서 울 중 앙 지 방 법 원
제 2 1 민 사 부
판 결
사 건 2008가합31411 손해배상(기)
2008가합58638(병합) 손해배상(기)
원 고 별지 제1, 2 원고 목록 기재와 같다.
원고들 소송대리인 변호사 박진식
피 고 1. 주식회사 이베이옥션(eBay Auction Co., Ltd.)
서울 서초구 서초동 1303-22 교보타워
대표이사 박주만
소송대리인 변호사 황정근, 김진환, 구태언, 박정삼, 이정민
2. 인포섹 주식회사
서울 강남구 대치동 1008-4 성원빌딩
대표이사 김봉오
소송대리인 법무법인 남산
담당변호사 하민호, 정미화, 전해청, 임주호, 김용기
변 론 종 결 2009. 12. 21.
판 결 선 고 2010. 1. 14.
주 문
1. 별지 제2-2 원고 목록 기재 원고들의 피고들에 대한 소를 모두 각하한다.
2. 별지 제1, 2 원고 목록 기재 원고들 중 별지 제2-2 원고 목록 기재 원고들을 제외한 나머지 원고들의 피고들에 대한 청구를 모두 기각한다.
3. 소송비용은 원고들이 부담한다.
청 구 취 지
피고들은 연대하여 원고들에게 각 2,000,000원 및 이에 대하여 2008. 1. 5.부터 이 사건 소장 부본 각 송달일까지는 연 6%, 그 다음날부터 다 갚는 날까지는 연 20%의 각 비율로 계산한 돈을 지급하라.
이 유
1) 피고 주식회사 이베이옥션(이하 ‘피고 옥션’이라 한다.)은 ‘www.auction.co.kr’이라는 인터넷 오픈마켓1) 사이트(이하 ‘이 사건 사이트’라 한다.)를 개설하고, 사이트 회원으로 가입한 판매자와 구매자 사이의 상품 중개 및 전자 상거래 등을 주로 하는 회사이다.
2) 피고 인포섹 주식회사(이하 ‘피고 인포섹’이라 한다.)는 정보침해사고 대응 및 정보보호 컨설팅 서비스 등을 주로 하는 회사로서, 2007. 2. 1. 주식회사 엘지데이콤(이하 ‘엘지데이콤’이라 한다.)과 체결한 ‘인터넷 데이터센터 정보보호 서비스를 위한 계약’에 따라 2008년 1월경 엘지데이콤이 운영하는 인터넷 데이터센터의 고객인 피고 옥션에 정보보호 서비스를 제공하던 업체이다.
3) 원고들은 피고 옥션이 제공하는 상품 중개서비스를 이용하기 위해 피고 옥션과 서비스 이용계약을 체결하고 이 사건 사이트에 온라인 회원으로 가입하면서 주식회사 옥션 이용약관(갑 제1호증) 제8조에 따라 피고 옥션에 이름, 주민등록번호, 휴대전화번호, 이메일 주소, 아이디(ID), 비밀번호 등 개인정보를 제공한 사람들이다.
1) 중국인 해커로 추정되는 홍성(洪星)2)은 ① 2008. 1. 4. 04:49경부터 05:33경까지 ② 2008. 1. 5. 03:33경부터 04:33경까지 ③ 2008. 1. 7. 04:08경부터 05:11경까지 ④ 2008. 1. 8. 02:42경부터 03:45경까지 등 네 차례에 걸쳐 피고 옥션의 웹 서버3) 중 하나인 이노믹스 서버4)[아이피(IP) 주소 : 211.233.17.184]에 침입하여 이노믹스 서버를 통해 피고 옥션의 메인디비2(MAINDB2) 데이터베이스 서버(이하 ‘이 사건 데이터베이스 서버’라 한다.)에 저장되어 있던 피고 옥션 회원의 이름, 주민등록번호, 주소, 전화번호, 아이디, 계좌번호 등 개인정보를 자신의 컴퓨터로 내려받아 이를 유출하였다(이하 ‘이 사건 해킹 사고’라 한다.).
2) 이 사건 해킹 사고를 통하여 피고 옥션 회원 중 10,807,471명의 개인정보가 유출되었고, 이 중 원고들의 유출된 개인정보는 별지 제1, 2 원고 목록 ‘유출 개인정보’란 기재와 같다(유출 개인정보 중 기본정보는 이름, 주소, 전화번호, 아이디를 의미한다.).
3) 피고 옥션은 2008. 2. 4.경 이 사건 해킹 사고를 경찰 및 관계 기관에 신고하고, 2008. 2. 5.경 피고 옥션의 회원에게 이 사건 해킹 사고로 인한 개인정보 유출 사실을 공지하였다.
4) 경찰은 2008. 2. 4.경 피고 옥션의 신고를 받아 이 사건 해킹 사고에 대한 수사에 착수하였는데, 경찰의 수사 결과에 의하면, 홍성(洪星)은 다음과 같은 경로로 이 사건 데이터베이스 서버에 저장되어 있던 피고 옥션 회원의 개인정보를 유출한 것으로 추정된다.
가) ping 명령어로 ‘www.auction.co.kr’의 IP 주소를 획득하였다.
나) ‘Webtools’를 이용하여 아이디는 ‘admin’, 비밀번호는 기본으로 설정되어 있는 톰캣(tomcat) 서버로 운용되는 컴퓨터 시스템을 찾아냈다.
다) 톰캣 서버에 접속하여 톰캣 서버의 관리자 페이지에 ‘job.war’라는 백도어 프로그램5)을 올렸다.
라) 올린 백도어 프로그램에 접속한 다음 ① ‘ipconfig’, ‘arp’, ‘netview’라는 명령어를 실행하여 IP 주소 등 시스템 정보를 획득하고, ② ‘FX.EXE’라는 명령어를 실행하여 3389 포트(port)의 터미널 서비스를 기동하고, ③ ‘LCX.EXE’라는 명령어를 실행하여 한국 내 경유지[스타일보이 서버 (IP 주소 : 222.239.78.31)]로 터미널 서비스 포트를 포워딩(forwarding)6)하였다.
마) 경유지에서 ‘lcx / listen 51 8899’를 실행하였다.
바) 자신의 IP 주소를 세탁하기 위해 경유지인 스타일보이 서버를 거쳐 피고 옥션의 이노믹스 서버에 2007. 10. 27.경 경유지에 이미 생성하여 둔 아이디 ‘stella’로 접속한 다음 ① ‘tracert’라는 명령어를 실행하여 웹, 데이터베이스 서버의 IP 주소를 확인하고, ② ‘gethash’, ‘LC5’, ‘cain.exe’라는 명령어를 실행하여 통신 내용에서 아이디와 비밀번호 5,000여 개를 수집한 후 그 중 아이디 ‘auction’, 비밀번호 ‘auctionuser’로 이 사건 데이터베이스 서버에 접속하였다.
사) 이 사건 데이터베이스 서버에 저장되어 있던 피고 옥션 회원의 개인정보를 경유지로 전송하고, 경유지에서 개인정보를 백업한 다음 자신의 컴퓨터로 전송받았다.
5) 또한 경찰의 수사 결과 해커는 이 사건 해킹을 위해 주식회사 에이시스가 사용하고 있는 서버(IP 주소 : 203.109.11.130)를 아래 [ 표 ] 기재와 같이 이용한 것으로 추정된다.
|
순번 |
일시 |
내용 |
|
1 |
2007. 8. 10. 00:21 |
nbsi.rar 생성 |
|
2 |
2007. 10. 24. 23:10 |
IP 주소 : 222.239.78.521)에서 cain.rar 다운로드 |
|
3 |
2007. 11. 1. 18:54 |
http://fhod.ys168.com에 접속하여 webtool.rar 등 다운로드 |
|
4 |
2007. 12. 23. 21:00 |
fhod.asp 등 생성 |
|
5 |
2007. 12. 27. 01:16 |
cain.exe 생성 |
|
6 |
2007. 12. 29. 23:52 |
ncx.rar 생성 |
|
7 |
2008. 1. 1. 19:55 |
IP 주소 : 218.244.144.45에서 fhod.asp에 접속 |
|
8 |
2008. 1. 4. 01:57 |
http://211.233.17.1842):8080/job/fuckking.jsp에 접속 |
6) 그 후 경찰은 2009. 1. 22. 이 해킹 사건을 서울중앙지방검찰청으로 송치하였고, 서울중앙지방검찰청은 이 사건 해킹 사고의 주범인 한국인에 대하여 기소중지 결정을 내린 상태이다.
1) 한편 이 사건 해킹 사고 당시 중국 지린성에서 부동산 중개업소를 운영하던 김반석은 2008년 1월 중순경 성명불상 중국인으로부터 피고 옥션 회원의 개인정보를 판매하겠다는 제의를 받았다.
2) 김반석은 위 중국인으로부터 피고 옥션 회원의 개인정보가 받긴 파일을 전송받고 피고 옥션 회원의 개인정보가 유출된 사실을 확인한 다음, 회원의 개인정보가 유출된 피고 옥션으로부터 금원을 갈취하기로 마음먹고 2008. 1. 31. 및 2008. 2. 1.경 이 사건 사이트에 접속하여 피고 옥션의 개인정보 담당자에게 피고 옥션의 개인정보가 유출되었다는 내용의 메일을 보내고, 2008. 2. 12.경 피고 옥션의 직원 김동균에게 전화로 1억 5,000만 원을 요구하였다.
3) 서울중앙지방검찰청은 2009. 1. 7. 김반석에 대하여 공갈미수죄 등으로 공소를 제기하였고, 김반석은 2009. 5. 26. 이 법원에서 공갈미수 등 공소사실에 대한 유죄가 인정되어 징역 1년을 선고받았다. 이에 김반석은 항소하였으나 항소심은 2009. 8. 12. 김반석의 항소를 기각하였고, 항소심 판결은 2009. 8. 25. 김반석의 상고 취하로 확정되었다.
