2016년 2,500만 건의 고객정보를 유출 당한 인터파크에게 방통위는 44억 8,000만 원의 과징금을 부과했다. 이는 개인정보 유출 관련 정부가 부과한 과징금액으로는 역대 최고 금액이다(참고로 민사에서 최대 배상금액을 기록한 소송은 단연 신용카드 3사 개인정보유출 사건이다). 인터파크는 방통위의 과징금 처분에 불복하여 행정소송을 제기했으나 1심 서울행정법원 및 항소심 서울고등법원에서 패소했다. 소송에서는 인터파크의 법위반행위와 해킹 간 인과관계 여부가 주된 쟁점이었다. 법원은 방통위 처분을 지지하면서 “유출사고가 난 이상 이것과 법위반행위 사이의 인과관계가 입증되지 않았더라도 과징금을 부과할 수 있다”고 해석했다. 본고에서는 이 쟁점에 대해 살펴본다. 인터파크가 당한 해킹의 유형은 APT(Advanced Persistent Threat) 공격이다. 이는 해커가 특정 목표 대상을 정한 후 그 허점을 집요하게 노려 침입하는 기법이다. 해커는 인터파크 직원 A의 가족사진을 가지고 화면보호기(SCR 파일)를 만들고 여기에 악성코드를 심어 A에게 이메일로 전송하면서, 마치 A의 친동생이 보내는 것처럼 발신 이메일 주소를 위장하고 동생의 어투까지 흉내냈다. A는 감쪽같이 속을 수밖에 없었다. 화면보호기의 확장자가 EXE가 아니라 SCR이라서 A는 별 의심을 하지 않고 첨부파일을 열었을 것이나, SCR 파일도 악성코드 유포용으로 사용될 수 있다. 특정 공격을 위해 특별 제작된 악성코드는 백신에도 탐지되지 않는다. 해커는 악성코드를 감염시킨 A의 PC를 거점으로 삼아 DB 관리자 직원 B의 PC에 원격 데스크탑 접속했다. 당시 B가 퇴근한 시간이었는데, 그때까지 DB 서버와의 접속이 유지된 터미널이 B의 PC에 그대로 떠 있었다고 한다. 자동 로그아웃(이하 ‘idle timeout’) 설정이 제대로 안 되어 있었기 때문이다. 덕분에 해커는 DB 서버에 손쉽게 침입할 수 있었는데, 여기에서 인터파크 회원들의 개인정보가 유출된 것이 바로 이번 사고이다. 정보통신망법의 위임을 받아 개인정보의 기술적·관리적 보호조치의 내용을 정한 방통위 고시는 개인정보처리시스템에 idle timeout 설정을 할 의무를 규정하고 있다. 그러한 법상 의무를 위반하면 그 자체로 과태료, 개인정보 유출까지 되면 과징금 부과 대상이다. 부수적으로, A의 PC를 손에 넣은 해커가 인터파크 사내 네트워크를 스캔했더니 업무용 파일서버가 발견되었다. 거기에는 패스워드 장부 엑셀파일이 있었다. 직원들이 수많은 인터파크 서버들의 접속계정을 외우기 어려워 이를 메모해둔 것이었다. 다만, 개인정보가 유출된 DB 서버의 접속 패스워드는 여기에 없었다고 한다. 즉, 패스워드 장부 노출이라는 법위반행위와 개인정보 유출 사이에는 인과관계가 없음이 분명했다. 그런데 방통위는 idle timeout 미설정은 물론 및 패스워드 장부 노출까지 모두 처분원인사실로 삼아 과징금을 부과했다. 인터파크는 행정소송에서 idle timeout 미설정은 APT 해킹의 핵심 원인이 아니다, 나아가 패스워드 장부 노출과 개인정보 유출은 인과관계가 전혀 없다고 주장했다. 인터파크를 패소시킨 1심 및 항소심 법원은 인과관계 자체가 과징금 부과 요건이 아니라고 근거법률을 해석했다. 개정 전 법조문은 “법상 '조치'를 하지 아니하여 이용자의 개인정보를 '유출'한 경우에는 과징금을 부과한다”는 구조로서 '미조치'가 '유출'의 원인이 되어야 한다는 뜻이 명확했다. 이와 달리 2014년 개정된 법조문은 “이용자의 개인정보를 '유출' 한 경우로서 법상 '조치'를 하지 아니한 경우에는 과징금을 부과한다”는 형식으로 바뀌었다. 이를 근거로 법원은 '유출'이라는 결과와 '미조치' 행위가 인정되기만 하면 둘 사이의 인과관계는 요구되지 않는다고 해석했다. 그러나, 해킹의 원인을 제공하지 않은, 즉 ‘인과관계’ 없는 사업자의 위반행위까지 과징금 처분사유가 될 수 있다고 본 법해석에 대해서는 재고의 여지가 있다고 사료된다. 민사와 형사의 영역에서는 자신의 행위와 인과관계 없는 결과에 대해서 법적 책임을 지는 경우는 있을 수 없다. 형법 제17조(인과관계) 및 민법 제750조(불법행위의 내용) 모두 ‘인과관계’를 법적 책임의 성립요건으로 요구한다. 이것이 법의 대원칙이다. 행정상의 제재 또한 특별한 사정이 없다면 마찬가지이다. 행정상 금전제재는 크게 과징금과 과태료로 나뉜다. 일반론적으로, 단지 절차를 위반한 행위에 대해서는 행정질서벌의 일종인 과태료(가벼운 제재)가 부과되는데 그치는 반면, 행정목적을 침해하는 결과까지 야기한 행위에 대해서는 행정벌의 일종인 과징금(무거운 제재)이 부과된다. 정보통신망법 또한 이 체계에 따라 과태료와 과징금의 각 구성요건이 차등되어 있다. 