소장 원고 1. E 안양시 OOO 2. F 고양시 OOO 원고들소송대리인피고주식회사 A 서울시강남구 OOO 대표이사김대표 법무법인정통 담당변호사정보호 손해배상청구의소 주위적청구취지 1. 피고는원고 E에게 165,000,000원, 원고 F에게 9,000,000원및위각금원에대한 2017.6.30. 부터이사건소장부본송달일까지는연 5%, 그다음날부터다갚는날까지는연 15% 의각비율에의한금원을각지급하라. 2. 소송비용은피고가부담한다. 3. 제1항은가집행할수있다. 라는판결을구합니다. 예비적청구취지 1. 피고는원고 E, F에게각 3,000,000원및이에대한 2017.6.30. 부터이사건소장부분송달일까지는연 5%, 그다음날부터다갚는날까지는연 15% 의각비율에의한금원을각지급하라. 2. 소송비용은피고가부담한다. 3. 제1항은가집행할수있다. 라는판결을구합니다.
1. 기초사실 ( 생략 ) 2. 주위적청구원인 피고는개인정보유출을방지할주의의무가있음에도이를하지아니한중과실이있으며, 그에따라이사건개인정보가유출되어원고들에게손해가발생하였습니다. 이에정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 이라고함 ) 제32조제2항에따라손해배상을청구하는바그근거는다음과같습니다. 가. 피고의개인정보유출에대한중과실 1) 개인정보수탁자의기술적 관리적조치의무위반 피고와 B사는직접적인개인정보처리위탁계약을체결하진않았으나, 양자가체결한서비스이용계약에서 B사의개인정보보호의무를명시하고있으며, 정보통신서비스제공자를위한개인정보보호법령해설서에따르면개인정보제공자의업무와직간접적으로관련된업무를위해개인정보를제 3자에게제공하는행위를개인정보위탁이라고규정하고있습니다. 이사건에서피고가온라인게임서비스를제공하기위한스토리지, 시스템, 네트워크등일체의시스템운영을 B사에의존하고있고, 피고가수집하였거나수집하게될이용자의개인정보를 B사가제공하는서버에보관하고있는점, 피고의게임서비스운영업무를위해 B사가제공하는클라우드서버를이용하는과정에서피고의서비스이용자들의개인정보가 B사의클라우드서버에보관, 저장된다는점에서피고와 B사의관계는위탁관계에해당하는것이명백하다할것입니다. 이처럼피고와 B사간의클라우드서비스이용계약이개인정보처리위탁을수반하기때문에정보통신망법제25조제5항에따라손해배상책임에있어서 B사는피고의직원으로간주되며, B사의정보통신망법위반행위로인해발생한손해에대해서그배상책임은피고에게있다
고할것입니다. 이번사건에서수탁자인 B 사의정보통신망법상의무 위반에는어떠한것들이있는지살펴보겠습니다. 가 ) 망분리조치의무위반 정보통신망법제28조제1항제2호에따르면정보통신서비스제공자는개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치를설치, 운영하여야합니다. 또한동법시행령제 15 조제2항제3호에따르면이용자수가 100만명이상인정보통신서비스제공자는개인정보처리시스템에접속하는개인정보취급자컴퓨터에대한외부인터넷망을차단하는망분리조치를취해야할의무를규정하고있습니다. 