1) 한편 이 사건 해킹 사고로 인하여 개인정보가 유출되었다고 주장하는 피고 옥션 회원 중 일부는 그 무렵 한국소비자원과 녹색소비자연대 전국협의회에 피해 구제를 신청하였고, 한국소비자원장은 2008. 4. 28.에, 녹색소비자연대 전국협의회장은 2008. 6. 5.에 소비자분쟁조정위원회에 집단분쟁 조정을 의뢰하였다.
2) 소비자분쟁조정위원회는 2008. 12. 3.에 2008-3875, 5373(병합)호로 피고 옥션이 이 사건 해킹 사고에 대하여 웹 방화벽의 설치, 데이터베이스의 암호화, 인증 및 접근 제어 시스템의 구축 등 이 사건 해킹 사고 당시 관련 법령에서 요구하고 있는 기술적 보안 조치를 다하지 않은 과실이 있다고 인정하면서, 피고 옥션으로 하여금 2009. 1. 31.까지 기본정보, 주민등록번호, 이메일 주소, 계좌번호가 전부 유출된 사람들에게는 각 100,000원씩, 위 개인정보 중 일부만 유출된 사람들에게는 각 50,000원씩 각각 지급하도록 하고, 피고 옥션의 회원인지 여부가 불분명하거나 개인정보 유출 여부가 확인되지 않은 사람들의 조정은 하지 않는다는 내용의 조정 결정을 하였다.
[인정근거] 다툼 없는 사실, 갑 제1, 4호증, 제5호증의 1, 2, 제6, 9호증, 을 제11호증의 1, 제126호증의 각 기재, 증인 길기현의 증언, 변론 전체의 취지
별지 관련 규정 기재와 같다.
3. 별지 제2-2 원고 목록 기재 원고들 소의 적법 여부에 대한 판단
직권으로 살피건대, 별지 제2-2 원고 목록 기재 원고들 중 원고 문형철(2008가합58638 사건의 6448번 원고)은 2008가합58638 사건의 6447번 원고 문형철과, 원고 서춘택(2008가합58638 사건의 9127번 원고)은 2008가합58638 사건의 9126번 원고 서춘택과 각각 같은 사람이므로, 위 원고들의 소는 같은 사람이 중복하여 제기한 소로서 부적법하여 각하를 면할 수 없다.
4. 별지 제1-1, 제2-1 원고 목록 기재 원고들의 청구에 대한 판단
1) 구「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(2008. 2. 29. 법률 제8852호로 개정되기 전의 것, 이하 ‘정보통신망법’이라 한다.) 제28조에서 규정하고 있는 ‘누출’은 개인정보가 정보통신서비스 제공자 및 이용자의 개인정보 관리․통제권의 범위를 벗어나 당해 개인정보를 모르는 제3자가 그 내용을 알 수 있는 상태에 이르는 것을 의미하고, 더 나아가 당해 개인정보를 모르는 제3자가 현실적으로 그 내용을 알게 되었다거나 적어도 이와 동일시할 수 있는 정도의 구체적이고 현실적인 고도의 위험이 발생할 것까지 요구하는 것은 아니다.
2) 따라서 별지 제1-1, 제2-1 원고 목록 기재 원고들(이하 ‘이 사건 미유출 원고들’이라 한다.)의 개인정보가 이 사건 해킹 사고를 통해 해커에게 실제 유출되지는 않았다고 하더라도 피고 옥션이 2008. 1. 4.경부터 같은 달 8.경까지 네 차례에 걸쳐 발생한 이 사건 해킹 사고를 2008. 2. 4.경에 이르러서야 뒤늦게 인지하고, 한 달 동안 이를 내버려 둔 이상 이 사건 미유출 원고들의 개인정보 역시 피고들의 관리․통제권의 범위를 벗어나 당해 개인정보를 모르는 제3자가 그 내용을 알 수 있는 상태에 이르렀다고 봄이 상당하므로, 피고들은 개인정보가 실제 유출된 원고들뿐만 아니라 이 사건 미유출 원고들에게도 위자료를 지급할 의무가 있다.
1) 이 사건 미유출 원고들의 개인정보가 ‘누출’되었다고 인정하기 위해서는 원고들의 주장과 같이 ① 이 사건 미유출 원고들의 개인정보가 피고 옥션의 개인정보 관리․통제권의 범위를 벗어나고, ② 당해 개인정보를 모르는 제3자가 그 내용을 알 수 있는 상태에 이르러야 한다.
2) 이 사건에 관하여 보면, 앞서 본 바와 같이 해커는 이 사건 해킹을 통해 피고 옥션의 이 사건 데이터베이스 서버에 저장된 피고 옥션 회원의 개인정보 중 10,807,471명의 개인정보만을 유출하였을 뿐이고, 나아가 이를 제외한 나머지 피고 옥션 회원의 개인정보가 피고 옥션의 이 사건 데이터베이스 서버 외부로 유출되어 피고 옥션의 관리․통제권의 범위를 벗어났다거나, 제3자가 그 내용을 알 수 있는 상태에 이르렀다는 점에 대하여 갑 제12호증의 1, 2의 각 기재만으로는 이를 인정하기에 부족하고, 달리 이를 인정할 만한 증거가 없다. 또한 피고 옥션이 2008. 2. 4.경에 이르러서야 비로소 2008. 1. 4.경부터 같은 달 8.경까지 네 차례에 걸쳐 발생한 이 사건 해킹 사고를 인지하였다고 하더라도, 이러한 사정만으로는 이 사건 미유출 원고들의 개인정보가 피고 옥션의 개인정보 관리․통제권의 범위를 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르렀다고 볼 수도 없으므로, 이 사건 미유출 원고들의 피고들에 대한 청구는 피고들의 이 사건 해킹 사고에 관한 과실 여부에 관하여 더 나아가 살펴볼 필요 없이 모두 이유 없다.
5. 이 사건 미유출 원고들을 제외한 나머지 원고들의 청구에 대한 판단
가) 피고 옥션은 원고들로부터 서비스 이용계약에 따른 개인정보를 제공받은 계약당사자, 또는 정보통신망법에 따라 정보통신서비스 이용자인 원고들의 개인정보를 취급하는 정보통신서비스 제공자로서 피고 옥션이 보유하고 있는 원고들의 개인정보가 분실․도난․누출․변조되지 않도록 개인정보를 보호․관리하고 그에 필요한 기술적 조치를 다하여야 할 주의의무가 있음에도 다음과 같이 그 의무를 위반하여 이 사건 해킹 사고를 통해 원고들의 개인정보가 유출되도록 하였다.
(1) 웹서버인 이노믹스 서버에 대하여 아무런 보안 조치를 하지 않은 채, 전용선이나 ‘VPN’7)이 아닌 인터넷을 통하여도 외부에서 이노믹스 서버에 접속할 수 있도록 함으로써 해커에게 이노믹스 서버를 노출하였다.
(2) 기존의 네트워크 보안 제품인 침입탐지시스템이나 침입방지시스템으로는 탐지․방어할 수 없는 웹 관련 공격들을 차단할 수 있어 웹 관련 해킹을 막기 위해서는 필수적으로 설치해야 하는 웹 방화벽을 이노믹스 서버를 비롯한 피고 옥션의 웹 서버에 전혀 설치하지 않았다.
(3) 정보통신망법, 같은 법 시행규칙 및 이에 근거한 정보통신부 고시 제2005-18호(이하 ‘이 사건 고시’라 한다.) 제5조 제1항에서는 정보통신서비스 제공자에게 본인임을 인증하는 정보인 주민등록번호를 암호화하도록 하였고, 주식회사 옥션 개인정보취급방침 제9조 가. ①항을 통해 피고 옥션 회원의 비밀번호나 주민등록번호를 암호화하여 보호하고 있다고 하였음에도 실제로는 이 사건 데이터베이스 서버에 저장되어 있는 피고 옥션 회원의 주민등록번호를 암호화하지 않았을 뿐만 아니라 비밀번호를 제외한 나머지 개인정보도 암호화하지 않았다.
(4) 서버에 대한 인증 및 접근 제어 시스템을 도입하지 않았다.
(5) 해커가 새벽 시간대에 이노믹스 서버를 통해 이 사건 데이터베이스 서버에 저장되어 있던 피고 옥션 회원의 개인정보를 조회하는 과정에서 이노믹스 서버로부터 데이터베이스 서버로의 정보조회 요청에 따른 비정상적인 다량의 쿼리(Query)8)가 발생하였음에도 이를 탐지하고 경고할 수 있는 모니터링 시스템을 갖추지 않아 이 사건 해킹 사고를 전혀 인식하지 못하였다.
(6) 이노믹스 서버 관리자의 아이디를 ‘tltmxpaxla’, 비밀번호 앞 여섯 자리를 ‘auction62’로, 이 사건 데이터베이스 서버 관리자의 아이디를 ‘auction’, 비밀번호를 ‘auctionuser’로 설정하는 등 피고 옥션의 아이디 및 비밀번호에 대한 내부 관리 지침에 위배하여 서버 관리자의 아이디 및 비밀번호를 설정하였다.
(7) 2008. 1. 3.경 이노믹스 서버에 설치된 ‘hacktool.wci’ 등 악성 코드를 발견하고, 2008. 1. 8.경 관리자의 아이디와 비밀번호를 탈취하는 기능이 있는 웹쉘인 ‘ASP목마2006’이 이노믹스 서버에 설치되었다는 사실을 알았음에도 이노믹스 서버에 웹쉘이 생성될 수 있었던 취약점을 분석하거나, 데이터베이스 서버 침입 여부를 조사하고, 데이터베이스 서버의 비밀번호를 변경하는 등의 적절한 조치를 취하지 않았다.
