【서울중앙지방법원 2018.12.20. 선고 2017가합585293 판결】
• 서울중앙지방법원 제30민사부 판결
• 사 건 / 2017가합585293 손해배상(기)
• 원 고 / A
• 피 고 / 주식회사B
• 변론종결 / 2018.10.25.
• 판결선고 / 2018.12.20.
<주 문>
1. 원고의 청구를 기각한다.
2. 소송비용은 원고가 부담한다.
<청구취지>
피고는 원고에게 478,242,531원 및 이에 대하여 2017.11.30.부터 이 사건 소장 부본 송달일까지 연 5%, 그 다음날부터 다 갚는 날까지는 연 15%의 각 비율로 계산한 돈을 지급하라.
<이 유>
1. 기초사실
가. 당사자의 지위
피고는 전자상거래에 의한 금융업 등을 영위하는 회사로서 온라인 가상화폐 거래소인 ‘C’(이하 ‘C’이라 한다)을 운영하고 있고, 원고는 C을 통하여 비트코인 등 가상화폐 거래를 하여 온 사람이다.
나. 이 사건 사고로 인한 원고의 손해 발생
원고는 2017.11.30. 09:02:59경부터 같은 날 09:03:26 경까지 C에서 보유하고 있던 가상화폐를 매도하면서, C 원고의 계정에 478,242,531원 상당의 D 포인트(C 내에서 가상화폐나 각종 상품권을 구매하는데 사용되고, 1D 포인트는 원화 1원과 동등한 가치를 갖는다)를 보관하게 되었고, 원고는 같은 날 10:01:54경 C에서 로그아웃하였다.
그런데, 같은 날 11:27:46경 해커로 추정되는 성명불상자가 원고가 사용하는 아이피 주소(E)가 아닌 다른 아이피 주소(F)로 C 원고 계정에 로그인을 하였다가 약 13초 뒤인 11:27:59경 로그아웃하였다. 성명불상자는 다시 같은 날 19:44:59경 위 아이피 주소(F)로 C 원고 계정에 로그인하였고, 같은 날 19:46경부터 19:52경까지 4회에 걸쳐 가상화폐인 이더리움(원고의 계정에 보관되어 있던 D 포인트는 그 이전 이더리움으로 교환되었다)을 외부로 출금해 줄 것을 요청하였으며, 위와 같이 출금 요청된 이더리움은 같은 날 20:01경부터 20:06 경까지 4회에 걸쳐 피고의 직원 G의 승인을 받아 외부로 출금되었고, 그 결과 C 원고의 계정에는 121원 상당의 D 포인트와 0.7794185 이더리움만이 남게 되었다(이하 ‘이 사건 사고’라 한다).
한편, 같은 날 오후 8시 이전쯤에 원고는 컴퓨터를 통해 C에 로그인을 하기 위해 아이디(이메일 주소)와 로그인 비밀번호를 입력하였는데, 이 경우 보안비밀번호 4자리를 입력하라는 화면이 나와야 할 것이나, 평소와 달리 휴대폰으로 전송되는 6자리의 인증코드를 입력하라는 화면이 나왔다. 원고는 휴대폰으로 전송되는 6자리의 인증코드를 입력하였으나 로그인에 계속 실패하다가, 같은 날 20:11경에야 C 원고 계정에 로그인할 수 있었고, 그리하여 원고 계정에 있는 D 포인트가 위와 같이 사라진 사실을 알게 되었다.
다. 2017.6.경 개인정보유출사고 발생 및 이에 대한 방송통신위원회의 처분
1) 개인정보유출사고의 발생
성명불상의 해커는 피고의 직원 채용기간 중인 2017.4.28. 피고와 자문계약관계에 있던 H에게 원격제어형 악성코드가 포함된 “이력서.hwp” 파일을 첨부한 스피어피싱 메일을 발송하였고, 이를 실행한 H의 컴퓨터가 위 악성코드에 감염되었다. 그러자 성명불상의 해커는 H의 컴퓨터에서 C 회원 31,506명의 개인정보가 들어 있는 “2017년 회원관리정책.xlsx”(피고의 직원 I이 2016.2.26.부터 2017.7.15.까지 총 560여 차례 서버에서 추출한 자료로 작성한 파일로, H은 2017.4.16. 피고의 직원 J으로부터 위 파일을 이메일로 전송받아 컴퓨터에 저장하고 있었다) 외 다수의 파일을 외부로 유출하였다.
