 이외에는 이 사건 사고와 관련하여 이용자들에게 별다른 보상 조치를 취한 것이 없고,

이 사건소송 과정에서도 피고 회사의 과실을 인정하지 않고 책임지려는 자세를 전혀 보이지 아니한 점, 원고들이 이 사건 사고로 인하여 현실적, 경제적으로 입은 손해는 이 사건 변론 종결일까지 확인되지 아니한 점 등을 참작하여,

피고 회사가 원고들에게 배상해야할 위자료로 원고들 각자에게 500,000원씩으로 정하기로 한다.


50만원의 기준이 적으냐, 많으냐에 대한 논의를 우선시(?)하실 것이라 예상되기에 판결의 내용을 참고하여 기준으로서 제시해 드리자면, 1) 1년여 동안 추가적인 개인정보의 침해사례가 없고 경제적으로 입은 손해가 없어야 하고, 2) 손해를 야기한 회사의 보상이 유료이용권 1일의 수여 등에 한하여야 할 경우 등에 해당한다고 범위를 좁혀야 할 것입니다. 즉, 추가적인 손해의 발생이 있었다면 그 손해를 배상하여야 하고, 가해자 측의 적극적인 손해에 대한 구제절차가 있었다면 그로 인해 감경사유가 발생할 수 있다는 논지는 기본적인 입장이라 하겠습니다.
즉, 위자료의 액수는 그리 중요한 사안이 아니라는 것이지요.

계속되고 있는 개인정보 침해, 미국은 ijacking으로 골머리

현재도 모 로펌에서 지난 2,3월의 엔씨소프트 등의 게임사이트를 중심으로 개인정보의 무단도용에 대한 사건이 소송으로 비화되어 진행인 것으로 알고 있습니다. 대규모 집단소송이 될 것이란 의견도 나오고 있는데요, 과연 소프트웨어 개발사나 웹사이트 관리자들의 개인정보보호에 대한 업무능력의 범위가 얼마나 확장될지 궁금합니다.

우리가 이러한 논의와 사건의 연속을 계속하고 있을 때, IT의 세계 최강국이자 원산지인 미국도 주민등록번호제도가 없음에도 불구하고 개인정보침해에 대한 사례가 비일비재하고 있습니다. 물론, 미국에 우리의 주민등록번호제도와 유사한 제도가 없는 것은 아닙니다. 사회보장번호제도가 그것인데요. 그러나 이 번호를 웹사이트나 게임사이트가 필수기재조건으로 제시요구를 하진 않습니다. 단, 인터넷상의 금융서비스에 있어서는 사회보장번호를 요구하고 있으나, 일부의 경우엔 제시를 요구하지 않는 기관도 있습니다.

9.11 테러 이후로 hijacking, skyjacking 이란 단어를 우리도 많이 접한 경험이 있습니다. 어떠한 탈 것에 대한 강탈행위를 일컫는 것이 -jacking 이란 형태로 결합한 단어입니다만, 인터넷 상의 개인정보 침해에 대해 'ijacking'  이라 부르며 신생 단어를 만들어 내고 있습니다.

미국의 보안업체인 Intersections INC. 에 따르면 'ijacking' 은 'An emotionally devastating crime that drains your accounts, hurts your reputation, and leaves you financially paralyzed when thieves assume your identity or use your Social Security number to commit fraud crimes.' 라고 정의를 내리고 있습니다.

위의 내용에 비추어 보면, 우리의 판결내용처럼 정신적 손해가 위자료 청구의 범위에 포함 되어질 수 있음을 알 수 있고, 이러한 손해가 생존권적 기본권의 범주에서 보호되는 포괄적 인격권으로도 다루어질 수 있음을 판단할 수 있습니다.

게다가 미국도 지난 3년동안 2천8백만의 인구가 그들의 잘못없이 ijacking 을 당했고, 이로인해 560억불의 손해가 발생한 것으로 추측된다고 하니, 우리의 경우에도 보다 정밀한 조사나 근거에 대한 연구가 이루어져야 할 것이라 보입니다.
이 게시물을..