나) 또한 피고 옥션은 원고들에게 서비스 이용계약에 따른 전자금융거래 서비스를 제공하는 계약당사자 또는「전자금융거래법」상 전자금융업자로서 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자가 입은 손해를 배상할 책임을 지는데, 이 사건 해킹 사고를 통해 원고들의 금융정보가 유출되도록 하였다.
다) 따라서 피고 옥션은 이 사건 해킹 사고로 인하여 개인정보가 유출된 원고들에게 채무불이행 또는 불법행위(정보통신망법 제28조 또는 민법 제750조, 제756조 위반)로 인한 위자료로 각 10,000,000원을 지급할 의무가 있으므로, 원고들은 그 일부 청구로서 각 2,000,000원씩의 지급을 구한다.
2) 정보통신서비스 제공자의 해킹 사고 방지를 위한 주의의무의 정도
정보통신서비스 제공자가 정보통신서비스를 제공하기 위해 이용자로부터 수집한 개인정보를 해킹으로 인해 도난당하였을 때 정보통신서비스 제공자에게 이용자들에 대한 손해배상책임을 지우기 위하여는, 정보통신서비스 제공자가 해킹 사고를 방지하기 위해서 선량한 관리자로서 취해야 할 기술적․관리적 조치 의무를 위반함으로써 해킹 사고를 예방하지 못한 경우여야 한다.
그리고 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고, 이를 위해 정보통신서비스 제공자가 구축하는 시스템 운영체제나 서버 프로그램은 내재적인 취약점을 내포하고 있어 끊임없는 해킹 시도에 노출되고 있으며, 운영체제 등 소프트웨어 제조 업체나 보안 프로그램 개발 업체들은 새로운 해킹 기법을 방어하기 위한 보안 기술을 사후적으로 보완하는 방식으로 해킹에 대응하고 있는 점 등을 고려하여 보면, 정보통신서비스 제공자가 해킹 사고 방지를 위해 취해야 할 선량한 관리자로서의 주의의무를 위반하였는지 여부는 ① 관련 법령이 정보통신서비스 제공자에게 요구하고 있는 기술적․관리적 보안 조치의 내용, ② 해킹 당시 당해 정보통신서비스 제공자가 취하고 있던 보안 조치의 내용, ③ 해킹 방지 기술의 발전 정도, ④ 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도, ⑤ 해커가 사용한 해킹 기술의 수준, ⑥ 개인정보 유출로 인해 이용자가 입게 되는 피해의 정도 등을 종합적으로 고려하여 판단하여야 한다.
이하 위와 같은 법리를 기초로 원고들의 주장을 차례대로 살핀다.
해커가 피고 옥션의 이노믹스 서버에 침입하여 이 사건 해킹을 한 사실은 앞서 본 바와 같고, 갑 제5호증의 1의 기재에 의하면, 피고 옥션은 이 사건 해킹 사고 당시 피고 옥션의 콜센터 및 고객지원센터 상담원들에게는 전용선을 이용하여 자신들의 개인 컴퓨터로부터 이노믹스 서버에 접속하게 하였으나, ‘굿스플로’, ‘옐로우캡’ 등 배송 업체의 상담원들에게는 인터넷 등 외부망을 통해 자신들의 개인 컴퓨터로부터 이노믹스 서버에 접속하게 하는 등 이 사건 해킹 사고 당시 외부 인터넷을 통해서도 이노믹스 서버로의 접속이 가능했던 사실이 인정되기는 한다.
그러나 을 제9, 53 내지 56, 116호증의 각 기재, 증인 길기현의 증언과 변론 전체의 취지를 종합하면 피고 옥션은 이 사건 해킹 사고 당시 이노믹스 서버에 대하여 다음과 같은 보안 조치를 한 사실이 인정된다.
(1) 피고 옥션의 상담원 및 배송 업체의 상담원들로 하여금 자신들 컴퓨터의 웹 브라우저에 웹 사이트 접속을 위해 별도로 부여된 아이디와 비밀번호를 입력하여 이노믹스 서비스9)의 웹 사이트(http://enomix.auction. 이하 불명)에 접속하는 방법으로 이노믹스 서버에 접속하도록 하였는데, 피고 옥션의 상담원들은 전용선을 사용하여, 배송 업체의 상담원들은 방화벽을 통과하는 인터넷을 사용하여 이노믹스 서비스의 웹 사이트에 접속하도록 하였다.
(2) 배송 업체 상담원들이 방화벽을 통과하는 인터넷을 사용하여 이노믹스 서비스의 웹사이트에 접속하는 경우 업무상 필요한 서비스만을 사용하도록 방화벽을 설정하고 불필요한 포트는 차단하여 배송 업체 상담원들이 허용된 서비스 이외의 다른 서비스에 접근하는 것을 통제하였다.
(3) 피고 옥션의 회원이 이 사건 사이트에 가입하면서 설정한 아이디와 비밀번호를 입력하여 이 사건 사이트에 로그인한 다음 온라인 상담서비스를 이용하는 경우에 이노믹스 서버에 접속되도록 하였다.
(4) 피고 옥션의 서버 관리자가 이노믹스 서버에 직접 접속하는 경우에는 아이디와 비밀번호를 입력하여 접속하도록 하였고, 이노믹스 프로그램의 개발 업체인 주식회사 스펙트라의 직원이 이노믹스 서버에 직접 접속하는 경우에는 ‘VPN’을 통해서만 접속하도록 하였다.
(5) 피고 옥션의 정보보호정책 및 관리지침서(을 제9호증) 제10장 웹 서버/DNS 서버 보안지침에 따라 외부에서 접근할 필요가 있는 웹 서버인 이노믹스 서버를 피고 옥션의 내부 네트워크와 침입차단시스템 바깥에 있는 외부 네트워크 사이의 중간 완충지대(DMZ)에 설치하고, 중간 완충지대에 설치된 이노믹스 서버와 내부 네트워크에 설치된 이 사건 데이터베이스 서버 사이에 접근할 수 있는 사용자 목록과 접근할 수 있는 인터넷 주소를 사전에 정의하고 그에 포함되어 있지 않은 사용자나 인터넷 주소로부터의 이 사건 데이터베이스 서버에 대한 접근을 불허하는 접근 제어 규칙을 지정하였다.
위 인정사실에 의하여 알 수 있는 다음과 같은 여러 사정 등을 종합적으로 고려하면, 피고 옥션이 이 사건 해킹 사고 당시 행한 이노믹스 서버에 대한 보안 조치에 관하여 어떠한 주의의무 위반이 있다고 할 수 없고, 해커가 이 사건 해킹 당시 침입하였던 이노믹스 서버에 대하여 외부 인터넷을 통해서도 접속이 가능했던 사실만으로는 피고 옥션이 이노믹스 서버에 대하여 아무런 보안 조치를 하지 않은 채 해커에게 이노믹스 서버를 노출하여 이 사건 해킹 사고가 발생하였다는 사실을 인정하기에는 부족하며, 달리 이를 인정할 만한 증거가 없으므로, 원고들의 위 주장은 이유 없다.
⑴ 피고 옥션 및 배송 업체의 상담원뿐만 아니라 피고 옥션의 회원도 온라인 상담 서비스를 받기 위해서는 이노믹스 서버에 접속할 필요가 있는 등 이노믹스 서버에 대하여 인터넷을 통한 외부 접속도 필요한 것으로 보인다.
⑵ 피고 옥션은 이노믹스 서버에 웹 서비스를 통하여 접속하거나 직접 접속하는 모든 사람에 대하여 아이디 및 비밀번호 입력과 같은 인증 및 인가 절차를 시행하고 있었다.
⑶ 피고 옥션은 이노믹스 서버에 대하여 필요한 범위 내에서 기술적인 보안 조치를 취하고 있었던 것으로 보인다.
⑷ 이노믹스 서버에 대한 침입이 곧바로 이 사건 데이터베이스 서버에 대한 침입으로 연결되지는 않는 등 해커가 피고 옥션의 이노믹스 서버에 침입한 사실만으로 피고 옥션이 무방비 상태로 이노믹스 서버를 외부에 노출하여 이 사건 해킹 사고가 발생하였다고 단정할 수도 없다.
피고 옥션이 이 사건 해킹 사고 당시 이노믹스 서버를 비롯한 피고 옥션의 웹 서버에 웹 방화벽을 설치하지 않은 사실은 원고들과 피고 옥션 사이에 다툼이 없고, 갑 제7호증의 기재와 증인 홍민표의 일부 증언에 의하면, 웹 방화벽은 기존의 네트워크 보안 제품으로는 탐지․방어할 수 없는 웹 관련 공격들을 분석하고, 필터링을 통해 이를 차단할 수 있어 웹 관련 해킹을 사전에 예방하기 위한 보안 제품 중 하나인 사실이 인정되기는 한다.
그러나 을 제51호증의 1, 2, 제58 내지 60, 84, 85, 94, 113, 115호증의 각 기재, 증인 길기현의 증언, 증인 홍민표의 일부 증언과 변론 전체의 취지를 종합하면 다음 사실이 인정된다.
(1) 웹 방화벽은 웹 서버로 향하는 모든 트래픽 중 유해 트래픽을 사전에 차단하는 제품으로 이를 위해서는 애플리케이션 단계까지 트래픽을 일일이 조사해야 하는 등 웹 방화벽을 사용하는 경우 웹 서버에 과도한 트래픽이 발생한다.
(2) 웹 방화벽 역시 다른 보안 제품과 마찬가지로 공격 유형에 대한 다양한 정책을 만들고 이를 통하여 유해 트래픽을 차단하므로, 정책에서 미처 예상하지 못한 유해 트래픽이 오는 경우에는 이를 차단하기 어렵다.