또한 성명불상의 해커는 2017.4.1.부터 2017.6.29.까지 3,534개의 아이피에서 약 200만 번의 사전대입공격을 시도하였고, 그 결과 4,981개의 C 계정(아이다, 비밀번호)이 탈취되었으며, 그 중 226개 계정은 가상화폐 출금이 이루어져 이용자 피해가 있는 것으로 확인되었다.
2) 방송통신위원회의 처분
방송통신위원회는 2017.12.12. “① 피고가 2017.4.1.부터 2017.6.29.까지 있었던 약 200만 번의 사전대입공격을 탐지하지 못한 행위는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라 한다) 제28조제1항제2호 등을 위반하였고, ② 피고의 직원 J이 이용자정보 31,506건이 포함된 “2017년 회원관리 정책.xlsx” 파일을 암호화하지 않고 개인용 컴퓨터에 저장하고, 위 파일을 J으로부터 전송받은 H 역시 암호화하지 않고 위 파일을 개인용 컴퓨터에 저장한 행위는 정보통신망법 제28조제1항제4호 등을 위반하였으며, ③ H이 이메일을 통해 파일을 송수신하는 컴퓨터를 사용하면서도 한글프로그램을 업데이트 하지 않고 백신소프트웨어를 설치하거나 업데이트하지도 않은 행위는 정보통신망법 제28조제1항제5호 등을 위반하였고, ④ 피고의 직원 I이 USB 또는 파일서버를 통해 개인정보를 복사하면서 이를 전달한 기록을 남기지 않은 행위는 정보통신망법 제28조제1항제6호에 위반하였다.”는 이유로 정보통신망법 제64조제4항, 제64조의3 제1항제6호, 제76조제1항제3호 등에 의하여 피고에게 시정조치명령과 과징금 43,500,000원, 과태료 13,500,000원을 부과하였다.
라. 관련 규정
정보통신망법, 전자금융거래법, 개인정보의 기술적·관리적 보호조치 기준(방송통신위원회 고시 제2015-03호) 중 이 사건과 관련된 부분은 별지 기재와 같다.
[인정근거] 다툼 없는 사실, 갑 제1, 2호증, 갑 제3호증의1, 2, 갑 제4, 6, 9, 10, 20, 25, 26호증, 을 제2, 3호증의 각 기재, 이 법원의 방송통신위원장에 대한 사실조회 결과, 변론 전체의 취지
2. 당사자의 주장
가. 원고
1) 피고가 법인등기부에 전자상거래에 관한 금융업, 결제대금 예치업, 전자화폐 환전 및 중개업, 신문업을 목적으로 한다고 기재하고 있고, 금융업과 유사한 서비스를 제공하는 점을 고려할 때 피고에게는 사실상 금융기관에 요구되는 정도와 같은 고도의 보안조치가 요구된다고 할 것이므로, 피고에게도 전자금융거래법이 적용 또는 유추적용된다. 따라서 피고는 전자금융거래가 안전하게 처리될 수 있도록 선관주의의무를 다해야 하고(전자금융거래법 제21조제1항), 정보통신망에 침입하여 거짓이나 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다(전자금융거래법 제9조제1항제3호).
나아가 C 계정 로그인 기록에는 매도, 매수, 송금기록이 남는 것이 당연함에도, C 원고의 계정 로그인 기록에는 해커로 추정되는 성명불상자가 2017.11.30. 19:44경부터 20:05경까지 원고의 계정에서 D 포인트로 이더리움을 매수하고, 매수한 이더리움을 출금해버린 기록이 남아있지 않은바, 이는 누군가가 피고의 정보통신망에 침입하여 획득한 C 원고 계정의 이용권한으로 원고에게 손해를 가하였음을 의미한다. 따라서 피고는 전자금융거래법 제9조제1항제3호에 의하여 원고에게 478,242,531원의 손해를 배상할 책임이 있다.