개인정보의기술적 관리적보호조치기준 ( 방송통신위원회고시제2015-3호, 이하 방통위고시 라함 ) 에따르면망분리란, 외부인터넷망을통한불법적인접근과내부정보유출을차단하기위해업무망과외부인터넷망을분리하는망차단조치를말합니다. 이번사건에서회원수가 110만명에이르는피고는개인정보취급자인 B사의직원 D의컴퓨터에외부인터넷망을차단하는망분리조치를취했어야함에도불구하고, 이를위반하여해커가 D 컴퓨터의외부인터넷망 ( 자주방문하는커뮤니티 ) 에설치된악성코드를통해서 B사의업무망 ( 클라우드서버 ) 에접근하는것을차단하는조치를취하지아니하였고이는이번개인정보유출사고와직접적인인과관계가있습니다. 따라서 B사에게정보통신망법제28조에따른개인정보보호조치의무위반에대한중대한과실이있는것입니다. 나 ) 컴퓨터바이러스에의한침해방지조치의무위반 정보통신망법제28조제1항제5호, 동법시행령제15조제5항에따르면정보통신서비스제공자등이개인정보를처리할때에는백신소프트웨어의설치, 운영등컴퓨터바이러스에의한침해방지조치를하여야하며, 이에따라개인정보처리에이용하는정보기기에컴퓨터바이러스, 스파이웨어등악성프로그램의침투여부를항시점검, 치료
할수있도록백신소프트웨어를설치하고이를주기적으로갱신, 점검하여야합니다. 이사건에서직원 D는개인정보처리위탁을받은 B사의직원이므로 D 역시개인정보취급자의지위에있다고할수있습니다. D가자주방문하는커뮤니티에는사건발생 1주일전부터악성코드가유포되고있었고, D는커뮤니티로부터악성코드를치료할수있는긴급백신을제공받았음에도불구하고, 자신의컴퓨터에무료백신이설치되어있었다는이유로긴급백신을실행시키지않았으며, 이는이번개인정보유출사고의발단이되었습니다. 따라서 D는정보통신망법제28조개인정보의보호조치의무위반에대해중대한과실이있고, 이는곧 D를고용한 B사에게중대한과실이있는것입니다. 다 ) 접속시간제한의무위반 B사는개인정보를처리하는과정에서방통위고시에따른접근통제관련기술적 관리적조치를하지않은바, 정보통신망법제28조제1 항제6호를현저히위반하였습니다. 방통위고시제4조제10항에따르면, 정보통신서비스제공자등은필요한시간동안에만개인정보처리시스템에대한개인정보취급자의접속이이루어질수있게끔최대접속시간제한등의조치를취하여야합니다. 그러나 B사는클라우드서버운영에있어일정기간작업이없을시에는자동으로접속을차단하는기능등개인정보에의접근통제를위한기초적인접속시간제한조치를취하지않았습니다. 만일 B사의클라우드서버에대하여자동접속차단기능을설정함으로써방통위고시에따른접속시간제한조치가이루어졌다면, 설사해커가 B사직원 D의컴퓨터를해킹했더라도 D의부재시에는 D의컴퓨터와 B사의클라우드서버간의접속이일정시간이후자동종료됨에따라 B사의서버에대한추가적인해킹이이루어지지않았을것입니다. 해커가 B사의클라우드서버에접근할수없었다면, 해커가 B사클라우드서비스의취약점을이용하여피고의고객개인정보가저장되어있던서버에대한접속또한불가능했을것이므로, B사는이에대한중대한과실이있다고볼것입니다.