(3) 웹 서버에 웹 방화벽을 설치하더라도 웹 서버에 대한 해킹이 불가능한 것은 아니고, 다만 일반 방화벽만 설치되어 있는 경우보다 해킹이 어려워질 뿐이다.
(4) 사단법인 한국침해사고대응팀협의회가 2009. 12. 11. 실시한 웹 방화벽 도입 및 활용에 대한 실태조사 결과보고서에 의하면, 2009. 12. 10.자를 기준으로 종합 포털, 오픈마켓, 종합 쇼핑몰, 게임 포털 업체 등 모두 12개 정보통신서비스 업체10) 중 11개 업체 및 8개 금융 기관 중 7개 기관은 주로 웹 방화벽의 기능 또는 성능을 신뢰하지 않아 웹 방화벽을 도입하지 않고 있고, 12개 정보통신서비스 업체 중 1개 업체 및 8개 금융 기관 중 1개 기관은 2009년 2월경 및 2008년 6월경에야 웹 방화벽을 도입해 일부 웹 서버에 이를 운용하고 있다.
(5) 피고 옥션은 이 사건 해킹 사고 당시 웹 방화벽을 도입하는 대신 웹 서버에 대한 보안 대책으로 ① 화이트햇(WhiteHat) 스캐너를 통한 웹 취약점 점검 및 제거, ② 서버 운영체제에 대한 보안 프로그램의 지속적인 업데이트, ③ 코드 작성 단계에서 웹 애플리케이션의 취약점을 사전에 방지하는 필터(SellplusFolderDac, ItemListDac.cs, SellersellplusItemlist.sql)의 작성, ④ 피고 옥션의 ‘NOC(Network Operating Center) 센터’에서 보안 관제 시스템을 통한 24시간 실시간 감시 등을 실시하고 있었다.
위 인정사실에 의하여 알 수 있는 다음과 같은 여러 사정을 종합적으로 고려하면, 피고 옥션이 이 사건 해킹 사고 당시 이노믹스 서버를 비롯한 피고 옥션의 웹 서버에 웹 방화벽을 설치하지 않았다고 하더라도 피고 옥션에게 그로 인한 주의의무 위반이 있다고 할 수 없고, 갑 제7호증의 기재 및 증인 홍민표의 일부 증언만으로는 피고 옥션의 주의의무 위반 사실을 인정하기에 부족하며, 달리 이를 인정할 만한 증거가 없으므로, 원고들의 위 주장도 받아들일 수 없다.
⑴ 웹 방화벽이 유해 트래픽을 차단하기 위해서는 필수적으로 과도한 트래픽이 발생하여 인터넷 사이트를 운영하는 데 대용량 트래픽이 발생하는 전자 상거래 업체인 피고 옥션으로서는 이 사건 해킹 사고 당시 기술적 문제로 인하여 웹 방화벽을 도입하는 것이 현실적으로 어려웠던 것으로 보인다.
⑵ 웹 방화벽은 시스템의 특성 등을 고려하여 도입 여부가 결정되는 선택적인 보안 조치의 하나에 불과하고, 관련 법령상으로도 웹 방화벽의 설치가 의무화되어 있지 않다.
⑶ 이 사건 해킹 사고가 피고 옥션이 웹 방화벽을 설치하지 않아 발생하였다고 단정할 수 없을 뿐만 아니라, 웹 방화벽의 설치가 바로 웹 서버에 대한 모든 해킹의 방지로 귀결되는 것도 아니다.
⑷ 피고 옥션은 이 사건 해킹 사고 당시 웹 방화벽을 대신할 수 있는 다수의 보안 조치를 취하고 있었다.
이 사건 해킹 사고 당시 관련 법령에서 정보통신서비스 제공자로 하여금 암호화하여 보관하도록 정한 개인정보는 패스워드, 생체정보 등 본인임을 인증하는 정보에 한정되어 있었다(이 사건 고시 제5조 제1항).
정보통신서비스에서의 ‘본인 인증’이란 이용자가 정보통신서비스 제공자에게 이용자로서의 신분 확인을 요청하고, 정보통신서비스 제공자가 미리 등록된 이용자의 개인정보와의 일치 여부 확인을 통해 이용자의 신분을 확증하는 것을 의미한다.
그런데 일반적으로 정보통신서비스 이용자가 정보통신망에 접속하여 서비스를 이용하기 위해서는 본인의 아이디 및 비밀번호만을 입력하고 이를 정보통신서비스 제공자가 사전에 등록된 본인의 아이디 및 비밀번호와의 일치 여부를 확인하는 절차를 거치는 점 등에 비추어 보면, 주민등록번호는 생존하는 개인에 관한 정보로서 개인을 식별할 수 있는 개인정보(정보통신망법 제2조 제1항 제6호)에 해당될 뿐, 이 사건 고시 제5조 제1항에서 암호화 대상으로 정하고 있는 본인 인증 정보에는 해당되지 않는다[을 제62호증의 기재에 의하면, 정보통신부 및 한국정보보호진흥원이 2005년 7월에 공동으로 발간한 개인정보보호 핸드북에도 패스워드, 생체정보가 아닌 주민등록번호는 본인임을 인증하는 정보가 아니므로, 주민등록번호에 대한 일방향 암호화가 필수적인 사항이 아니라고 밝히고 있고, 2009. 1. 28. 일부 개정되어 그 시행 시기를 2010. 1. 28.로 정한 정보통신망법 시행령(2009. 8. 18. 대통령령 제21278호로 개정되기 전의 것) 제15조 제4항 제2호에서 비로소 주민등록번호의 암호화 저장 규정이 신설되었다.].
따라서 주민등록번호가 암호화 대상인 본인 인증 정보임을 전제로 하는 원고들의 위 주장도 이유 없다.
다) 피고 옥션이 주민등록번호를 암호화 대상에 포함하였는지 여부
갑 제2호증의 기재에 의하면, 피고 옥션이 2008. 3. 18. 개정한 주식회사 옥션 개인정보취급방침 제13차 개정본 제9조 가. ①항을 통해 ‘회원님의 비밀번호나 주민등록번호는 당사가 암호화하여 보호하고 있다.’고 공지한 사실이 인정되기는 한다.
그러나 을 제65호증의 1, 2, 제66, 67, 81호증의 각 기재와 변론 전체의 취지를 종합하면, 이 사건 해킹 사고 전후로 시행한 주식회사 옥션 개인정보취급방침 제11차 개정본(2008. 1. 7. 개정) 제9조 가. ①항에서는 주민등록번호 암호화에 대하여 전혀 언급하지 않았으나, 이후 피고 옥션이 2008. 2. 8.경 회원의 주민등록번호에 대한 암호화 작업을 마친 다음 2008. 2. 11. 개정한 주식회사 옥션 개인정보취급방침 제12차 개정본에서 비로소 제9조 가. ①항을 통해 ‘회원님의 비밀번호나 주민등록번호는 당사가 암호화하여 보호하고 있다.’는 내용이 추가된 사실이 인정된다.
따라서 피고 옥션이 이 사건 해킹 사고 당시 개인정보취급방침을 통해 주민등록번호를 암호화 대상에 포함하지는 않았으므로, 피고 옥션이 이 사건 해킹 사고 당시 주민등록번호를 암호화 대상에 포함하고 있었음을 전제로 하는 원고들의 위 주장도 이유 없다.
라) 개인정보 암호화 미이행에 대한 피고 옥션의 과실 유무
피고 옥션이 이 사건 해킹 사고 당시 비밀번호를 제외한 나머지 개인정보에 대한 암호화를 이행하지 않은 사실은 원고들과 피고 옥션 사이에 다툼이 없기는 하다.
그러나 을 제63, 64, 94호증의 각 기재, 증인 길기현의 증언 및 변론 전체의 취지를 종합하여 인정할 수 있는 다음과 같은 사정, 즉 ① 이 사건 해킹 사고 당시 데이터베이스 암호화 제품들이 실시간 암호화가 되지 않을 뿐만 아니라 성능 저하, 속도 저하 등으로 도입 후에 제대로 사용할 수 없을 정도로 기술적 문제점을 내포하고 있었던 점, ② 국내 주요 기업들도 2009년 5월경에야 비로소 2010. 1. 28.부터 시행되는 정보통신망법 시행령(2009. 8. 18. 대통령령 제21278호로 개정되기 전의 것) 제15조 제4항 제2호에서 암호화 대상으로 규정하고 있는 주민등록번호, 계좌번호 등 금융정보에 대한 암호화 작업을 완료하기 시작한 점 등을 고려하면, 피고 옥션이 이 사건 해킹 사고 당시 피고 옥션 회원의 개인정보를 암호화하지 않았다고 하더라도 피고 옥션에게 그로 인한 주의의무 위반이 있다고 할 수 없고, 달리 피고 옥션의 주의의무 위반 사실을 인정할 만한 증거가 없으므로, 원고들의 위 주장도 이유 없다.
6) 인증 및 접근 제어 시스템 미도입 주장에 대한 판단
을 제40, 68호증, 제69호증의 1, 2, 제70 내지 74, 94, 124호증의 각 기재, 증인 길기현의 증언와 변론 전체의 취지를 종합하면 피고 옥션은 이 사건 해킹 사고 당시 다음과 같이 서버에 대한 인증 및 접근 제어 시스템을 운용한 사실이 인정된다.
(1) 서버 운영체제인 ‘윈도우 서버 2003’에 내재되어 있는 인증 및 접근 제어 시스템인 ‘Active Directory’를 사용하여 중앙통제 방식으로 다양한 권한의 등급을 가진 사용자 및 하위 관리자의 인증 및 접근 제어를 구현하였다.