사업자가 단지 idle timeout과 같은 법상 조치를 불이행한데 그쳤다면 3,000만 원 이하의 과태료를 부과 받지만(제76조 제1항 제3호), 더 나아가 개인정보 유출(해킹)이라는 결과까지 야기했다면 관련매출액에 비례하는 과징금을 부과 받는다(제64조의3 제1항 제6호). 해킹을 당했다는 결과에 대해 사업자에게 과징금이라는 법적 책임을 지우려면, 마땅히 사업자의 행위와 결과 사이에 ‘인과관계’가 존재해야 한다. 이것이 법의 대원칙에 부합하는 해석으로 사료된다(만약 해킹과의 인과관계를 불문하고 과징금을 부과하는 쪽으로 제도를 바꾼다면 굳이 행정질서벌을 운영할 필요가 없으니 과태료 조항을 폐지하는 것이 균형에 맞을 것이다). 이러한 원칙에 부합하도록 개정 전 정보통신망법 제64조의3 제1항 제6호는 ‘조치를 하지 아니하여 이용자의 개인정보를 누출’이라는 형식으로 규정함으로써 미조치가 해킹의 원인을 제공했어야 한다는 요건을 명시하고 있었다. 그러다가 2013. 11. 21. 방통위가 입법예고한 정보통신망법 일부개정안에서 “현재 대규모 개인정보 누출 등 침해사고 발생시 기술적·관리적 보호조치 위반과의 인과관계 입증이 어려움” 이라는 이유를 들어 과징금 부과요건 중 ‘인과관계’ 요건을 삭제할 것이 제안되었다. 참고로 이때까지는 개인정보 유출(해킹) 사고에 대해 과징금 처분이 내려진 전력이 없었다(2014. 6. 26. 비로소 첫 과징금 사건인 KT 마이올레 사건의 방통위 처분이 내려졌다). 위 방통위가 제안한 내용의 정보통신망법 제64조의3 제1항 제6호 개정안은 독자적인 법안으로 국회에 발의되지는 않은 것으로 보이고, 대신 2014. 5. 2. 국회 본회의를 통과한 대안법안의 일부로서 반영되었다. 그런데 정작 그 대안법안의 의안원문 및 이에 관한 국회 검토보고서, 소관위 회의록 등 가운데 ‘인과관계’ 입증 없이도 과징금을 부과할 수 있도록 한다는 기재는 어디에도 없다. 즉, ‘인과관계’ 요건을 삭제하는 개정안이 국회에서 논의라도 되었는지 의문이다. 참고로 그 당시는 신용카드 3사 개인정보 유출 사고 사실이 2014. 1. 8.자 검찰 발표에 의해 알려진 이래 국회에서 앞 다투어 개인정보 규제를 강화하는 법안들이 발의된 시점이어서, 위 대안법안에는 무려 18건의 발의안이 통합되어 있었다(예컨대 300만 원 이하 법정손해배상 규정도 이 때 신설된 것이다). 따라서 입법자의 의도에 ‘인과관계’ 요건 삭제가 포함되어 있는지 여부는 불명확한 측면이 있으며, 만약 진정한 입법의도가 그러했다면 위헌 소지를 검토해 보아야 한다. 무엇보다도 과징금 부과요건에서 ‘인과관계’를 뺄 경우, 민사상 손해배상 요건과 균형이 맞지 않게 된다. 정작 본인의 정보를 유출 당한 이용자는 사업자를 상대로 민사소송을 제기하더라도 사업자의 과실과 해킹 간 인과관계가 입증되지 못하면 손해배상을 받을 수 없다. 행정청은 피해자인 일반 국민들보다 현저히 강력한 조사권한을 가졌음에도 ‘인과관계’ 요건 입증을 생략하고 과징금이라는 공법적 제재를 손쉽게 부과할 수 있어야 하는지, 응보와 억지가 피해배상보다 우선되어야 하는 가치인지는 심히 의문스럽다. 향후 만약 행정청이 ‘인과관계’ 요건 입증을 생략하고 과징금을 부과할 경우, 이번 판결이 해석한 입법의도와는 오히려 반대로, 피해자들이 제기한 민사소송에서 별도로 인과관계 요건을 입증하는데 곤란을 겪어 이용자 구제에 흠결을 낳을 수도 있다. 한편, 만약 본고의 주장에 따라 ‘인과관계’를 여전히 현행법상 과징금 부과요건으로 해석할 경우, 인터파크 사건에서 두 처분사유와 해킹 사이의 인과관계는 존재하는가. 제1처분사유와 해킹 사이의 인과관계 유무는 곧 “Idle timeout 조치를 취했을 때 인터파크가 당한 유형의 APT 해킹을 통상 막을 수 있는가”의 문제로 점철된다. 이는 세부 사실관계에 따라 판단 여지가 있는 문제이다. 인터파크 사건의 경우, 해커가 DB 관리자 B의 PC(관리용 단말기)에 원격 데스크탑으로 접속해보니 마침 B가 퇴근하여 자리를 비운 상태에서 망분리 프로그램 및 DB 서버 접속 터미널이 로그아웃 되지 않고 그대로 떠 있었다. 이와 달리, 위 망분리 프로그램 및 DB 서버 접속 터미널에 최대접속시간이 설정되어 있었고 해커가 B의 PC에 접속했을 때 위 터미널이 로그아웃 된 상태였다고 가정했을 때, 과연 해커가 DB 서버에 침입할 수 있었을지 여부가 관건이다. 만약 예컨대 해커가 B의 PC에 키로거 등을 용이하게 설치할 수 있는 상황이었다면, 해커로서는 수고스럽더라도 위 PC에 키로거를 심어 내부망 ID·PW 및 DB 서버 ID·PW를 도청할 수 있었을 것이고, 이 경우 idle timeout 조치를 했었더라도 해킹은 막지 못하게 된다. 이러한 맥락에서 싸이월드 판결은 DB 서버 계정 ID·PW가 해커에게 이미 도청당한 상태에서 idle timeout 설정은 무용지물이라는 이유로 그 미설정과 해킹 사이의 상당인과관계를 부정한바 있었다. 