2) 유출사실통지및신고의의무위반 확인된사실관계에따르면 B사는 2017년 6월 30일에해커로부터협박이메일을받고개인정보유출사실을알게되었으며, 이후 2017년 7 월 5일에국내언론보도를통해피고 A사역시 B사가해킹을당해서 B사의클라우드서비스를이용하는기업들의일부데이터가유출되었음을알게되었습니다. 피고또한 B사의클라우드서비스를이용하고있었으므로, 피고의데이터도유출되었을가능성이있다는것을인지하였을것입니다. 정보통신망법제27조의3 제1항은 " 정보통신서비스제공자등은개인정보의분실 도난 유출 ( 이하 유출등 이라한다 ) 사실을안때에는지체없이다음각호의모든사항을해당이용자에게알리고방송통신위원회 ( 이하 방통위 라함 ) 또는한국인터넷진흥원 ( 이하 KISA 라고함 ) 에신고하여야하며, 정당한사유없이그사실을안때부터 24시간을경과하여통지 신고해서는아니된다." 라고명시하고있는바, 피고는 2017년 7월 5일에즉시방송통신위원회에신고하여야했음에도열흘이지난 2017.7.15에야유출등의사실을신고하고고객들에게해킹및개인정보유출사실을알린것은정보통신망법제27조의3 제1항위반에해당합니다. 또한원고 E가게임아이템을탈취당한것은 2017년 7월 16일새벽 2시경으로, 피고가국내언론을통해개인정보유출사실을인지하였을 2017년 7월 5일에고객들에게즉시통지하였다면열흘의간격사이에원고 E는게임계정비밀번호변경및게임아이템잠금등의조치를취하여 5,000만원상당의게임아이템탈취를예방할수있었을것으로예상되는바, A사는정보통신망법제27조의3 제5항에명시된 피해를최소화할수있는조치를강구해야할의무 를위반하였습니다. 언론보도를통해피고 A사가신고에필요한모든정보를알수없었다고할지라도, 정보통신망법시행령제14조의2 제2항에 정보통신서비스제공자등은구체적인내용이확인되지아니하였으면그때까지확인된내용을우선통지 신고한후추가로확인되는내용에대해서는확인되는즉시통지 신고하여야한다. 고명시된바, 피고가클라우드
서비스를위탁한 B사가해킹을당하였고이로인해기업들의일부데이터가유출되었으므로피고의데이터가유출되었을가능성이있음을방송통신위원회또는 KISA에신고하고게임서비스이용자에게개인정보유출의가능성이있으니도용을주의하고비밀번호변경등의조치를취할것을권고해야했습니다. 그럼에도유출사실이공식적으로피고에통지된 2017년 7월 15일에통지 신고하여피고는정보통신망법제27조의3 제1항및제5항, 시행령제14조의2 제2항을위반하였습니다. 3) 개인정보의보호조치위반 정보통신서비스제공자인피고는개인정보의안전성을확보하기위하여정보통신망법과동법시행령에서정하는기준에따라일정한기술적 관리적조치를하여야합니다. 특히개인정보를국외로이전하는경우, 정보통신망법제63조에따라각별한주의의무가요구됩니다. 그러나정보통신서비스제공자 A는국외에데이터센터를두고있는 B사로고객개인정보를이전함에도불구하고정보통신망법시행령제 67조제2항에서요구하는보호조치를 B사와의계약서에반영하고있지않을뿐더러, 동법시행령제15조에서요구하는주의의무를하지아니하였습니다. 가 ) 접근통제장치설치 운영의무위반 정보통신망법제45조제1항에따르면정보통신서비스제공자는정보통신서비스의제공에사용되는정보통신망의안정성및정보의신뢰성을확보하기위한보호조치를하여야합니다. 이에대한보호조치의구체적내용은정보통신망법제45조제2항에기술되어있는 정보보호조치에관한지침 ( 미래창조과학부고시제2013-196호, 이하 미래부고시 라고함 ) 에서정하고있습니다. 미래부고시제3조관련별표1 의보호조치에따르면, DB서버보안을위한기술적인세부조치사항을다음과같이권고하고있습니다.
구분 2.2. 정보통신설비보안 2.2.1. 웹서버보안 2.2.4. DB 서버보안 세부조치사항 - 외부에 서비스를 제공하는 웹서버는 단독서버로 운영하고 DMZ에설치 - 내부망에설치 - 외부망에서직접접속할수없도록네트워크를구성 해커가 B사의클라우드서버로부터피고의 DB서버로이동할수있었던것은피고가 DB서버보안을위한기술적보호조치를하지않았기때문입니다. 해킹된피고의서버는특히개인정보가저장되는 DB서버이므로안전하게 내부망 에설치하고 외부망 에서직접접속할수없도록네트워크를구성했어야합니다. 만일피고가 DB서버를 내부망 에설치했다면, 해커가 B사의클라우드서버에서피고의 DB 서버로직접접속할수없었을것입니다. 이러한원고의주장에대하여피고는제휴업체와의시스템연동이필요하여 DB서버를내부망에설치하는데어려움이있었고, 정보보호조치에관한지침은권고사항이므로위법성이없다고항변할수있습니다. 그러나법원이정보통신서비스제공자의의무이행여부를판단함에있어서, 지침을준수하였는지여부는중요한근거로작용해왔습니다. 구체적으로는지침을준수하였다면서비스제공자의의무를다했다고보아개인정보가유출된경우라도책임을면할수있다고법원은판단해오고있습니다. 예컨대판례에서클라우드서비스등의서비스가해킹되는것은불가피한것으로보고있으며, 그러한불가피한상황에서정보통신서비스제공자가지침을준수하였다면더이상책임이없는것으로판단해왔습니다. 대부분의판결에서는서비스제공자가지침을준수하였다면책임이없다는결론을내렸고, 일부판결에서는서비스제공자가지침을준수하지않았을때에는개인정보유출의책임이있다는판결을내렸습니다. 요컨대지침은서비스제공자가개인정보유출방지를위한의무를다하였는지여부를판단하는중요한근거로작용해왔습니다.