(2) 데이터베이스 관리 시스템11)(DBMS, Database Management System)의 하나인 ‘윈도우 SQL 서버’의 내재된 인증 및 제어 시스템을 사용하여 데이터베이스에 대한 SQL(질의) 작업시 별도 서버에서 가상 계정이 부여된 사용자만이 접근할 수 있도록 함으로써 비인가자의 데이터베이스 접근을 차단하였다.
(3) 그 밖에 자체 개발한 데이터베이스 서버의 인증 및 접근 제어 탐지 프로그램을 가동하여 ① 피고 옥션이 사용하는 프로그램 이외의 경로를 이용한 접근 시도, ② 개인정보 테이블 접근, ③ 비정상적인 경로를 통한 대량 데이터 조회, ④ 내부 직원에 의한 데이터 유출 등을 실시간으로 탐지하였다.
(4) 피고 옥션의 직원들이 서버에 시스템적인 접근을 하는 경우에는 ‘릴리즈룸’이라고 부르는 제한구역 내에서 별도의 작업 승인 시스템을 거치도록 하고, 이와 같은 직원들의 서버에 대한 시스템 작업을 프로그램을 통해 중앙에서 통제하면서, 직원들의 작업 내역도 별도로 기록하여 보관하였다.
위 인정사실에 의하면 피고 옥션은 이 사건 해킹 사고 당시 서버에 대한 다양한 방식의 인증 및 접근 제어 시스템을 도입하여 운영한 사실을 알 수 있으므로, 원고들의 위 주장도 이유 없다.
피고 옥션이 이 사건 해킹 사고 당시 해커가 이노믹스 서버로부터 이 사건 데이터베이스 서버의 개인정보를 조회하는 과정에서 발생한 쿼리를 실시간으로 탐지하지 못한 사실은 원고들과 피고 옥션 사이에 다툼이 없기는 하다.
그러나 을 제6, 71, 제120 내지 123호증의 각 기재, 증인 길기현의 증언과 변론 전체의 취지를 종합하면, 다음 사실이 인정된다.
(1) 쿼리는 일반적으로 데이터베이스 서버에 특정한 정보를 달라는 요청을 의미하는데, 이와 같은 쿼리는 이노믹스 서버와 같은 웹 서버로부터 데이터베이스 서버에 있는 정보를 조회하는 과정에서 발생하기도 하지만, 데이터베이스 서버에 저장되어 있는 데이터 값을 업데이트하거나 삭제, 복사하는 과정에서도 발생한다.
(2) 피고 옥션은 이 사건 해킹 사고 당시 수백 대의 웹 서버와 수십 대의 데이터베이스 서버12)를 운용하고 있었는데, 데이터베이스 서버는 실시간으로 웹 서버로부터 오는 대용량의 쿼리를 처리하고 있다.
(3) 그런데 데이터베이스 서버에서 처리되는 쿼리의 약 21.9%(1,503/6,862)13)는 데이터베이스 서버에 저장된 개인정보의 조회 요청을 수행하면서 발생하고 있다.
(4) 피고 옥션은 새벽 시간대에 업무 시간에는 처리할 수 없는 데이터 이관 작업, 송금 처리 관련 작업 등 데이터베이스 자동화 배치 작업을 정기적으로 실시하고 있는데, 이러한 과정에서도 대용량의 쿼리가 발생하고, 해당 쿼리에 대용량의 결과 값이 포함될 수 있다.
(5) 특히 이 사건 해킹 사고 당시 이 사건 데이터베이스 서버에서는 초당 약 3,333개(12,000,000개/3,600초) 정도의 쿼리가 발생하고 있었는데, 해커가 이 사건 해킹에 사용한 쿼리는 모두 십여 개에 불과하다.
(6) 피고 옥션은 이 사건 해킹 사고 당시 데이터베이스 서버에 대하여 평소 대비 정상 범위를 벗어난 수의 쿼리가 발생하거나 비정상 쿼리가 발생하는 경우 이를 실시간으로 탐지하여 문자나 메일로 알려주는 자체 개발 프로그램을 운영하고 있었다.
위 인정사실에 의하여 알 수 있는 다음과 같은 여러 사정을 종합적으로 고려하면, 피고 옥션이 이 사건 해킹 사고 당시 해커가 개인정보를 유출하는 과정에서 발생한 쿼리를 탐지하지 못하였다고 하더라도 피고 옥션에게 그로 인한 주의의무 위반이 있다고 할 수 없고, 증인 홍민표의 일부 증언만으로는 피고 옥션의 주의의무 위반 사실을 인정하기에 부족하며, 달리 이를 인정할 만한 증거가 없으므로, 원고들의 위 주장도 이유 없다.
⑴ 수백 대의 웹 서버와 수십 대의 데이터베이스 서버 사이에 실시간으로 발생하는 대용량의 쿼리 중 1/5 이상은 개인정보에 대한 조회 요청을 수행하는 과정에서 발생하고 있는 상황에서 피고 옥션이 특정 웹 서버인 이노믹스 서버로부터 이 사건 데이터베이스 서버로의 개인정보 조회를 요청하는 특정 쿼리를 다른 웹 서버로부터 오는 쿼리나 데이터베이스 자체에서 발생하는 쿼리와 실시간으로 구분하는 것은 기술적으로 상당히 어려운 것으로 보인다.
⑵ 이 사건 해킹 사고 당시 이 사건 데이터베이스 서버에서 발생한 쿼리 수 및 데이터베이스 서버 자체에서 발생하는 쿼리에 포함될 수 있는 결과 값에 비추어 보면, 해커가 이 사건 해킹을 하면서 발생한 쿼리에 수백만 개의 결과 값이 포함되었다고 하더라도 피고 옥션이 이를 이상 징후로 파악하는 것 역시 기술적으로 상당히 어려운 것으로 보인다.
⑶ 이 사건 해킹 사고는 해커가 이 사건 데이터베이스 서버의 관리자 권한을 탈취하여 관리자가 수행하는 정상적인 방법에 따라 개인정보 조회를 한 것으로 추정되어 피고 옥션이 운영하고 있는 모니터링 시스템이 이를 비정상적인 쿼리로 탐지하기는 어려웠던 것으로 보인다.
갑 제5호증의 1, 제9호증, 을 제9호증의 각 기재를 종합하면, 피고 옥션은 피고 옥션 내부의 정보보호정책 및 관리보호지침 제15장 계정 관리 보안지침 2. 패스워드 생성 및 관리상의 ‘패스워드에는 쉽게 추측할 수 있는 정보(예. 회사명)가 포함되지 않도록 한다.’라는 내부 규정에 위배하여 이노믹스 서버 관리자의 비밀번호 앞 여섯 자리를 ‘auction62’로, 이 사건 데이터베이스 서버 관리자의 비밀번호를 ‘auctionuser’로 각각 설정하였고, 이 사건 데이터베이스 서버 관리자의 아이디 역시 ‘auction’으로 설정한 사실이 인정되기는 한다.
시스템 관리자의 아이디와 비밀번호를 회사명 등 잘 알려진 단어로 설정하는 경우 브루트-포싱(brute-forcing)14) 공격에 취약해 브루트-포싱 공격을 시도하는 해커에게 시스템 관리자 권한을 빼앗길 우려가 크기는 하다. 그러나 앞서 본 바와 같이 이 사건 해킹 사고는 해커가 웹쉘을 통해 이 사건 데이터베이스 서버 관리자의 아이디와 비밀번호를 알아낸 다음 이를 통해 이 사건 데이터베이스 서버에 저장되어 있던 피고 옥션 회원의 개인정보를 자신의 컴퓨터로 내려받아 이를 유출하여 발생한 것으로 추정되므로, 설령 피고 옥션이 내부 관리 지침에 위배하여 이노믹스 서버 및 이 사건 데이터베이스 서버 관리자의 비밀번호와 이 사건 데이터베이스 서버 관리자의 아이디를 회사명이 포함되게 설정하였다고 하더라도, 이로 인해 이 사건 해킹 사고가 발생하였다고 볼 수는 없다. 따라서 원고들의 위 주장도 이유 없다.
9) 이 사건 해킹 사고 부적절 대응 조치 주장에 대한 판단
피고 옥션이 2008. 1. 4.경 이노믹스 서버에 설치된 ‘hacktool.wci’ 등 악성 코드를 발견하고, 2008. 1. 8.경 04:28경 웹쉘인 ‘ASP목마2006’을 발견하고도 데이터베이스 서버 관리자의 비밀번호를 변경하는 조치를 취하지 않은 사실은 원고들과 피고 옥션 사이에 다툼이 없기는 하다.
그러나 갑 제5호증의 1, 제13호증의 1(을 제105호증과 같다.), 제13호증의 2(을 제106호증과 같다.), 을 제101 내지 104호증, 제107호증의 1 내지 3, 제108 내지 111호증, 제112호증의 1, 2, 제124호증의 각 기재와 증인 길기현의 증언에 변론 전체의 취지를 종합하면 다음 사실이 인정된다.
(1) 피고 옥션은 2008. 1. 3. 20:30경 이 사건 사이트의 속도가 저하되어 사이트 접속이 불가능해진 상황을 파악하고, 같은 날 20:40경 피고 인포섹과 공동으로 침입탐지시스템(IDS) 및 방화벽의 로그 및 장비 이상 유무를 점검하여 침입탐지시스템 및 방화벽 등의 보안 장비가 정상 작동하고, 로그 분석 결과 외부에서의 공격 시도 등 특이 사항이 없는 것을 확인하였다.
(2) 피고 옥션의 직원 김성주는 2008. 1. 4. 01:27경 피고 옥션의 주요 서버를 점검하던 도중 이노믹스 서버에서 안티 바이러스 프로그램을 통해 ‘hacktool.wci’ 및 ‘hacktool.arpsniffer’라는 악성 코드를 발견하고 이를 삭제한 다음, 화면으로 캡처한 위 파일들의 목록을 피고 인포섹에 제공하면서 그 분석을 의뢰하였다.