달리 가정하여, 만약 해커가 B의 PC 제어권한을 완전히 탈취하지 못했거나, 또는 해커의 관점에서 우연히 접속해 본 B의 PC가 DB 관리자의 것인지조차 알기 어려운 상황이었다면, DB 서버 접속 터미널이 idle timeout 되지 않고 그대로 떠 있었던 것이 해킹의 결정적 계기를 제공한 셈이므로 상당인과관계가 인정될 수 있을 것이다. 한편, 적어도 두 번째 처분사유와 해킹 사이에는 인과관계가 없다는 점은 분명하다. DB 서버의 관리자 비밀번호는 문제된 패스워드 장부 엑셀파일에 쓰여 있지 않았고, 해커는 다른 경로로 DB 서버에 침입했으므로, 위 패스워드 장부 엑셀파일이 노출된 것은 DB 서버 해킹의 원인과 무관하다. 해킹과 인과관계 없는 위반행위는 과태료 부과 대상이어야 마땅하다. 그런데 인터파크의 입장에서는 다른 경로로 해킹을 당했다는 우연한 사정으로 인해, 해킹의 원인이 아닌 행위에 대해서까지 경한 과태료 대신 중한 과징금을 부과 받게 된 셈이다. 요컨대, 정부가 ‘인과관계’를 입증하기 곤란하다는 이유로 이것을 과징금 부과요건에서 뺀다는 것은 근시안적인 접근이다. 정부의 역할은 침해사고 원인조사의 실효성을 높임으로써 해킹과 ‘인과관계’ 있는 취약점이 무엇이었는지를 현장에서 밝히는 것이 되어야 한다. 그렇다면 기술적·관리적 보호조치 고시는, idle timeout과 같은 지엽적인 의무를 나열할 것이 아니라, 로그(Log) 보존 등 사고조사에 꼭 필요한 조치의무를 강화하는 방향으로 향후 개정되어야 하지 않을까. 전승재 변호사 (법무법인(유한) 바른)

-서울중앙지방법원 2015. 10. 16. 선고 2014가합38116 판결 (구글에 대한 개인정보제공내역 요청 사건) - 1. 이 사건의 배경 인터넷의 역사는 스노든의 폭로 전후로 극명하게 나뉜다. 미국?IT기업들의 서버에 쌓인 전 세계 이용자의 이메일과 사생활 데이터가 미국 정부의 감시에 사용되었다는 사실은 큰 충격이었고 '개방성'과 '중립성'을 근간으로 한 인터넷 체제에 대한 불신을 키웠다. 이에 각국은 자국민 보호를 위해 데이터 분권화, 정보주권주의 강화로 나아가고 있다. 예컨대 유럽의회 시민자유위원회가 추진하는 '데이터 보호 규약' 개정안을 통해 자국 데이터의 월경을 막는 데이터 블록화 움직임이 가시화됐고, 미국-EU 세이프하버협정 무효화도 같은 맥락으로 볼 수 있다. 즉 국외이전된 개인정보의 이용ㆍ제공에 대한 의문과 불신, 정보영역에서의 '자국민 보호' 경향은 국제사회의 큰 흐름인바, 본 사건의 배경에는 이러한 흐름이 있다. 2. 사실관계 원고들은 피고 구글본사(이하 '구글본사')가 제공하는 지메일 등 구글서비스의 이용자들 또는 구글본사가 제공하는 기업메일 서비스의 이용자들이다. 원고들은 구글본사 및 한국법인인 피고 구글코리아(이하 '구글코리아')를 상대로 개인정보의 제3자 제공내역을 요청했으나 이는 받아들여지지 않았다. 이에 원고들은 구글본사 및 구글코리아를 상대로, 개인정보 및 서비스이용내역의 제3자 제공현황을 공개하고, 거부를 이유로 한 재산적ㆍ정신적 손해배상 50만원을 지급하라는 소를 제기했다. 참고로 구글 서비스 약관에는, 구글 서비스와 관련한 모든 소송은 캘리포니아주 산타클라라 카운티의 연방 또는 주법원이 전속적인 관할을 가진다는 전속적 국제재판관할 합의, 구글 서비스와 관련하여 발생되는 분쟁에 대하여 캘리포니아주 법률에 따르기로 하는 준거법 합의가 존재했다. 3. 이 사건의 쟁점 및 법원의 판시내용 이 사건의 쟁점은 아래와 같다. 1) 구글본사에 대한 한국법원에의 소제기가 전속적 국제재판관할합의 위반인지 여부 2) 원고들의 청구는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법') 제30조 제2항, 제4항에 근거하는바, 준거법 합의에 반하는지 여부 3) 구글본사의 비공개로 인한 정신적ㆍ재산적 손해의 인정 여부 4) 구글코리아가 구글 서비스의 제공 주체로서 정보통신서비스제공자인지 여부 이에 대한 법원의 판단은 아래와 같다. 1) 국내 소비자가 구글 서비스를 이용하는 거래관계는 국제사법 제27조의 소비자계약에 해당하므로, 당사자간 대한민국 법원의 국제재판관할권을 배제하는 합의는 같은 조 제6항에 위반하여 효력이 없다. 결국 국내 소비자는 같은 조 제4항에 따라 대한민국 법원에 소제기할 수 있다. (소비자계약이 아닌 기업메일 서비스의 이용자는 제외) 2) 정보통신망법 제30조의 권리는, 소비자를 보호하기 위한 것으로서 국제사법 제27조 제1항의 '준거법 선택에 의하더라도 박탈할 수 없는 소비자에게 부여되는 보호에 관한 강행규정'에 해당한다. 따라서 준거법 합의에도 불구하고 정보통신망법 제30조는 적용된다. 3) 구글본사는 18 U.S.C §2709(c)(1), 18 U.S Code §1861(d) 등 비공개 의무가 부과된 경우 외에는 개인정보 제3자 제공 내역을 공개할 의무가 있다. 