그리고만일피고가 DB서버를내부망에설치할수없었다면, 방통위고시 개인정보의기술적 관리적보호조치기준 을준수하여, 불법적인접근및침해사고방지를위한기본적인조치를취했어야합니다. 정보통신망법제28조제1항 2호및동법시행령제15조제2항제2호에따르면정보통신서비스제공자는개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치의설치 운영을해야하며, 이에대한구체적인내용은방통위고시에서정하고있습니다. 방통위고시제4조제5항에따르면정보통신서비스제공자등은 (1) 해당 DB서버에대한접속권한을 IP 주소등으로제한함으로써인가받지않은접근을제한했어야하고, (2) 해당 DB서버에접속하는 IP 주소등을재분석하여불법적인개인정보유출시도를탐지할수있도록구축했어야합니다. 그러나, 피고는상기기술한법적강제력이있는필수적인보호조치를하지않음으로써, 해커가피고의 DB서버로접속하고피고의이용자들의개인정보가유출되도록방치하였습니다. 이렇듯인가받지않은 B사의서버에서피고의 DB서버에대한접근이가능하도록기술적 관리적조치를취하지않은피고의과실은중과실에해당된다고할수있습니다. 접근을통제하는기술적인방법에는여러가지가있지만, 피고는개인정보저장서버에대해서방화벽 (Firewall) 을사용하여사전에관리자로하여금보안규칙 (ACL, Access Control List, 접근제어목록 ) 을설정하도록하고, 네트워크를통하여들어오는모든접근시도에대해서접근제어목록에따라인가받지않은 IP 주소로부터의접속은차단하고인가받은 IP 주소로부터의접속만접속이가능하도록관리하는최소한의기본적인조치라도취했어야합니다. 나 ) 정보통신망의안정성확보의무위반 정보통신망법제 28 조제 1 항제 5 호및동법시행령제 15 조제 5 항, 제 6 항에따르면정보통신서비스제공자등이개인정보를처리할때에는
컴퓨터바이러스에의한침해방지조치를하여야합니다. 이에대한방송통신위원회고시제7조제2항에따르면, 정보통신서비스제공자등은악성프로그램관련경보가발령된경우또는사용중인응용프로그램이나운영체제소프트웨어의제작업체에서보안업데이트공지가있는경우, 즉시 업데이트를실시해야한다고고시하고있습니다. 확인된사실관계에따르면피고는 B사의클라우드서비스를이용하고있지만, B사로부터제공받은 A사의클라우드서버에사용되는운영체제는피고가설치및관리하고있습니다. 하지만피고는사용하고있는운영체제개발사가해당운영체제의버전에서취약점이발견되어피고에게해당버전의취약점및패치방법에대해통지함에도불구하고, 해당소프트웨어운영체제보안패치를권고받은즉시실시하지않았습니다. 이는이후해커가위운영체제의취약점을이용하여피고의데이터베이스관리자권한을획득하고, 피고의데이터베이스에저장되어있던 50만건의피고의고객개인정보를유출시킨것에대한직접적인원인이되었다고볼수있습니다. 결국피고가운영체제의취약점과보안패치적용의필요성을이미충분히인지함에도불구하고즉시설치하지않은점과, 해킹사고발생전피고가운영체제보안패치를적용했다면해커가운영체제의취약점을이용하여피고의고객개인정보에접근하지못했을것이므로, 피고는정보보호시스템의기술적보호조치를통해정보통신망의안정성을확보할의무를져버린중과실이있다고볼수있습니다. 다 ) 안전한암호화기술등을이용한보안조치의무위반 정보통신망법제28조제1항제4호에서 정보통신서비스제공자등이개인정보를처리할때에는개인정보를안전하게저장 전송할수있는암호화기술등을이용한보안조치를하여야한다 고규정하고있습니다. 그러나피고는안전하지않은 MD5 일방향암호화 (Hash) 를이용함으로써이용자들의비밀번호가유출되었으므로, 개인정보의보호조치의무를위반한중과실이있다고볼수있습니다. MD5는일방향암호화하기전의원본을찾아내기쉬운보안상취약