(3) 당시 피고 옥션은 네트워크 장비의 설정 및 상태를 점검하던 중 네트워크 연결 장비인 스위치에서 서버 IP 주소와 하드웨어 주소인 맥 어드레스15)(MAC Address)가 원래의 설정과 다르게 바뀌어 있는 것을 확인하고, 맥 어드레스를 바로 잡은 다음 ‘ARP Spoofing’16) 차단을 대응 전략으로 결정하였다.
(4) 피고 옥션은 2008. 1. 4. 13:40경 피고 인포섹으로부터 악성 코드의 분석 결과 심각도가 ‘낮음’이고 추가적인 피해가 없는 것으로 보인다는 답변을 들은 후, 악성 코드 감염에 의하여 ‘ARP Spoofing’이 발생한 것으로 판단하고, 이에 대한 대응을 계속 하였다.
(5) 피고 옥션은 2008. 1. 8. 04:28경 피고 인포섹으로부터, 2008. 1. 8. 02:55경 침입탐지시스템을 통해 ‘ASP목마2006’이라는 이벤트가 탐지되었는데, 이는 중국 IP인 218.244.144.45 사용자가 이노믹스 서버에 올린 것으로 제3자의 시스템을 원격 제어할 수 있는 웹쉘로서 심각도는 ‘마이너(MINOR)’라는 침해위협 발생보고를 받았다.
(6) 피고 인포섹은 즉시 위 IP를 차단하고, 위 IP 사용자에게 경고 메일을 발송하였으며, 피고 옥션은 초기 대응으로 이노믹스 서버를 점검하고, 위 웹쉘을 삭제한 다음 웹쉘이 유입되었을 것으로 추정되는 TCP 80 포트를 차단하였다.
(7) 피고 인포섹은 2008. 1. 8. 10:00경 이노믹스 서버에 접속하여 점검한 결과 같은 날 14:00경 ‘temp.asp’, ‘conn.asp’ 파일 등을 발견하였고, 피고 옥션은 그 파일을 삭제하였다.
(8) 이후 피고 옥션은 데이터베이스 서버 주요 테이블의 사용량 증감 확인, 데이터 베이스 서버 관리자 계정의 공유 사용자 유무 확인, 주요 로그 점검 등 데이터 베이스 서버에 대한 침해 여부를 확인하였다.
(9) 피고 옥션은 2008. 1. 14. 피고 인포섹으로부터 2008. 1. 8. 탐지된 ‘ASP목마2006’ 웹쉘 공격 등에 대한 2008. 1. 10.자 분석 보고서를 받았다. 위 보고서에 의하면, 이노믹스 서버가 2008. 1. 3. 20:31 중국의 쇼핑몰인 222.73.219.11(ys-e.ys168.com)로 접속하여 악성 코드인 ‘svchost.exe’를 내려받았고, 위 악성 코드를 통하여 2008. 1. 3. 20:44경 웹쉘인 ‘temp.asp’가, 2008. 1. 4. 23:30경 웹쉘인 ‘conn.asp’가 생성되었으며, 중국 IP인 218.244.144.45 사용자가 2008. 1.3. 21:25과 2008. 1. 4. 06:25, 그리고 2008. 1. 4. 23:15에 이노믹스 서버에 접속한 사실이 확인되었다.
(10) 이에 피고 옥션은 퀼리스 가드(Qualys Guard)17)를 사용하여 취약점을 점검하고, 최신 악성 코드를 탐지하기 위해 서버에 새 버전의 안티 바이러스 프로그램을 설치하였으며, 악성 코드의 은닉 가능성에 대비하여 이노믹스 서버를 재설치하였다.
(11) 이후 피고 옥션은 2008년 1월 말경 데이터베이스 서버에 대한 접근 내역 확인 작업을 수행하던 도중 2008. 2. 1. 김반석으로부터 피고 옥션 회원의 개인정보가 해킹되었다는 취지의 제보를 받고, 2008. 2. 4.경 이 사건 해킹 사고가 발생한 사실을 확인한 다음 경찰 및 관계 기관에 이 사건 해킹 사고를 신고하였다.
(12) 한편, 2008. 1. 3. 및 같은 달 4.에 이노믹스 서버에 생성된 웹쉘인 ‘temp.asp’, ‘conn.asp’는 이 사건 해킹 사고 당시 휴리스틱(heuristic)18) 기능을 갖춘 맥아피(McAfee), 시멘텐사의 노턴(Norton)이나 안철수 연구소의 v3 등 백신 프로그램에 의해서는 탐지할 수 없는 웹쉘이었다.
앞서 인정한 기초사실 및 위 인정사실에 의하여 알 수 있는 다음과 같은 여러 사정을 종합적으로 고려하면, 피고 옥션이 2008. 1. 4.경 이노믹스 서버에 설치된 악성코드를 발견하고 즉시 데이터베이스 서버 관리자의 비밀번호를 변경하지 않았다고 하더라도 피고 옥션에게 그로 인한 주의의무 위반이 있다고 할 수 없고, 갑 제15, 20, 21호증의 각 기재와 증인 홍민표의 일부 증언만으로는 피고 옥션이 이 사건 해킹 사고 당시 적절한 대응 조치를 취하지 않아 이 사건 해킹 사고를 막지 못하였다는 점을 인정하기에는 부족하며, 달리 이를 인정할 만한 증거가 없으므로, 원고들의 위 주장도 받아들일 수 없다.
⑴ 피고 옥션은 2008. 1. 3. 20:30경 최초 이 사건 사이트에 대한 이상 징후를 발견한 이후 이 사건 해킹이 완료된 이후인 2008. 1. 14.경까지 피고 옥션이 자체적으로 수립하고 있었던 침해사고 대응 절차에 따라 피고 인포섹의 침해 보고 등을 토대로 로그 및 장비 이상 유무의 점검, 악성 코드의 삭제, ‘ARP Spoofing’의 차단, 이노믹스 서버의 점검, TCP 80 포트의 차단, 데이터베이스 서버 침해 여부 점검 등 합리적인 대응 조치를 취한 것으로 보인다.
⑵ 악성 코드는 여러 경로를 통하여 서버에 올려지거나 생성될 수 있어 악성 코드가 발견되었다는 사실만으로 바로 서버에 대한 해킹의 징후라고 단정하기는 어려운 것으로 보인다.
⑶ 일반적으로 웹쉘에 시스템 관리자의 아이디와 비밀번호를 탈취하는 기능이 있다고 하더라도, 모든 웹쉘에 그러한 기능이 있다고 단정하기는 어려울 뿐만 아니라, 피고 옥션이 ‘ASP목마2006’, ‘temp.asp’, ‘conn.asp’ 등의 웹쉘을 인지한 시기는 이 사건 해킹이 이미 끝난 2008. 1. 8. 04:28경 이후였다.
⑷ 서버별로 비밀번호가 별도로 설정되고, 시스템에 따라 비밀번호가 서로 연동하는 특성상 수십 대의 데이터베이스 서버를 운영하고 있는 피고 옥션이 악성코드나 웹쉘을 발견한 즉시 해킹이 발생할 수도 있다는 가능성을 고려하여 데이터베이스 서버 관리자의 비밀번호 전부를 바로 변경하기는 어려운 것으로 보인다.
⑸ 2008. 1. 3. 및 같은 달 4. 이노믹스 서버에 생성된 ‘temp.asp’, ‘conn.asp’은 이 사건 해킹 사고 당시를 기준으로 맥아피(McAfee)나 시멘텐사의 노턴(Norton), 안철수 연구소의 v3 등 백신 프로그램에 의해서는 탐지할 수 없는 웹쉘로서, 피고 옥션이 이 사건 해킹 사고 당시 실시간으로 위 웹쉘을 인지하지 못하였다고 하더라도 그에 관한 주의의무 위반이 있다고 하기 어렵다. 설령 이 사건 해킹 사고 당시 휴리스틱 기능이 전문화된 다른 종류의 백신 프로그램에서는 위 웹쉘의 탐지가 가능하였다고 하더라도, 그러한 종류의 백신 프로그램은 인공지능을 기반으로 활동하여 오탐지(誤探知)가 많기 때문에 널리 이용되지 않는 점에 비추어 보면, 피고 옥션이 당시 그 백신 프로그램을 사용하지 않고, 맥아피(McAfee)나 노턴(Norton) 등의 백신 프로그램을 사용하였다고 하여 그로 인한 어떠한 과실이 있다고 보기도 어렵다.
⑹ 해커가 사용한 것으로 추정되는 ‘ARP Spoofing’ 기법은 다양하게 악용될 수 있고 그로 인한 피해도 심각할 수 있는 반면 이에 대한 탐지와 대응은 쉽지 않은 공격 방법으로서 이를 방어하기 위해서는 ‘ARP 테이블 설정’을 다이나믹(Dynamic) 모드에서 스태틱(Static) 모드로 변경하면 되기는 한다. 그러나 스태틱(Static) 모드는 일반적인 다이나믹(Dynamic) 모드에 비해 유연하지 못하여 시스템의 수가 적고 변화가 크지 않은 소규모 기업에 적당한 대응기술인데, 서로 연동하는 수백 대의 서버를 운용하고 있는 피고 옥션으로서는 ‘ARP Spoofing’ 공격을 인지한 즉시 모든 서버의 ‘ARP 테이블 설정’을 다이나믹(Dynamic) 모드에서 스태틱(Static) 모드로 변경하는 것은 어려웠던 것으로 보이므로, 피고 옥션이 그러한 변경 조치를 취하지 않은 것에 어떠한 과실이 있다고 보기도 어렵다.