하지만 구글본사의 미조치로 재산적 손해가 발생했다고 보기 어렵고 정신적 고통은 해당정보의 공개로 회복할 수 있으므로 손해배상청구는 이유 없다. 4) 구글 서비스의 제공 주체는 구글본사이므로 구글코리아는 정보통신서비스제공자에 해당하지 않는다. 5) 기업메일 사용자의 구글본사에 대한 소는 각하, 나머지 원고의 구글본사에 대한 공개청구 인용ㆍ손해배상청구 기각, 전체 원고의 구글코리아에 대한 청구는 기각 4. 판례해설 인터넷에서는 국경과 무관하게 이용자의 정보가 해외 서버에 저장되고 해외 사업자의 정보가 이용자에게 도달한다. 때문에 주권과 국경을 전제한 전통 법체제로 인터넷 체제를 규율하는 것은 쉽지 않고 이용자의 권리 행사도 어렵다. 특히 글로벌 사업자는 인터넷의 개방성을 이용해 전 세계에서 막대한 부를 유입ㆍ축적하지만, 이용자의 불만이나 요구, 이용자가 소속된 국가의 정부당국의 요구에 대해서는 국경의 커튼 뒤에 숨는 경향이 강하다. 국경 커튼의 또다른 악용사례는 바로 스노든이 폭로한 글로벌 IT 기업을 활용한 전세계인의 감시였다. 스노든의 폭로는 인터넷의 개방성과 자유가 더 이상 불변의 가치가 아니라는 교훈을 주었으며, 글로벌 사업자의 의무도 국경의 커튼에 숨기 어려운 분위기를 만들었다. 이처럼 세계적 트렌드는 인터넷 영역에서의 자국민 보호이며, 다만 인터넷의 경제성이 침식되지 않는 보완으로 규범의 상호운용성(interoperability) 증진 노력이 이뤄지고 있다. 참고로 글로벌 사업자의 의무는 이용자의 해당 정부당국에 대한 의무도 있는데, 이는 정부당국이 글로벌 사업자에게 행정제재를 하는 경우로서 본 사안과 구별된다. 예컨대 방송통신위원회는 2014. 2. '스트리트 뷰' 사건에서 구글 본사에 행정제재를 한 바 있다. 본 사건은 글로벌 사업자의 우리나라 이용자에 대한 의무에 관한 사건인바, 구글본사는 국제재판관할권 위반 항변과 준거법합의를 전제로 한 정보통신망법 비적용 항변을 통해 전통적인 '국경과 주권' 개념으로써 의무를 부정하였으나, 법원은 국제사법 제27조를 근거로 각 항변을 배척하였다. 하지만 법원은 개인정보 열람권의 범위에 관하여는 제한적 해석을 하였다. 정보통신망법 제30조 제4항은 정보통신서비스제공자가 제2항의 요구를 받으면 지체 없이 필요한 조치를 하도록 규정하고 있으므로, 어떤 경우이든지 예외 없이 개인정보 제3자 제공내역을 공개하도록 하는 의무를 부담시키고 있다고 보기 어렵고, 정당한 사유가 있으면 개인정보의 제3자 제공여부 및 내용을 공개하지 않아도 되는바, 미국의 공개금지규정이 미공개의 정당한 사유가 된다는 것이다. 즉 '미국 국가안보에 대한 위협, 범죄, 대테러, 방첩 수사 또는 외교관계의 방해, 개인의 생명 또는 신체적 안전에 대한 위협'의 결과로 이어질 수 있음을 FBI가 증명하는 경우, 국가안보명령서를 수신한 자, 해외 정보 감시법(FISA) 관련 요청이 있는 경우는 개인정보의 제3자 제공내역을 공개하지 않아도 되는 것이다. 하지만 이에 대하여는 의문이 있다. 첫째, 정보통신망법 제30조 제2항에는 사업자가 정당한 사유를 내세워 열람을 거부할 수 있는 문언적 근거가 없다. 정보통신망법 제30조 제2항과 개인정보보호법 제35조는 동일한 개인정보열람권을 규정하는데, 개인정보보호법 제35조는 제4항에 명시적인 열람 거부사유가 규정된 반면, 정보통신망법 제30조 제2항은 이러한 규정이 없다. 그럼에도 '필요한 조치'를 확장해석하여 거부사유를 인정함은 문언에 반할 소지가 있다. 둘째, 우리나라 법령이 아닌 다른 나라의 법령을 근거로 열람 거부사유를 인정할 수 있는지가 의문이다. 게다가 미국의 공개금지규정이 공익적 목적이 있다고 보았는데, 스노든 사태를 고려하면 미국의 공익과 우리 국민의 공익은 다름에도 불구하고 쉽사리 공익을 단정한 점이 있다. 셋째, 국제적 사법 트렌드와도 맞지 않는다. 2015. 10. 유럽사법재판소는 EU 회원국 국민의 개인정보가 미국에서 어떻게 사용되는지를 신뢰할 수 없다며 미국-EU 세이프하버 협정을 무효화했고, 2014. 11. EU 작업반은 유럽사법재판소가 인정한 잊혀질 권리의 집행 범위는 구글 본사에도 미친다는 가이드라인을 발표했다. 미국 법원도 2014. 7. MS의 이메일 서버가 있는 아일랜드의 더블린에 압수수색 영장의 효력이 미친다고 판결했다. 즉 각국 법원은 자국민 보호를 위해 국경에 무관하게 사법권을 확장해 가는 추세인데 우리 법원은 사법권을 축소하는 판시를 한 것이다. 넷째, 국내사업자들은 규제의 '역차별'을 주장해 왔다. 법령이 국내사업자에게만 적용되는 바람에 특정 규제가 국내사업자에게 불리하게 적용되고 글로벌 사업자에게 기회가 된다는 것이다. 본 판결도 글로벌 사업자의 의무를 우리 사업자의 의무보다 축소시켜 역차별 소지가 있다. 결국 미국 법률의 공개금지규정이 개인정보 제3자 제공내역 공개 거부의 정당한 사유가 된다는 판시는 재고할 필요가 있다. 5. 