점이있는안전하지않는암호화방식입니다. 그런이유로이미오래전부터 MD5 알고리즘을보안관련용도로쓰는것은권장하지않아왔으며, MD5 사용시심각한보안문제를야기할수있다는것은널리알려져있는사실입니다. 또한, KISA에서발표한 개인정보의안전성확보조치기준 에서는암호화대상개인정보를저장 전송시 안전한암호알고리즘 으로암호화하도록규정하고있으며, 안전한암호알고리즘 이란국내및미국, 일본, 유럽등의국외암호연구관련기관에서권고하는암호알고리즘을의미합니다. 이에대해 개인정보의암호화조치안내서 에서는민간부문이개인정보암호화에사용할수있는안전한암호알고리즘의예시로 SHA-224/256/384/512를제시하고있습니다. 구분공공기관민간기관 ( 법인 / 단체 / 개인 ) 일방향암호알고리즘 SHA-224/256/384/512 SHA-224/256/384/512 Whirlpool 등 피고는비밀번호를암호화하기위해 MD5 를이용한것이법률상위 반하는점이없기때문에이를위법하다판단할수없다고주장하지 만, 정보통신망법제 28 조제 1 항제 4 호를위반하였는지여부를판단하 는데에있어서는피고가 실질적 으로안전한암호화기술을이용한 보안조치를이행하였는지를검토해야합니다. 정보통신망법시행령제 15 조제 6 항에따른방통위고시제 6 조제 1 항에서는 정보통신서비스 제공자등은비밀번호는복호화되지아니하도록일방향암호화하여저 장한다 고명시하고있습니다. 이때 MD5 암호화방식은현재복호화 가가능한일방향암호화방식이기때문에안전한암호화기술을이용 한보안조치가실질적으로이루어지지않았다고볼수있습니다. 뿐만아니라기존판례와방통위의심의결과에서도 MD5 암호화방 식의위법성을인정하고있습니다. 판례 ( 대구지방법원 2012 나 9865) 에서 MD5 방식은보안상취약점이지적되는암호화방식이므로안전한 보호조치가이루어진것으로보기어렵다 고판시하고있는바, 피고 는개인정보가안전하게저장될수있는암호화기술을사용해야하는
의무를위반한것입니다. 또한방송통신위원회의제61차회의속기록에따르면, 당해사건정보통신서비스제공자의개인정보보호의무위반에대해 MD5를적용해서유출된비밀번호의복호화가가능하게된사실을확인하였고, 이는정보통신망법제28조제1항제4호위반에해당되는것으로판단되며이에대해서는시정명령과과태료부과가가능합니다 라고기록되어있습니다. 나. 손해의발생 정보통신망법제32조제2항에따른징벌적손해배상으로원고 E는 165,000,000만원, F는 9,000,000원의위자료를손해배상액으로청구합니다. 원고 E의게임아이템이형법상보호의대상으로인정될수있는지여부에대하여, 원고가게임아이템을획득하기위해우연적요소보다원고의경험및실력이더큰비중을차지하였다는점, 유료아이템의경우현금을, 무료아이템의경우시간과노력을투자하였다는점등을고려할때, 재산적가치가없다고할수없으며게임아이템이실제시중에서거래되어가치가형성되어있는경제적교환가치가인정된다고밝힌판례 ( 수원지법 2013고단10) 로보아이사건의원고가보유하고있던게임아이템의재산상가치가존재하고, 형법상보호의객체가되는 재산상이익 에해당한다고볼수있습니다. 또한게임산업진흥에관한법률제32조제1항제7호에근거하여게임아이템등의환전이금지되었다고하더라도, 원고 E를일반적인게임서비스이용자로상정할경우, 그가명시된위법행위를통하여게임아이템을생산 획득했다고할수없으며판례 ( 헌재 2002헌마519) 에서 ' 직업 ' 에대해 ' 단순한여가활동이나취미활동은직업의개념에포함되지않 ' 는다고언급한바, 원고의게임아이템은같은법시행령제18조의 3에명시된환전금지대상이아니며명백히재산상이익에해당하므로피고가원고의재산상손해와이로인한정신적피해를배상함이타당하다고생각됩니다.