⑺ 해커가 사용한 것으로 추정되는 포트 포워딩, ‘ARP Spoofing’ 기법은 고급의 해킹 기법에 해당하고, 탐지가 어려운 은폐형 웹쉘은 일반적으로 시스템 조작 능력이 뛰어난 해커에게 선호된다. 그런데 해커는 이 사건 해킹 6개월 이전인 2007. 8. 10. 이미 해킹을 위한 서버 거점을 마련한 다음 이 사건 해킹 사고 발생시까지 6개월 동안 꾸준히 치밀하게 사전 준비 기간을 거쳤고, 피고 옥션은 수백 대의 웹 서버와 수십 대의 데이터베이스 서버를 운용하는 등 복잡한 시스템을 보유하고 있었던 점 및 앞서 1. 나. 4), 5)항에서 인정한 이 사건 해킹의 수법, 특히 해킹 후 침입 흔적이 남지 않도록 자신의 IP 주소를 세탁하는 등의 지능적 수법에 비추어 보면, 이 사건 해킹 사고는 초급 수준을 넘어 적어도 상당한 수준의 해킹 기술을 보유하고 있는 지능적인 해커에 의하여 발생한 것으로 보이고, 앞서 본 바와 같은 이 사건 해킹 사고 당시 관련 법령이 정보통신서비스 제공자에게 요구하고 있는 기술적․관리적 보안 조치의 내용과 이에 따라 피고 옥션이 취한 보안 조치의 내용과 수준, 해킹 방지 기술의 발전 정도, 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도 등에 비추어 피고 옥션이 이 사건 해킹 사고를 근본적으로 방지하기는 쉽지 않았던 것으로 보인다.
10) 정보통신망법 제28조에 따른 손해배상 주장에 대한 판단
을 제9, 18 내지 20호증, 제21호증의 1, 2, 제22 내지 31호증의 각 기재, 증인 길기현의 증언과 변론 전체의 취지를 종합하면 피고 옥션은 이 사건 해킹 사고 당시 다음과 같이 정보통신망법, 같은 법 시행규칙 및 이 사건 고시에서 규정하고 있는 개인정보 보호를 위한 기술적․관리적 조치를 한 사실이 인정된다.
(1) 개인정보 보호 조직의 구성․운영에 관한 사항, 접근 통제 등에 관한 세부 사항, 그 밖에 개인정보 보호를 위하여 필요한 사항 등을 구체적으로 규정한 ‘정보보호정책 및 관리지침’을 제정하여 임직원으로 하여금 이를 준수하게 하는 등 개인정보 관리계획을 수립․시행하였다.
(2) 직원들이 업무 요청 시스템을 통해 사전에 접근 권한을 부여받은 경우에만 개인정보처리 시스템에 접근할 수 있도록 함으로써 개인정보에 접근할 수 있는 인원을 최소화하였다. 직원들이 퇴직하는 경우 즉시 시스템 접근 권한을 말소하였고, 직원들의 개인정보처리 시스템 접근 요청 및 권한 부여 기록을 업무 요청 시스템을 통하여 별도의 저장 장치에 보존하였다.
(3) 피고 옥션의 네트워크에 대한 침입탐지시스템으로 인터넷 시큐리티 시스템(Internet Security System)사의 아이에스에스 사이트 프로텍터(ISS SiteProtector)19) 제품을, 침입방지시스템으로 시스코 시스템즈(Cisco Systems)사의 시스코 파이어월 서비시즈 모듈[Cisco Firewall Services Module(FWSM)]20) 제품을 설치하여 운용하였다.
(4) 정보보호정책 및 관리지침 제6장 사용자 보안지침 2. 업무용 PC 계정 및 비밀번호, 제15장 계정 관리 보안지침 2. 패스워드 생성 및 관리 규정을 통해 패스워드 작성 규칙을 수립․이행하였다. 또한 피시(PC) 보안 지침을 수립․시행하고, 스팸 메일, 인터넷 유해 사이트 및 P2P를 차단하는 응용 소프트웨어를 운영하였다.
(5) 피고 옥션의 회원이 설정한 비밀번호를 일방향 해쉬 알고리즘21)을 통하여 암호화하여 저장하였고, 개인정보가 전송되는 구간은 보안 서버 인증서인 에스에스엘[SSL(Secure Socket Layer)]을 통하여 개인정보를 암호화하여 송․수신하였다.
(6) 맥아피(McAfee), 노턴(Norton) 등 복수의 백신 소프트웨어를 설치 운영하고 있고, 직원들이 업무 요청 시스템을 통해 사전에 승인을 받은 경우에만 개인정보를 출력할 수 있도록 하였다.
정보통신서비스 제공자 등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 하고(정보통신망법 제28조 제1항), 이용자는 정보통신서비스 제공자 등이 개인정보 보호에 관한 규정을 위반한 행위로 손해를 입은 경우에는 그 정보통신서비스 제공자 등에 대하여 손해배상을 청구할 수 있으므로(정보통신망법 제32조), 원고들이 피고 옥션에 대하여 정보통신망법 제28, 32조에 따른 손해배상을 청구하기 위해서는 피고 옥션이 정보통신망법에서 요구하는 기술적․관리적 조치를 다하지 아니한 사실이 인정되어야 한다.
살피건대, 위 인정사실에 의하면 피고 옥션은 정보통신망법 제28조 제1항, 같은 법 시행규칙 제3조의3 제1항 및 이 사건 고시에서 규정하고 있는 개인정보 보호를 위한 기술적․관리적 조치를 다한 사실을 알 수 있으므로, 원고들의 위 주장도 이유 없다.
11) 전자금융거래 이용약관 및 전자금융거래법에 따른 손해배상 주장에 대한 판단
전자금융업자는 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다(전자금융 거래 이용약관 제10조, 전자금융거래법 제9조 제1항).
여기서 접근매체란 ‘전자금융거래에 있어서 거래 지시를 하거나 거래 내용의 진실성과 정확성을 확보하기 위하여 사용되는 전자식 카드, 전자서명법상의 인증서, 전자금융업자에 등록된 이용자 번호, 이용자의 생체정보 및 비밀번호’ 등을 의미하고(전자금융거래법 제2조 제10호), 전자금융거래란 ‘금융기관 또는 전자금융업자가 전자적 장치를 통하여 금융상품 및 서비스를 제공하고, 이용자가 금융기관 또는 전자금융업자의 종사자와 직접 대면하거나 의사소통을 하지 아니하고 자동화된 방식으로 이를 이용하는 거래’를 의미한다(전자금융거래법 제2조 제1호). 그러므로 ‘접근매체의 위조 또는 변조로 발생한 사고’는 인증서나 비밀번호 등 전자금융거래에 이용되는 각종 매체의 위조나 변조로 발생한 사고를 의미하고, ‘계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고’는 전자금융업자인 피고가 전자적 장치를 통하여 제공하는 상품 중개 서비스를 이용자가 자동화된 방식으로 이용하는 과정에서 발생한 사고를 의미한다.
그런데 이 사건 해킹 사고는 피고가 저장․보관하고 있는 회원 개인정보의 도난에 해당할 뿐, ‘접근매체의 위조나 변조로 발생한 사고’, 또는 ‘계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고’에 해당한다고 볼 수 없다.
따라서 원고들의 위 주장도 이유 없다.
피고 인포섹은 피고 옥션에 침입방지시스템 및 침입탐지시스템 등 정보보호 서비스를 제공하던 업체로서 그 정보보호 업무에 소홀히 하여 이 사건 해킹 사고를 사전에 방지하지 못함으로써 원고들의 개인정보가 유출되도록 하였다. 따라서 피고 인포섹은 피고 옥션과 연대하여 원고들에게 정보통신망법 제28조 또는 민법 제750조, 제756조에 따라 불법행위로 인한 위자료로 각 10,000,000원을 지급할 의무가 있으므로, 원고들은 그 일부 청구로서 각 2,000,000원씩의 지급을 구한다.
2) 정보통신망법 제28조에 따른 손해배상 주장에 대한 판단
정보통신서비스 제공자 등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 하고(정보통신망법 제28조 제1항), 이용자는 정보통신서비스 제공자 등이 개인정보 보호에 관한 규정을 위반한 행위로 손해를 입은 경우에는 그 정보통신서비스 제공자 등에 대하여 손해배상을 청구할 수 있다(정보통신망법 제32조). 그런데 정보통신서비스 제공자 등이라 함은「전기통신사업법」제2조 제1항 제1호의 규정에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신 역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자 및 그로부터 이용자의 개인정보를 제공받은 자를 의미한다(정보통신망법 제2조 제1항 제2호, 제25조 제1항).
따라서 피고 인포섹은 정보통신망법에서 규정하고 있는 정보통신서비스 제공자 등에 해당할 여지가 없으므로, 원고들의 이 부분 주장은 더 나아가 살펴볼 필요 없이 이유 없다.
3) 민법 제750조, 제756조에 따른 손해배상 주장에 대한 판단
갑 제13호증의 1, 2, 을 제101호증의 각 기재와 변론 전체의 취지를 종합하면 다음 사실이 인정된다.
(1) 피고 인포섹은 2007. 2. 1. 엘지데이콤과 다음과 같은 내용의 ‘인터넷 데이터센터 정보보호 서비스를 위한 계약’을 체결하고, 2007. 6. 1.부터 이 사건 해킹 사고 당시까지 엘지데이콤과 체결한 보안 관제 서비스 이용계약에 따라 엘지데이콤이 운영하는 인터넷 데이터센터에 입주한 피고 옥션에게 정보보호 서비스를 제공하였다.