이 판결의 의의 및 향후 과제 그간 글로벌 사업자들은 인터넷의 개방성으로 막대한 수익을 올리면서도 국경과 주권이라는 커튼 뒤에서 의무를 회피하였는바, 이 판결은 미국 법률로써 우리 법문언을 축소했다는 한계가 있지만 국경이 만능 커튼이 될 수 없다는 점을 밝힌 데 의의가 있다. 한편 위와 같은 한계는 인터넷을 매개로 발생하는 섭외사건에 법원이 어떻게 접근해야 하는가에 대한 과제이기도 하다. 세계적 트렌드를 반영하면서 '자국민 보호'와 '프라이버시권 보호' 같은 헌법적 가치나 사회적 합의에 바탕을 둔 사법정책도 고민해야 할 때가 된 것이다. 자국민 보호가 여의치 않은 인터넷 환경에서 어떻게 사법권의 영역을 전개시켜 헌법가치를 실현할 수 있는지, 법원의 근본적인 정책적 검토가 있었으면 하는 바람이다.

I. 사실관계 및 하급심의 판단 1. 사실관계 피고인들은 온라인 광고대행 회사(A), 그 법인의 대표이사(B), 안과의원 원장(C)이다. 피고인 B와 C는 A가 운영하는 인터넷 사이트에 라식/라섹 수술에 대한 이벤트 광고를 하기로 하고 유상 광고계약을 체결한 후, A가 운영하는 웹사이트 홈페이지에 2008년 3월 11일부터 2008년 3월 24일 까지 '라식/라섹 90만원 체험단 모집'이라는 제목으로 "응모만 해도 강남 유명 안과에서 라식/라섹 수술이 양안 90만원 OK, 응모하신 분들 중 단 1명에게는 무조건 라식/라섹 체험의 기회를 드립니다"라는 이벤트 광고를 게재하고 위 기간 동안 2회에 걸쳐 위 사이트 30만 명의 회원들에게 위와 동일한 내용의 이벤트 광고를 이메일로 각 발송하고, 응모 신청자 중 20명이 90만원에 라식·라섹수수을 받도록 하였다. 2. 하급심의 판단 제1심은 피고인들이 영리를 목적으로 환자를 의료기관이나 의료인에게 소개·알선·유인하는 행위 및 이를 사주하는 행위를 하였다고 판단하여 의료법 제88조, 제27조 제3항에 따라 피고인 A를 벌금 2백만원에, 피고인 B를 벌금 3백만원에, 피고인 C를 2백만원에 처하는 판결을 내렸다. 한편, 제2심은 홈페이지 광고에 대해서는 의료시장의 질서를 근본적으로 해한다고는 볼 수 없다고 판단한 반면, 불특정 다수인에게 직접 수령되는 전자메일을 발송하여 광고한 것은 의료시장의 질서를 근본적으로 해할 위험과 우려가 있다고 판단하여 의료법 제88조, 제27조 제3항에 따라 피고인들을 벌금형에 처하였으나 제1심보다는 벌금액이 낮아졌다. II. 대법원 판결의 요지 의료광고는 그 성질상 기본적으로 환자를 유인하는 성격을 지니므로 의료광고에 대한 관계에서는 의료법 제27조 제3항이 금지하는 환자유인행위를 제한적으로 해석할 필요가 있다. 따라서 의료광고행위는 그것이 의료법 제27조 제3항 본문에서 명문으로 금지하는 개별적 행위유형에 준하는 것으로 평가될 수 있거나 또는 의료시장의 질서를 현저하게 해치는 등의 특별한 사정이 없는 한 의료법 제27조 제3항에서 정하는 환자의 유인에 해당하지 아니한다. 나아가 그러한 광고행위가 의료인의 직원 또는 의료인의 부탁을 받은 제3자를 통하여 행하여졌다고 하더라도 이를 환자의 소개·알선 또는 그 사주에 해당하지 아니한다고 봄이 상당하다. 따라서 피고인 C가 피고인 A를 통하여 이메일을 발송한 행위는 불특정 다수인을 상대로 한 의료광고에 해당하므로 특별한 사정이 없는 한 의료법 제27조 제3항의 환자의 유인이라고 볼 수 없고, 위와 같은 광고행위가 피고인 C의 부탁을 받은 피고인 A와 B를 통하여 이루어졌더라도 환자의 소개·알선 또는 그 사주에 해당하지 아니한다고 보아야 한다. III. 평석 1. 영리를 목적으로 환자를 소개·알선·유인하는 행위 및 이를 사주하는 행위의 금지 현행 의료법 제27조 제3항 본문은 "누구든지 국민건강보험법이나 의료급여법에 따른 본인부담금을 면제하거나 할인하는 행위, 금품 등을 제공하거나 불특정 다수인에게 교통편의를 제공하는 행위 등 영리를 목적으로 환자를 의료기관이나 의료인에게 소개·알선·유인하는 행위 및 이를 사주하는 행위를 하여서는 아니된다"고 규정하고 있으며, 이는 판시대상 행위의 행위시점에 있어서도 동일하다. 의료법이 이와 같이 환자 소개·알선·유인행위 등을 금지하는 기본적인 이유는 환자 유치를 둘러싼 금품수수 등의 비리를 방지하고, 나아가 의료인 사이의 불필요한 과당경쟁에 의한 폐해를 방지하고자 하는 데에 있다. 그리고 의료인 숫자의 증가와 의료의 상품화 현상으로 인하여 의료시장에서의 경쟁이 날이 갈수록 치열해지고 그 과정에서 의료인의 과잉진료 내지 요양급여 과다청구 문제가 계속해서 제기되고 있는 점을 고려하면, 의료법 제27조 제3항 본문의 기본 취지는 현재에도 충분히 그 타당성이 인정될 수 있다고 할 것이다. 2. 