2005가단240057
온라인 게임 운영업체가 게임 서버의 업데이트 과정에서 이용자들의 개인정보인 아이디와 비밀번호가 암호화되지 않은 상태에서 로그파일에 저장되도록 함으로써, 컴퓨터에 관한 상당 수준의 전문지식이 있는 사람이라면 누구라도 그에 접근하여 이용자들의 아이디와 비밀번호를 알 수 있는 상황을 발생시킨 사안에서, 개인정보 유출의 위험에 처한 이용자들에 대한 온라인 게임 운영업체의 손해배상책임을 인정한 사례<br/>
온라인 게임 운영업체가 게임 서버의 업데이트 과정에서 이용자들의 개인정보인 아이디와 비밀번호가 암호화되지 않은 상태에서 로그파일에 저장되도록 함으로써, 컴퓨터에 관한 상당 수준의 전문지식이 있는 사람이라면 누구라도 그에 접근하여 이용자들의 아이디와 비밀번호를 알 수 있는 상황을 발생시킨 사안에서, 개인정보 유출의 위험에 처한 이용자들에 대한 온라인 게임 운영업체의 손해배상책임을 인정한 사례.<br/>
민법 제750조,제751조,정보통신망 이용촉진 및 정보보호 등에 관한 법률 제49조<br/>
【원 고】 <br/>【피 고】 <br/>【변론종결】2006.4.21.<br/>【주 문】<br/>1. 피고는 원고들에게 각 500,000원 및 이에 대하여 2005. 5. 11.부터 2005. 8. 12.까지는 연 5%, 그 다음날부터 완제일까지는 연 20%의 비율에 의한 금원을 지급하라.<br/>2. 원고들의 나머지 청구를 각 기각한다.<br/>3. 소송비용은 이를 5분하여 그 중 3은 원고들이, 나머지는 피고가 각 부담한다.<br/>4. 제1항은 가집행할 수 있다.<br/><br/>【청구취지】피고는 원고들에게 각 5,000,000원 및 이에 대하여 2005. 5. 11.부터 소장 송달일까지는 연 5%, 그 다음날부터 완제일까지는 연 20%의 비율에 의한 금원을 지급하라.<br/>【이 유】 1. 인정 사실<br/> 가. 피고 회사는 게임사업을 운영하며 다중 이용자 온라인 롤플레잉게임(MMORPG : Massively Multiplayer Online Role Playing Game)인(게임명 생략)게임(이하 ‘이 사건 게임’이라고 한다)을 개발하여 그 이용서비스를 제공함으로서 수익을 올리는 회사이고, 원고1은 ‘(아이디 생략)’, 원고2는 ‘(아이디 생략)’, 원고3은 ‘(아이디 생략)’, 원고4는 ‘(아이디 생략)’, 원고5는 ‘(아이디 생략)’라는 아이디로 이 사건 게임서비스를 이용하고 있는 이용자들이다.<br/> 나. 피고 회사는 2005. 5. 11. 이 사건 게임 서버 및 네트워크 정기점검 및 업데이트 작업을 실시하는 과정에서, 담당 직원이 아이디/비밀번호 입력과 관련된 기능을 테스트하기 위하여 임시로 이용자들의 아이디와 비밀번호가 로그파일(logfile)에 기록되도록 하였다가, 테스트 종료 후 아이디/비밀번호 기록 기능을 삭제하지 않은 상태에서 서버 업데이트 작업을 마치는 바람에, 2005. 5. 11. 오전 10시부터 이 사건 게임에 접속한 이용자들에 대하여 생성된 로그파일에 이용자들의 아이디와 비밀번호가 기록되게 되는 사고(이하 ‘이 사건 사고’라고 한다)가 발생하게 되었다.<br/> 다. 피고 회사는 2005. 5. 16. 12:00경에서야 이용자들의 아이디와 비밀번호가 로그파일에 기록되고 있음을 알게 되었고, 즉시 이용자들의 게임서버 접속을 차단하고, 아이디와 비밀번호가 로그파일에 기록되도록 하는 기능을 삭제하였으며, 이미 개별 컴퓨터에 생성된 로그파일이 삭제되도록 하는 시스템 패치작업을 실시하였다.