2) 피고는 C에서 가상화폐 거래가 있을 경우 수수료를 받고 있고, C 서비스 이용 과정에서 발생하는 이자 수입을 서비스 제공대가로 갖게 되므로(C 이용약관 제17조제4항, 제20조제1항), 원고와 피고 사이에는 C 계정에 보관되어 있는 가상화폐에 대한 유상임치계약이 체결되었다고 할 수 있고, 피고는 유상임치계약상 선관주의의무를 부담한다고 할 것이며, 선관주의 의무의 입증책임은 피고에게 있다.
그런데 피고는 스피어피싱과 사전대입공격으로 인하여 C 계정의 개인정보를 유출당한 적이 있고, 원고가 손해를 입은 이후인 2018.6.20.에도 C이 해킹 피해를 입기도 하는 등 유상임치계약상 선관주의의무를 다 하지 못하고 있고, 이로 인해 이 사건 사고가 발생하여 원고가 손해를 입었으므로, 피고는 원고에게 478,242,531원의 손해를 배상할 책임이 있다.
나. 피고
1) 피고는 전자금융거래법 제2조제3항의 금융회사, 제2조제4호의 전자금융업자, 제2조제5호의 전자금융보조업자에 해당하지 않음이 명백하므로, 피고에게 전자금융거래법을 적용 또는 유추적용할 수 없다.
2) 스피어피싱과 사전대입공격에 의한 C 계정의 개인정보 유출은 원고의 손해와 관계가 없고, 피고는 위 개인정보 유출 사건 이후 2단계 로그인 방식을 시행하는 등 보안정책을 강화하였으므로, 이 사건 사고 당시 선관주의의무를 다하였다.
3. 판단
가. 피고에게 전자금융거래법을 유추적용할 수 있는지 여부
살피건대, ① 전자금융거래법은 전자금융거래의 법률관계를 명확히 하여 전자금융거래의 안전성과 신뢰성을 확보함을 목적으로 하고 있고(제1조), 금융위원회의 설치 등에 관한 법률 등 관련 법률에 정해진 자만을 금융회사로, 금융위원회로부터 허가, 등록을 받거나 지정된 자만을 전자금융업자, 전자금융보조업자로 정하고 있는데(제2조제3호, 제4호, 제5호, 제28조제1항, 제2항), 피고는 금융회사, 전자금융업자, 전자금융보조업자에 해당하지 않는 점, ② 전자금융거래법이 정하고 있는 전자지급수단 중 하나인 전자화폐는 일정 이상의 지역에서 일정 이상의 재화 또는 용역을 구입할 수 있고 발행자에 의해 현금 또는 예금으로 교환이 보장될 것을 요건으로 하고 있으나(제2조제14호 가목, 제15호 가 내지 마목), 피고가 중개하고 있는 비트코인 등 가상화폐는 일반적으로 재화 또는 용역을 구입하는데 이용될 수 없고, 그 가치의 변동폭도 커 현금 또는 예금으로 교환이 보장될 수 없으며 주로 투기적 수단으로 이용되고 있으므로, 전자금융거래법에서 정한 전자화폐에 해당한다고 볼 수 없고, 전자금융거래법상 다른 전자지급수단에 해당한다고 볼 수도 없는 점, ③ 전자금융거래법은 금융회사, 전자금융업자 및 전자금융보조업자가 선관주의의무를 다하지 못할 경우 과태료를 부과하도록 정하고 있고(전자금융거래법 제21조제1항, 제51조제1항제1호), 전자금융거래법에서 정한 사고가 발생하여 이용자에게 손해가 발생할 경우 금융회사 또는 전자금융업자는 원칙적으로 과실이 없어도 이용자에게 손해를 배상할 책임이 있고, 면책사유가 있음을 입증해야 책임을 면할 수 있는바(전자금융거래법 제9조제1항, 제2항), 위와 같이 무거운 책임을 부과하는 전자금융거래법 규정은 엄격하게 해석·적용할 필요가 있는 점 등을 종합하면, 금융위원회의 허가 없이 가상화폐거래를 중개하는 피고에게 전자금융업자에 준하여 전자금융거래법을 적용 또는 유추적용하는 것은 타당하지 않다. 따라서 이와 다른 전제에 선 원고의 이 부분 주장은 더 나아가 살필 필요 없이 모두 이유 없다.