유인행위의 제한적인 해석 의료법 제27조 제3항은 1981년 의료법 개정 당시에 동법 제25조 제3항으로 입법된 것으로서 당초에는 사회적 폐해를 야기하던 소위 의료브로커들의 무분별한 유인행위를 규제하고자 하던데 그 목적이 있었으나, 입법 심의과정에서 그 규제대상이 의료인에게까지 넓혀졌다. 의료브로커들의 활동이 의료인이나 의료기관의 직·간접적인 승인 하에 이루어졌던 현실을 고려하면 위와 같은 입법이 잘못되었다고 할 수는 없으나, 의료서비스를 제공하는 의료인이나 의료기관의 입장에서는 환자의 유치행위 자체가 기본적인 직업수행의 일부를 구성할 수 있는 만큼 '유인'행위를 제한적으로 해석할 필요성이 대두되는 것은 필연적이라 하겠다. 대법원이 의료법 제27조 제3항 소정의 유인행위를 "기망 또는 유혹을 수단으로 환자로 하여금 특정 의료기관 또는 의료인과 치료위임계약을 체결하도록 유도하는 행위"라고 판시하면서도(대법원 1998. 5. 29. 선고 97도1126판결), 제3자가 개입되지 않고 의료인 또는 의료기관만이 관여한 환자유인행위에 대해서는 "환자유치 과정에서의 위법행위는 상당 부분 구 의료법 제46조 위반으로 처벌이 가능한 점 등에 비추어보면, 의료기관·의료인이 스스로 자신에게 환자를 유치하는 행위는 그 과정에서 환자 또는 행위자에게 금품이 제공되거나 의료시장의 질서를 근본적으로 해하는 등의 특별한 사정이 없는 한, 구 의료법 제25조 제3항(현 의료법 제27조 제3항)의 환자의 유인이라 할 수 없다"고 판시한 것은 의료법 제27조 제3항의 입법목적이나 의료현실을 고려할 때 타당하다고 생각된다(대법원 2004. 10. 27. 선고 2004도5724판결, 2007. 4. 12. 선고 2007도256판결, 2008. 2. 28. 선고 2007도10542판결). 3. 의료광고 규제 완화의 고려 대상판례에서 대법원이 설시하고 있는 바와 같이, 의료광고는 기본적으로 환자를 유인하는 성격을 내포하고 있으므로, 환자의 소개·알선·유인행위를 금지하는 의료법 제27조 제3항은 의료광고 규제의 맥락에서 함께 살펴보아야 할 필요성이 있다. 의료법 제27조 제3항에 규정된 금지행위 중 특히 유인행위를 지나치게 엄격하게 해석·적용하는 경우 의료광고의 순기능적 성격, 즉 의료서비스 제공자인 의료인 사이의 경쟁촉진과 의료서비스 수요자인 환자의 정보접근권 내지 선택권의 보장이 저해될 수도 있으므로 의료법 제27조 제3항을 해석함에 있어서는 의료서비스 체계 전반을 아우르는 거시적인 관점에서의 비교형량이 필요하다. 의료법은 1951년에 국민의료법으로 제정된 이래 의료광고에 대해 '원칙적 금지, 예외적 허용' 방식을 취하여 왔다. 그런데 헌법재판소는 특정 의료기관이나 특정 의료인의 기능·진료방법에 관한 광고금지조항이 헌법상 비례의 원칙을 위배하여 표현의 자유와 직업수행의 자유를 침해한다는 이유로 위헌결정을 하였으며(2005. 10. 27. 선고 2003헌가3 결정), 이에 따라 의료법은 2007. 1. 3. 법률 제8203호로 개정되어 의료광고를 원칙적으로 허용하되 일정한 유형의 의료광고만을 예외적으로 금지하기에 이르렀다. 따라서 의료법 제27조 제3항을 해석·적용함에 있어서는 의료관련 정보를 소비자에게 보다 폭 넓게 제공하도록 허용하여 의료인의 표현의 자유 및 직업수행의 자유와 함께 환자의 알권리와 합리적인 선택권이 보장될 수 있도록 의료광고 관련 의료법 조항이 개정된 점을 함께 고려하는 것이 바람직하다. 대법원이 대상판결에서의 이유 설시를 통해 이 점을 확인한 것은 의료법 개별 조항의 체계적·조화로운 해석의 측면뿐 아니라 의료시장에서 발생할 수 있는 개별 주체들 상호간의 이해상충의 문제를 거시적인 관점에서 균형 있게 해결하고자 하고자 한 것으로서 높이 평가할 수 있다고 생각한다. 4. 결론 대상판결은, 제3자가 개입되지 않은 의료인 또는 의료기관의 환자유인행위에 대해서 "의료시장의 질서를 근본적으로 해하는 등의 특별한 사정이 없는 한, 구 의료법 제25조 제3항의 환자의 유인이라 할 수 없다"라고 판시한 기존의 대법원 판례를 따른 것에서 더 나아가 "그러한 광고행위가 의료인의 직원 또는 의료인의 부탁을 받은 제3자를 통하여 행하여졌다고 하더라도 이를 환자의 소개·알선 또는 그 사주에 해당하지 않는다"고 판시하여, 현행 의료법 하에서 허용될 수 있는 제3자를 통한 광고행위의 한계를 넓혀 준 것으로 이해된다. 의료인 또는 의료기관이 직접 수행하는 광고보다는 광고대행업체를 통한 의료광고가 늘어나고, 광고수단도 종래의 오프라인 광고에서 인터넷 및 이동통신수단을 이용한 온라인 광고로 변화하고 있는 의료계 현실을 반영할 뿐 아니라, 의료소비자인 환자의 알권리 신장과 의료인 및 광고대행업자의 직업수행 자유의 보호 측면에서도 대상판결은 바람직한 판결이라고 생각된다. 다만, 대상판결은 의료법 제27조 제3항에 저촉될 수 있는 "의료시장의 질서를 현저하게 해치는" 광고행위의 구체적인 기준을 제시하고 있지는 아니하므로 향후에도 구체적인 사실관계에 따라 개별 의료광고의 의료법 제27조 제3항 위반 문제는 대두될 수 있음에 유의할 필요가 있다.