손해배상액산정의근거는다음과같습니다. 1사건이후원고 E의재산상손해라할수있는게임계정에서탈취당한게임아이템의시중가치가 5,000만원이라는점, 2해당해킹사고로인해원고들의이름, 생년월일, 휴대전화번호, 이메일등이유출되었고여러불법구매자들에게유출된개인정보가매각되었다는사실을통해이미확산되었을원고들의개인정보가도용됨으로써불법사이트가입, 보이스피싱등추가적인피해및범죄가지속적으로이루어질수있다는것이충분히예상가능한바, 이로인해원고들에상당한심리적 정신적피해와법익침해의가능성이있는점, 3위에서언급한바와같이위탁자에대한관리 감독부족, 보안패치업데이트미실시, 유출사실통지지연, 취약한운영체제사용, 접근통제장치미설치등피고의중과실로인하여원고들의개인정보유출이발생한점, 4피고의경제적지위, 정보통신서비스제공자로서의사회적책임등의사정을고려하였으며과거판례 ( 대구지법 2012나9865) 에서도이와유사한근거로위자료를인정한바있습니다. 다. 소결 피고는정보통신망법등관련규정에따른외부인터넷망차단조치의무, 최대접속시간제한조치의무, 백신설치등을통한침해방지조치의무, 사고발생시즉시통지및신고의무, 안전한암호화기술등을이용한보안조치의무등을중대한과실로위반하였고, 이로인하여이사건개인정보유출사고가발생하여원고들에게위와같은손해가발생하였으므로, 정보통신망법제32조제2항에따라징벌적손해배상책임을지는바원고들각각에대하여 165,000,000원, 9,000,000원의손해를배상하는판결을구합니다. 3. 예비적청구원인
피고는정보통신망법에따른정보통신서비스제공자로서정보통신서비스이용자인원고들로부터제공받은개인정보가분실 도난 유출 위조 변조또는훼손되지않도록보호 관리하고, 그에필요한기술적 관리적조치를다하여야할주의의무를진다고볼것입니다. 그러나피고는고의또는과실로정보통신망법제4장의규정들을위반하여이사건해킹사고에서원고들의개인정보가유출 악용되도록한바, 이에원고들은정보통신망법제32조의2 제1항에따른법정손해배상을청구하고그근거는다음과같습니다. 가. 피고의과실로인한정보통신망법제 4 장의규정위반 1) 수탁자에대한관리 감독의무위반 주위적청구에서살펴보았듯이, 피고와 B사는명문으로된개인정보처리위탁계약을체결하지는않았으나, 정보통신망법제25조제1항의개인정보처리위탁개념규정, 피고와 B사가체결한클라우드서비스이용계약에서규정하고있는 B사의정보보호의무관련조항, B사가제공하는클라우드서버내에피고의게임서비스운영업무를위한이용자의개인정보가저장된다는점등을고려하였을때피고와 B사가개인정보처리위탁관계에놓여있다고볼수있으며, 따라서피고에게는수탁자에대한관리 감독및교육의의무가부과됩니다. 하지만피고는수탁자인 B사에대해서정보통신망법상개인정보관련규정을준수하도록관리 감독및교육을일절하지않았으므로, 피고가정보통신망법제25조제4항을위반하였다할것입니다. 피고는클라우드컴퓨팅기술을활용해 B사의클라우드서버내의가상화공간에개인정보를저장하고활용하는것은정보통신망법제25 조제1항에서규정하는개인정보처리위탁에해당하지않는다고주장하고있습니다. 그러나 B사의클라우드서버내에존재하는피고의이용자개인정보일체는정보통신서비스제공자인피고의개인정보취급을주된목적으로이전 저장되었다는점, 정보통신망법제25조제1항