나. 유상임치계약상 선관주의의무위반을 원인으로 한 손해배상책임 성립 여부
살피건대, 앞에서 본 사실과 을 제2, 3, 4호증의 각 기재 및 변론 전체의 취지에 의하여 인정되는 다음과 같은 사정을 종합하면, 피고가 원고와의 유상임치계약에 의한 선관주의의무를 다하지 못하였다고 인정하기 부족하고, 설령 피고가 선관주의의무를 다하지 못하였다고 하더라도 원고의 손해와 사이에 인과관계가 있다고 보기도 부족하며, 달리 이를 인정할 증거가 없다. 따라서 원고의 이 부분 주장 역시 이유 없다.
① 2017.4.1.부터 2017.6.29. 사이 스피어피싱과 사전대입공격에 의하여 유출된 C 개인정보에 원고의 개인정보가 포함되었다고 인정할 증거가 존재하지 않는다.
② 현재까지도 이 사건 사고 당시 해커로 추정되는 성명불상자가 어떠한 방법으로 원고의 개인정보를 취득하여 C 원고의 계정에 로그인 하였는지 알 수 없다.
③ 앞에서 본 바와 같이 이 사건 사고 당시 성명불상자는 원고가 주로 사용하는 아이피 주소(E)가 아닌 다른 아이피 주소(F)로 접속을 한 것으로 보이기는 한다. 그러나, 하나의 회원이 컴퓨터 뿐만 아니라 스마트폰 등 다수의 디바이스를 이용하여 C에 접속할 수 있고, 스마트폰과 같은 휴대가 가능한 디바이스는 접속 위치나 시간에 따라 아이피 주소가 변경될 수 있는 것이 현실이므로, 피고가 평소와 다른 아이피 주소를 통한 이용자의 접속을 막지 않았다고 하여 선관주의의무를 다하지 못한 것으로 보기는 어렵다.
④ C에서 가상화폐를 외부로 전송하기 위해서는 관리자가 수동으로 승인하는 절차를 거쳐야 하는데, 이 사건 사고 당시 피고의 직원인 G은 4회에 걸친 원고 계정의 이더리움 출금 요청을 승인하여 이러한 절차를 거쳤다(출금 요청시각은 19:46경부터 19:52경까지이고, 출금 시각은 20:01경부터 20:06 경까지이므로, 출금요청 승인은 그 사이에 이루어진 것으로 보인다). 또한 위 ②, ③에서 본 사정에 의하면, 피고의 직원은 이 사건 사고 당시 C 원고 계정의 로그인이 비정상적이라는 징후를 발견할 수 없었을 것으로 보이므로, 위 직원이 이더리움 전송 행위를 승인하였다고 하여 선관주의의무를 다하지 못한 것으로 볼 수도 없다.
⑤ 이 사건 사고 당시 피고는 2017.11.30. 19:46 경부터 20:03경까지 10회에 걸쳐 출금 인증 코드 문자메시지를 원고의 휴대폰으로 전송하여 원고 계정에 있는 이더리움에 대한 출금절차가 진행되고 있음을 알렸음에도 원고가 위 메시지를 수신하지 못한 사정에 비추어 볼 때, 피고의 C 관리와 무관하게 원고의 휴대폰이 해킹당하거나 복제당하였을 가능성을 배제하기 어렵다.
⑥ 또한 이 사건 사고 당시 원고가 2017.11.30. 오후 8시 이전쯤 컴퓨터로 C에 로그인을 하기 위해 아이디(이메일 주소)와 로그인 비밀번호를 입력하자, 보안비밀번호 4자리를 입력하라는 화면이 아닌 휴대폰으로 전송되는 6자리의 인증코드를 입력하라는 화면이 나왔는데, 피고는 휴대폰으로 전송되는 6자리의 인증코드를 입력하는 방식의 인증방식을 채택한 사실이 없다. 그렇다면 피고의 C 관리와 무관하게 성명불상의 해커가 미리 원고의 컴퓨터에 파밍을 해 놓았고, 이에 따라 원고는 실제 C의 홈페이지가 아닌 파밍페이지에 접속하면서 성명불상의 해커에 의해 개인정보를 탈취당하였을 가능성 역시 배제하기 어렵다.
4. 결론
그렇다면 원고의 이 사건 청구는 이유 없으므로 이를 기각하기로 하여 주문과 같이 판결한다.
판사 이상현(재판장) 조용희 구준모