Ⅰ. 事實關係 한국의 을 회사가 선박소유자인 선박을 갑이 정기용선을 하였다. 화주와 운송계약을 체결한 운송인 갑은 甲板積(운송물을 선박의 갑판하의 안전한 선창이 아니라 갑판위에 적재하는 것)에 대한 약정이 없었음에도 불구하고 운송물을 갑판에 적재하게 되었고, 이 화물이 파도에 의한 손상을 입게 되었다. 한편, 갑은 브리티시 버진 아일랜드에 회사를 둔 편의치적회사로서 을 회사가 사실상 지배하고 있었다. 원고는 갑이 아니라 을 회사를 피고로 소를 제기하였다. 을 회사는 자신은 단순히 갑의 국내대리점일 뿐으로 손해배상청구는 운송인 갑을 상대로 제기되어야 한다고 주장하면서, 한편 상법상 향유하는 포장당책임제한의 이익을 향유하고자 하였다. 원고 화주는 포장당책임제한이 운송인 자신의 무모한 행위가 있으므로 책임제한은 배제되어야 한다고 주장하였다. 원심인 서울고등법원(2003나481765)은 (1) 피고적격에 대하여 갑 회사는 피고 을 회사가 만든 종이회사로서 동일한 법인격처럼 운영되었고, 회사가 형식상 법인의 형식을 갖추고 있으나 실질상 완전히 법인격의 배후에 있는 타인의 개인 기업에 불과하거나 그것이 배후자에 대한 법률적용을 회피하기 위한 수단으로 함부로 쓰이는 경우에는 회사는 물론 배후자에게도 회사의 행위에 대한 책임을 물을 수 있고 을 회사도 운송계약에 따른 채무를 부담한다고 하였다. (2) 운송인이 갑판적을 한 행위는 상법의 책임제한배제사유가 되는 손해가 생길 염려가 있음을 인식하면서 무모하게 한 행위에 해당한다. (3) 운송인 갑회사의 대리 및 차장이 갑판적에 대한 결정을 하였고, 비록 차장의 행위라고 하더라도 그가 실질적으로 결정권을 가지고 있다면 운송인 자신의 행위로 인정할 수 있다. (4) 따라서 운송인인 갑회사의 행위는 회사자신의 무모한 행위로서 상법 제789조의2 제1항 본문에 따라 운송인은 책임제한을 할 수 없다고 판시하였다. 이에 을 회사는 대법원에 상고하게 되었다. Ⅱ. 大法院의 判示內容 대법원은 법인격부인여부에 대하여, “원심이 갑은 해상운송에서 운송인의 책임을 부당하게 회피할 목적으로 피고와 영업상 실질이 동일함에도 불구하고 형식상으로만 브리티시 버진 아일랜드에 설립된 회사(소위 paper company)로서 피고와 동일한 법인격처럼 운영되어왔다. 이 사건 운송계약이 외관상 원고와 갑 사이에 체결되었다고 하더라도 갑의 배후자인 피고는 갑과 별개의 법인격임을 주장하며 이 사건운송계약에 따른 채무가 갑에만 귀속된다고 주장할 수 없고, 피고역시 운송계약에 따른 채무를 부담한다고 판단한 조치는 정당하다”고 판시하였다. 상법 제789조의2의 제1항 단서의 포장당책임제한의 적용이 배제되는지에 대하여, 대법원은 “위 조항의 문언 및 입법연혁에 비추어, 단서에서 말하는 운송인 자신은 운송인 본인을 말하고 운송인의 피용자나 대리인 등의 이행보조자에게 귀책사유가 있는 경우에는 위 단서가 적용되지 않는다고 하겠으나, 법인 운송인의 경우에 있어, 그 대표기관의 고의 또는 무모한 행위만을 법인의 고의 또는 무모한 행위로 한정하게 된다면, 법인의 규모가 클수록 운송에 관한 실질적 권한이 하부의 기관으로 이양된다는 점을 감안할 때 위 단서조항의 배제사유는 사실상 사문화되고 당해 법인이 책임제한의 이익을 부당하게 향유할 염려가 있다. 따라서 법인의 대표기관뿐 아니라 적어도 법인의 내부적 업무분장에 따라 당해 법원의 관리 업무의 전부 또는 특정 부분에 관하여 대표기관에 갈음하여 사실상 회사의 의사결정 등 모든 권한을 행사하는 자가 있다면, 비록 그가 이사회의 구성원 또는 임원이 아니더라도 그의 행위를 운송인인 회사 자신의 행위로 봄이 상당하다. 같은 취지에서 원심이 이 사건 수출화물을 원고와의 합의 없이 임의로 갑판에 선적하도록 지시한 피고의 관리직 담당직원은 대외적으로 대표권을 갖는 갑의 대표기관은 아니더라도 이 사건 운송계약의 체결과 그 이행과정에 있어서 갑의 직무분장에 따라 회사의 의사결정 등 모든 권한을 행사하는 대표기관에 준하는 지위에 있었던 것으로 보아 이 사건 화물을 갑판에 선적한 행위는 운송인 자신의 행위에 해당한다고 판단한 조치는 기록에 비추어 정당한 것으로 수긍된다. 따라서 상고를 기각한다”고 판시하였다(판례공보, 2006, 1966면). Ⅲ. 評釋 1. 法人格否認論 영미에서 판례법으로 발전되어온 법인격부인론이 1988년 11월 22일의 대법원판결에서 처음으로 인정될 때의 사안도 편의치적선이 관련되어있다. 편의치적선이란 선박에 국적을 부여하기 위해서는 자국 국민의 선박소유 등의 요건을 갖추어야 하지만, 단지 서류상의 연결만 있어도 국가가 자국의 국적을 부여하는 제도를 말한다. 국제경쟁에 노출되어있는 선주들이 싼 임금, 저렴한 세금 등을 목적으로 선박을 파나마 등 행정규제가 느슨한 국가에 선박의 국적을 옮겨둔다. 