에서규정하는개인정보처리위탁에서의 처리 는이용자개인정보의저장 보유및그밖에이와유사한행위를모두포괄하고있는점등을종합할때, 클라우드서비스이용계약은개인정보처리위탁을명확히포함한다고보아야할것입니다. 2) 개인정보보호조치에관한의무위반 피고와 B사의클라우드서비스계약이그성격의본질상개인정보처리위탁의내용을포함하고있으므로, 정보통신망법제25조제5항에따라수탁자인 B사의규정위반으로인해이용자에게손해가발생한다면 B사는손해배상책임에있어서피고의소속직원으로간주됩니다. 그런데앞서주위적청구에서살펴보았듯이. B사는정보통신망법제28 조제1항및제67조제2항에의거하여개인정보의분실 유출등을방지하고개인정보의안전성을확보하기위한기술적 관리적조치를할의무를짐에도불구하고, 현저한고의또는과실로이를위반하였습니다. 따라서위탁자인피고는동법제32조의2 제1항에따른책임을지게된다고사료됩니다. 3) 이용자에대한공개 고지의무및서면계약체결의무위반 피고는정보통신서비스제공자로서제3자에게이용자의개인정보의저장 보유등의처리업무를위탁할경우에는, 정보통신망법제25조제2항에따라 (1) 수탁자및 (2) 개인정보처리위탁의업무내용등각호의사항모두를제27조의2 제1항에따라공개하거나, 전자우편등동법시행령제10조에서정하는방법을활용하여이용자에게고지할의무를지고있습니다. 그러나확인된사실관계에따르면, 피고는자사홈페이지내의개인정보처리방침에수탁자인 B사와의계약사실및클라우드서비스이용등에대해서는일절공개하지않은바, 피고는제25조제2항을명백히위반하였다고볼것입니다. 또한피고는수탁자인 B사에게개인정보처리위탁을함에있어정보통신망법제25조제 6장에따라문서에의한계약을체결했어야합니다. 그러나 B사가제
시한계약서내용에따라체결한서비스이용계약외에양당사자간 에별도의개인정보처리위탁계약을문서로체결한사실이없으므로, 피고는상기조항을위반하였다할것입니다. 나. 소결 피고는정보통신망법제25조제1항 제2항 제4항 제6항, 제28조제1항등의규정을위반하였고이때문에 2017. 6. 30 원고들의개인정보가유출되었으므로, 정보통신망법제32조의2 제1항에따른손해배상책임을지는바, 이에따라원고들에게각 3,000,000원의손해를배상하라는판결을구합니다. 4. 결론 주위적으로피고는원고 E에게 165,000,000원, 원고 F에게 9,000,000 원및위각금원에대한 2017.6.30. 부터이사건소장부본송달일까지는연 5%, 그다음날부터다갚는날까지는연 15% 의각비율에의한금원을각지급하라는판결을, 예비적으로원고 E, F에게각 3,000,000원및이에대한 2017.6.30. 부터이사건소장부분송달일까지는연 5%, 그다음날부터다갚는날까지는연 15% 의각비율에의한금원을각지급하라는판결을구합니다. 2017. 8. 31 원고들소송대리인법무법인정통 담당변호사정보호 서울중앙지방법원민사 단독귀중