<br/> 라. 피고 회사는 이러한 시스템 패치 작업과 더불어, 2005. 5. 16. 13:20부터 15:45까지 이용자들의 게임서버 접속을 차단하고, 이 사건 사고기간(2005. 5. 11. 10:00 - 2005. 5. 16. 12:00) 동안에 이 사건 게임에 접속하였던 모든 이용자들로 하여금 주민등록번호로 동일인 확인을 거친 후에 새로운 비밀번호로 변경한 다음에만 이 사건 게임에 접속할 수 있도록 하는 조치를 취하였다.<br/> 마. 원고들은 이 사건 사고기간 동안 이 사건 게임에 접속한 이용자들이다.<br/> 바. 이 사건 게임의 로그파일은 이용자가 이용하는 컴퓨터의 하드디스크 C드라이버에 C://Program Files/(이하 생략)라는 경로를 가진 파일로 저장이 된다.<br/> 사. 피고 회사는 2005. 5. 16. 이 사건 사고와 관련하여 이 사건 게임 홈페이지에 이용자들에 대한 사과문을 게재하고, 유료 이용자들에게 1일간의 무료사용권을 제공하는 이외에는 이 사건 사고와 관련하여 이용자들에게 별다른 보상 조치를 취한 것이 없다.<br/> [인정 근거] 다툼 없는 사실, 갑 제1 내지 4, 6호증, 을 제1, 2호증, 제3호증의 1, 2, 제4호증의 1 내지 6의 각 기재, 변론 전체의 취지.<br/> 2. 주장 및 판단<br/> 가. 관련 규정<br/> (1) 이 사건 게임서비스 이용약관 제13조 제2항에서는 “회사는 이용자의 계정 정보를 포함한 일체의 개인정보가 서비스 시스템으로부터 유출되지 않도록 하며, 제3자에게 공개 또는 제공되지 아니하도록 보호합니다.”라고 정하고 있다.<br/> (2) 한편,정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘법’이라고 한다) 제49조에서는 “누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니 된다.”라고 규정하고 있다.<br/> 나. 청구원인사실에 대한 판단 <br/> (1) 손해배상책임의 발생<br/> 살피건대, 피고 회사는 이 사건 게임 서비스 업자로서 이 사건 게임을 이용하는 이용자들의 개인정보가 유출되지 않도록 필요한 조치를 다하여야 할 계약상, 법상의 의무를 부담하고 있다고 할 것이다. <br/> 그런데 앞에서 본 바와 같이 피고 회사가 이 사건 게임 서버의 업데이트 과정에서 이용자들의 개인정보인 아이디와 비밀번호가 암호화되지 않은 상태에서 로그파일에 저장되도록 함으로써, 컴퓨터에 관한 상당 수준의 전문지식이 있는 사람이라면 누구라도 그에 접근하여 이용자들의 아이디와 비밀번호를 알 수 있는 상황을 발생시킨 것은 이용자들의 개인정보를 유출되도록 한 것으로서 이는 이 사건 게임 서비스 이용계약 및 법에서 요구하는 주의의무를 다하지 않은 과실에 해당한다고 할 것이다.<br/> 따라서 피고 회사는 이 사건 사고 기간 동안 이 사건 게임서비스에 접속하여 개인정보 유출의 위험에 처하게 된 원고들이 입은 정신적 손해(원고들은 이 사건에서 정신적 손해의 배상만을 구하고 있다.)를 배상할 책임이 있다.