실무상으로 중요한 것은 어떻게 편의 치적된 회사와 배후의 회사(실질 선주)가 동일하다는 점을 밝혀내는 것이다. 원심에서 법인격부인론을 적용하기 위하여 사용된 사실로서는 (i)사무실의 주소가 동일한 점, 직원들의 이메일 주소도 피고를 의미하는 sevenmt.co.kr로 동일하게 사용한 점 (ii)직원들의 월급명세서 및 근로소득원천징수 증명서의 사업자명의도 피고인 점 (iii)피고의 명칭 내지 갑회사의 명의로 된 운임청구서를 사용한 점 (iv)대표자 역시 동일인이라는 점 등이었다. 이는 법인격부인을 위한 좋은 선례가 될 것으로 생각된다. 2. 責任制限排除事由로서의 甲板積과 無謀한 行爲 해상법에서는 선주와 운송인을 보호하는 제도로서 책임제한제도가 있다. 연혁적인 이유와 함께 운송인의 안정적인 보험부보가 가능하도록 하고 이것이 낮은 운임의 유지에 도움이 된다는 것에서 존재의 이유를 찾는 것이 유력하다. 현재의 추세는 이를 폐지하기보다는 책임제한액수를 증액하여 운송인이 더 많은 금액을 배상하게 하면서 책임제한이 배제되지 않도록 하는 것이다(유류오염손해배상제도가 좋은 예임). 한편, 운송인이 손해배상책임을 부담하는 경우에도 자신의 책임을 운송물의 포장 수에 따라 일정한 액수로 제한할 수 있는 제도를 포장당 책임제한제도라고 한다. 그런데 운송인이 고의에 가까운 행위를 하여 운송물에 손상을 입히는 경우까지 예외적인 책임제한 제도를 인정할 필요는 없다. 상법 제789조의2 제1항 단서는 운송인 자신의 고의 또는 그 손해가 생길 염려가 있음을 인식하면서 무모하게 한 작위 또는 부작위로 인하여 생긴 때에는 책임제한이 허용되지 않는다고 한다. 책임제한배제 여부에서 운송인 ‘자신’과 무모한 행위가 쟁점이 된다. 책임제한이 배제되는 사유는 국제적으로나 국내적으로나 극히 유래를 찾아보기 힘들었다. 갑판적은 선창이 아니라 갑판위에 적재되어 운송됨으로써 파도와 바람에 노출되어 사고의 위험이 높아지게 된다. 통상 갑판 하에 운송되는 화물을 화주와의 합의 없이 갑판 상에 선적하게 되면, 손해발생에 대한 인식이 있는 무모한 행위로 볼 수 있다는 것이 각국의 판례와 학설의 대체적인 입장이다. 포장당책임제한 제도는 책임제한의 인정으로 얻는 운송인의 이익과 이에 비례한 운임의 인하가 상관관계를 갖도록 구조화되어있다. 이를 안정적으로 운영하기 위하여 책임제한의 배제는 극히 어렵도록 구성되고 운영되고 있다. 이러한 장치로서 운송인의 과실은 제외되고 고의에 가까운 중과실이 있는 경우에만 운송인은 책임제한을 할 수 없게 하였다. 또한 운송인의 사용인이나 대리인의 무모한 행위는 배제사유에 해당되지 않는 것으로 하였고, 운송인 ‘자신’의 무모한 경우에만 책임제한을 할 수 없는 것으로 되었다(상법의 책임제한제도의 모법이 되는 1976년 선주책임제한조약 및 1968년 헤이그 비스비규칙이 이전의 조약에 비하여 이런 점들이 다른 점이다). 외국의 판례와 학설은 운송인 자신이라고 할 때 자신은 운송인의 분신(alter ego)에 해당하는 자라고 한다. 이는 회사의 임원에 해당하는 자라는 것이 전통적인 견해이다. 원심판결에 의하면 대리와 차장이 갑판 적에 대한 결정을 내렸다. 다른 의사결정자들이 없는 경우에는 차장이라도 임원과 같이 볼 수 있다는 것이 원심과 대법원의 판시내용이다. 이러한 경우에 항상 대표기관을 운송인 자신이라고 한다면 책임제한이 배제되는 경우는 없어 사실상 사문화될 우려가 있다고 대법원은 설시하고 있다. 그러나 책임제한제도의 입법취지가 선주 혹은 운송인은 책임제한의 이익을 안정적으로 향유하게하면서 책임제한액수는 높여 화주를 보호할 것에 선주 혹은 운송인과 화주의 합의가 이루어져 발전되어 왔고, 따라서 책임제한의 배제는 가능하면 허용되지 않도록 입법화되었다는 점이 고려되어야 한다. 전 세계적으로 운송인의 책임제한배제가 인정된 사례를 찾기 어려운 것에서도 이것은 확인된다. 3. 結 본 사안은 법인격부인론과 책임제한배제가 함께 인정된 사안이다. 법인격이 부인되는 회사는 종이회사일 것이므로 경영조직이 느슨할 것이므로 편의치적회사인 운송인의 법인격이 부인되면 운송인의 포장당책임제한권이 부인될 가능성이 상당히 높아진다고 볼 수 있다. 운송인 자신으로 인정되는 범위를 일반적으로 차장에까지 확대 적용하여 책임제한을 허용하지 않는 것은 입법취지에 맞지 않다고 생각한다. 대법원도 차장급으로 운송인 자신의 범위를 일반적으로 확대한 것이 아니라, 차장이라고 하더라도 그가 적어도 법인의 내부적 업무분장에 따라 당해 법원의 관리 업무의 전부 또는 특정 부분에 관하여 대표기관에 갈음하여 사실상 회사의 의사결정등 모든 권한을 행사하는 자라는 조건을 붙여서 운송인 자신으로 본 점에 유의하여야 한다. 그러므로 상법상 운송인의 책임제한배제사유는 화주로서는 여전히 입증하기 어려운 사항으로 이해된다.