(가) ‘정보보호 서비스’란 피고 인포섹이 엘지데이콤의 인터넷 데이터센터(이하 ‘KIDC’) 고객들에게 보안 관련 컨설팅, 보안 클리닉, 모의 해킹, 침입차단, 침입탐지, 시스템 구축, 안티 바이러스, 모니터링 서비스 등 보안과 관련하여 제공하는 모든 서비스를 총칭한다(제2조 제1항).
(나) ‘IDC 서비스’란 엘지데이콤이 고객의 서버를 엘지데이콤의 백본 네트워크에 직접 설치․연결하여 인터넷 서비스의 속도와 안정성을 보장하고 관리비용을 더욱 절감할 수 있는 인터넷 장비 대행 관리 서비스를 말한다(제2조 제2항).
- 정보보호 서비스에 상품 구성 지원
- 정보보호 서비스 제공에 필요한 설비 제공 및 구축
- 정보보호 서비스 운용 및 서비스 기술 지원
- 정보보호 서비스 영업 지원
(2) 엘지데이콤이 2007. 6. 1. 피고 옥션과 체결한 보안 관제 서비스 이용계약에 따라 피고 옥션에 제공하기로 한 보안 관제 서비스의 내용은 다음 [ 표 ] 기재와 같다.
|
순서 |
구분 |
내용 |
수량 |
|
Managed Firewall Service | |||
|
1 |
침입차단 서비스 |
침입차단/VPN 시스템 설치, 운영, 관리 대행 Cisco Catalyst 6509 Firewall Security System(2 식) Cisco ASA5520(2식) |
4 |
|
- 24 시간 동작상태 감시 - 정책 점검, 변경 대행, 장애 대응 - 로그 분석, 로그 백업(3개월) | |||
|
정보 재해 복구 지원 |
- 정보 재해 복구 지원 - Help Desk(24시간 상시, 상황 접수, 기술 지원) | ||
|
Managed Network Based IDS Service | |||
|
2 |
침입탐지 서비스(IDS) |
침입탐지 시스템 설치, 운영, 관리 대행 ISS Proventia GX6116(1 식) ISS RealSecure Network Sensor(1 식) |
2 |
|
- 24 시간 동작상태 감시 - 환경에 최적화된 침입방지 시스템 구성 - 장애 및 해킹 감시, 대응(24시간 상시) - 로그 분석, 정기 보고(월 1회) | |||
|
정보 재해 복구 지원 |
- 정보 재해 복구 지원 - Help Desk(24시간 상시, 상황 접수, 기술 지원) | ||
|
Security Clinic Service | |||
|
3 |
보안 취약점 진단 및 모의 해킹 |
정기 보안 취약성 점검, 보고, 제거 지원 - (분기별 1,000대 이하) 모의 해킹 분기별 (1회) AppScan AE 6.5(1식) |
1 |
|
- 24 시간 서버 Health Check | |||
|
Information Security Education Service | |||
|
4 |
교육 및 기타 지원 |
정보보안 교육 제공 및 보안 컨설팅 지원 - 보안 실무자 교육 및 솔루션 교육(반기) - 국내외 최신 정보보안 정보를 제공(수시) - 전자금융거래법 사후 이행 점검 지원 - 안전진단수검 무상 제공 |
1 |
(3) 피고 인포섹은 이 사건 해킹 사고 당시 엘지데이콤과 체결한 인터넷 데이터센터 정보보호 서비스를 위한 계약에 따라 피고 옥션에게 다음과 같은 내용의 정보보호 서비스를 제공하였다.
(가) 피고 인포섹의 침해대응팀은 2008. 1. 3. 20:30경 이 사건 사이트의 속도가 저하되어 사이트 접속이 불가능해진 상황을 파악하고 피고 옥션 담당자에게 상황을 전파한 다음, 같은 날 20:40경부터 침입탐지시스템(IDS) 및 방화벽의 로그 및 장비 이상 유무를 점검하여 침입탐지시스템 및 방화벽 등의 보안 장비가 정상 작동하고, 로그 분석 결과 외부에서의 공격 시도 등 특이 사항이 없는 것을 확인하였다. 피고 인포섹은 피고 옥션에 위와 같은 내용을 기재한 2008. 1. 3.자 장애발생 분석 보고서를 송부하였다.
(나) 피고 인포섹은 2008. 1. 4.경 피고 옥션으로부터 ‘hacktool.wci’ 등 악성 코드에 대한 분석을 의뢰받고 같은 날 13:40경 피고 옥션에 심각도가 ‘낮음’이고, 추가적인 피해가 없는 것으로 보인다는 내용의 분석 결과를 전달하였다.
(다) 피고 인포섹의 침해대응팀은 2008. 1. 8. 02:55경 침입탐지시스템을 통해 ‘ASP목마2006’이라는 이벤트를 탐지하고, ‘ASP목마2006’ 웹쉘을 이노믹스 서버에 올린 것으로 추정되는 중국 IP 218.244.144.45를 차단하고, 위 IP 사용자에게 경고 메일을 발송하였다.
(라) 이후 피고 인포섹은 2008. 1. 8. 04:28경 피고 옥션에 ‘ASP목마2006’은 제3자의 시스템을 원격 제어할 수 있는 웹쉘이라는 내용의 침해위협 발생보고서를 송부하였다.
(마) 피고 인포섹은 2008. 1. 8. 10:00경 피고 옥션의 이노믹스 서버에 접속하여 점검한 결과 같은 날 14:00경 ‘temp.asp’, ‘conn.asp’ 파일 등을 발견하였고, 피고 옥션은 그 파일을 삭제하였다.
(바) 이후 피고 인포섹은 2008. 1. 14. 피고 옥션에 이노믹스 서버가 2008. 1. 3. 20:31 중국의 쇼핑몰인 222.73.219.11(ys-e.ys168.com)로 접속하여 악성코드인 ‘svchost.exe’를 내려받았고, 위 악성코드를 통하여 2008. 1. 3. 20:44경 웹쉘인 ‘temp.asp’가, 2008. 1. 4. 23:30경 웹쉘인 ‘conn.asp’가 생성되었으며, 중국 IP인 218.244.144.45 사용자가 2008. 1.3. 21:25과 2008. 1. 4. 06:25, 그리고 2008. 1. 4. 23:15에 이노믹스 서버에 접속한 사실이 확인되었다는 내용의 2008. 1. 10.자 침해사고 분석보고서를 송부하였다.
위 인정사실에 의하여 알 수 있는 다음과 같은 여러 사정을 종합적으로 고려하면 피고 인포섹은 이 사건 해킹 사고 당시 담당하고 있던 보안 관제 업무를 다하였다고 봄이 상당하고, 달리 피고 인포섹이 보안 관제 업무를 소홀히 하여 이 사건 해킹 사고를 사전에 방지하지 못하였다는 점을 인정할 만한 증거가 없으므로, 원고들의 위 주장도 이유 없다.
⑴ 피고 인포섹은 이 사건 해킹 사고 당시 엘지데이콤과 체결한 계약 및 엘지데이콤과 피고 옥션 간의 계약에서 따라 네트워크를 기반으로 하는 침입차단 및 침입탐지 서비스의 제공, 보안 취약점의 진단 등의 보안 관제 업무를 담당한 것으로 보인다.
⑵ 피고 인포섹은 이 사건 해킹 사고 당시 엘지데이콤과 체결한 계약에 따른 이행으로 침입탐지 및 침입차단 시스템의 운용, 침해 위협 상황 전파, 침입탐지 및 침입차단 시스템의 로그 분석, 탐지 이벤트에 대한 IP 차단, 웹쉘 탐지, 장애 및 침해사고 분석보고서 제공 등 합리적인 조치를 취한 것으로 보인다.
⑶ 이 사건 해킹 사고가 피고 인포섹이 담당하고 있던 보안 관제 업무 범위 내에서 발생하였다고 단정할 수도 없다.
그렇다면, 별지 제2-2 원고 목록 기재 원고들의 피고들에 대한 소는 부적법하여 이를 모두 각하하고, 별지 제1, 2 원고 목록 기재 원고들 중 별지 제2-2 원고 목록 기재 원고들을 제외한 나머지 원고들의 피고들에 대한 청구는 이유 없으므로 이를 모두 기각하기로 하여 주문과 같이 판결한다
댓글
댓글 리스트-
답댓글 작성자박진식변호사 작성자 본인 여부 작성자 작성시간 11.01.07 소송에 관한 개략적인 설명은 현재진행상황 게시판에서 알려드리고 있습니다... 무려 1년 후에 판결문을 보셨나봐요..^^
-
작성자시선처리 작성시간 11.03.01 이건 it강국의 수치야~ 수치~ 근데 대한 민국이 it강국이 맞나? 반드시 승소해야 한다.
게쓰레기같은 it강국 개나 줘버려라...옥션은 돈 내놔라 ㅡㅡ -
작성자매직아이 작성시간 11.03.17 요즘 보이싱피싱 전화왔어 죽겠어요~ 상대방이 내 주민번호 다 알고 있는 것이 아닙니까~ 너무 황당하더라구요~
-
작성자날마대사 작성시간 11.04.10 일벌배계의 본보기로 꼭 승소하였으면 좋겠습니다.
-
작성자oasisii 작성시간 11.04.19 옥션이나 보안업체에서는 위반을 했지만, 최선을 다했다 고로 기각한다... 이런 말도 안되는 내용 ㄷㄷㄷ
아니 어느 멍청한 관리자가 아이디 만들때 옥션이라는 아이디를... 그것도 서버아이디를 만들어 쓸수 있는지,
그걸 웹쉘을 통해 알고 다운받아서 알아낸거라 어쩔수 없었다 ㅎㅎ 참...
정말 옥션 및 보안업체(인포)에 묻고 싶네요, 아니 보안관리하는 업체에서는 보안이라는 글자만 알면 다 취직 시켜주는
그런회사 인건가요?
이게 지금 IT 강국의 보안 능력인거죠?