<br/> 피고 회사는 원고들이 이 사건 사고 기간 중에 PC방 등과 같이 불특정 다수인이 함께 사용하는 컴퓨터를 사용한 경우가 아니라 개인용 컴퓨터를 사용하여 이 사건 게임 서비스에 접속하였다면 개인정보유출의 위험이 없고, 또한 PC방 등에서 접속하였더라도 피고 회사가 신속한 패치작업을 통하여 개인정보유출을 막았으므로 손해발생의 가능성이 전혀 없으며, 이 사건 사고 이후에도 이 사건 사고로 인하여 원고들 등 이 사건 게임 서비스 이용자들의 개인정보가 유출되어 실제로 피해가 발생한 사실이 없으므로 원고들의 이 사건 손해배상청구에 응할 수 없다는 취지의 주장을 한다.<br/> 그러므로 살피건대, 오늘날과 같이 컴퓨터 기술과 인터넷의 발전에 수반하여 해킹 등 타인의 정보를 불법적으로 수집하는 방법도 고도로 발달되어 있는 상황에서는 이 사건 사고로 인하여 원고들의 개인정보가 공개된 로그파일이 PC방 등에 있는 컴퓨터가 아닌 개인용 컴퓨터에 저장되었다 하더라도 원고들의 개인정보유출의 위험이 없다고 볼 수 없고, 피고 회사의 주장에 의하더라도 2005. 5. 16. 12:00경 이전에는 피고 회사는 이 사건 사고로 인한 피해예방조치를 취하지 않았을 뿐만 아니라, 이 사건 사고발생 사실도 제대로 알지 못하고 있었다는 것이고, 갑 제10호증의 1, 2, 3의 각 기재 및 변론의 전취지에 의하면 피고 회사가 2005. 5. 16. 12:00 이후에 PC방 등에서 패치 작업을 한 이후에도 상당 기간 동안은 로그파일의 개인정보가 그대로 남아 있어서 개인정보유출의 위험이 존재하였던 사실을 인정할 수 있으며, 또한 피고 회사의 주장대로 이 사건 사고로 인하여 유출된 원고들의 개인정보를 이용한 다른 사고가 확인된 바가 없다고 하더라도 원고들이 정신적 손해를 입지 않았다고는 말할 수 없으므로 피고 회사의 위 주장은 받아들이지 아니한다.<br/> (2) 손해배상책임의 범위<br/> 나아가, 피고 회사가 원고들에게 배상해야 하는 손해배상의 범위에 관하여 보건대, 오늘날과 같이 컴퓨터 기술과 인터넷이 고도로 발달한 사회에서는 개인정보의 유출이 가져올 수 있는 피해가 심각하다는 점, 피고 회사와 같이 다수의 이용자들을 회원으로 가입시켜 게임서비스를 제공하고 그로 인하여 수익을 얻고 있는 업체에게는 그 사업과정에서 알게 되는 이용자들의 개인정보를 보호하기 위한 특별한 주의의무를 부담하도록 하는 것이 미래에 더 고도로 발달될 정보 사회에서의 개인의 비밀과 자유의 보호를 위해 바람직한 것으로 판단되는 점, 피고 회사는 이 사건 사고 이후에도 앞에서 본 바와 같이, 이 사건 게임 홈페이지에 이용자들에 대한 사과문을 게재하고, 유료 이용자들에게 1일간의 무료사용권을 제공하는 이외에는 이 사건 사고와 관련하여 이용자들에게 별다른 보상 조치를 취한 것이 없고, 이 사건 소송 과정에서도 피고 회사의 과실을 인정하지 않고 책임지려는 자세를 전혀 보이지 아니한 점, 원고들이 이 사건 사고로 인하여 현실적, 경제적으로 입은 손해는 이 사건 변론 종결일까지 확인되지 아니한 점 등을 참작하여, 피고 회사가 원고들에게 배상해야할 위자료로 원고들 각자에게 500,000원씩으로 정하기로 한다.<br/> 그렇다면 피고 회사는 원고들에게 각 500,000원 및 이 사건 사고 발생일인 2005. 5. 11.부터 이 사건 소장 송달일인 2005. 8. 12.까지는 민법에서 정한 연 5%, 그 다음날부터 완제일까지는 연 20%의 각 비율에 의한 금원을 지급할 의무가 있다. <br/> 3. 결 론 <br/> 따라서 원고들의 이 사건 청구는 위 인정 범위 내에서 이유 있으므로 이를 인용하기로 하고, 나머지 청구는 이유 없으므로 이를 기각하기로 하여 주문과 같이 판결한다.<br/><br/>판사 허성욱