2021나2047876 손해배상(기) [제9민사부 2022. 10. 20. 선고] <일반> □ 사안의 개요 - 피고 운영의 가상화폐 거래소에 2018. 6. 10. 해킹이 발생하여 2018. 7. 15. 재개되기까지 이용이 중단됨. 원고들은 그 보유의 가상화폐 일부(비트코인, 펀디엑스, 엔퍼 등)가 유출되었다고 주장하며 이행불능에 따른 손해배상을 청구함 - 원고들은 항소심에서 손해배상의 범위에 관한 주장을 정리하였는데, 주위적으로는 거래소 폐쇄 당시 각 가상화폐의 시가 상당액을, 예비적으로는 피고가 해킹당한 비율만큼의 가상화폐를 출금할 수 없도록 한 거래소 서비스 재개 당시 각 가상화폐의 시가 상당액을 기준으로 한 다음, 원고들이 이후에 실제 출금한 가상화폐의 시가를 공제하여야 한다고 주장함 □ 쟁점 - 가상화폐 거래소가 해킹 등 사유로 약 한 달 동안 서비스 운영을 중단하는 등 가상화폐 반환청구에 불응 또는 지체한 경우, 손해배상의무의 존부 및 범위 □ 판단 - 아래와 같이, 법리적으로는 유출 가상화폐와 보유 가상화폐를 구분하여 손해배상의무 인정 여부를 판단하고, 원고들이 일부 공제를 자인하는 부분을 반영하는 등의 과정을 거치는 한편 처분권주의에 따라 최종 인정금액을 산정함 - 해킹으로 유출된 가상화폐: 이행불능에 따른 손해배상의무 인정. 이행불능 당시인 2018. 6. 10.의 시가상당액 기준 - 2018. 7. 15. 기준 보유 가상화폐: ① 이행불능 내지 이행거절은 성립하지 않으나, 이행지체로 인한 손해배상의무 인정(원고들이 가상화폐 출금을 희망하더라도 피고가 그 반환의무를 즉시 이행할 수 없었던 상태였던 점 및 가상화폐의 특성 등 고려). 다만 일부 원고들이 2018. 7. 15. 이후에 실제 출금한 가상화폐 중 2018. 6. 10. 기준 시가보다 높은 가액으로 출금한 경우에는 손해가 발생하였다고 볼 수 없음. ② 손해배상의 범위: 차액설의 법리에 따름. 적어도 보유 가상화폐에 관한 2018. 6. 10.과 2018. 7. 15.의 각 시가의 차액 상당(모든 종류의 가상화폐에 관하여 시가가 하락하였음, ‘시가하락분’)의 손해를 입었음이 인정됨 (원고일부승)

암호화폐 전자지갑을 해킹당해 1000만원 가량을 피해 본 가입자가 운영업체를 상대로 소송을 제기했으나 패소 판결을 선고한 사례 1. 주문 (1) 원고의 항소를 기각한다. (2) 항소비용은 원고가 부담한다. 2. 청구취지 및 항소취지 제1심 판결을 취소한다. 피고는 원고에게 1100만4875원과 이에 대하여 2019년 4월 19일부터 이 사건 소장 송달일까지는 연 5%의, 그 다음날부터 다 갚는 날까지는 연 15%의 각 비율로 계산한 돈을 지급하라. 3. 기초사실 가. 피고는 인터넷관련 소프트웨어 개발 및 제조 판매업 등을 영위하는 회사로서 온라인 암호화폐거래소인 'A'를 운영하고 있고, 원고는 A에 본인 계정 및 암호화폐 보관 전자지갑(이하 '이 사건 계정')을 생성하여 비트코인(BTC) 등 암호화폐를 보유하고 있었다. 나. 2019년 4월 18일 23시 3분경 이 사건 계정에서 원고가 보유하고 있던 1.72964646 BTC가 성명불상자에 의하여 불상의 다른 암호화폐 전자지갑으로 송금되는 거래(이하 '이 사건 거래')가 발생하였다. 4. 원고의 주장 가. 원고와 피고 사이에 체결된 서비스 이용계약에 따르면, 피고는 원고의 A 계정에 보관되어 있는 원화포인트 또는 암호화폐를 원고를 위하여 안전하게 보관해 줄 의무를 부담한다. 이는 일종의 유상임치계약으로서, 피고는 위 보관과 관련하여 선량한 관리자의 주의의무를 부담한다. 그런데도 피고는 개인정보 유출 방지, 해외 IP접속 차단조치, 가상화폐 출금시 OTP(One Time Password, 일회용 비밀번호) 등을 이용한 인증시스템 활용, 거래내용에 대한 알림 문자 전송, 보험 가입 등 보호조치를 사전에 구축하지 아니하는 등 선량한 관리자의 주의의무를 게을리함으로써 해커가 원고의 이 사건 계정에 침입하여 그곳에 있던 암호화폐를 인출해 가는 사고가 발생하였고, 그로 인해 원고는 그에 상응하는 원화 상당의 손해를 입었다. 따라서 피고는 원고가 입은 손해를 배상할 의무가 있다. 나. 피고는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법')에 따른 정보통신서비스의 제공자로서 이용자의 정보보호를 위하여 각종 인증수단을 동원하여 의도하지 않은 접속이나 거래로부터 고객의 정보를 보호할 의무가 있음에도 위 가.항에서 주장한 바와 같은 내용의 정보통신망법 상 주의의무를 게을리함으로써 발생한 원고의 손해를 배상할 의무가 있다. 다. 손해배상청구 금액은 1.72964646 BTC를 원화로 환산한 1100만4875원이다. 5. 판단 살피건대, 앞서 본 증거의 각 기재 및 변론 전체의 취지에 의하여 인정되는 다음과 같은 사실 및 사정을 종합하면, 피고가 암호화폐 거래소로서 이를 이용하는 원고의 계정을 해킹 등으로부터 보호할 선관주의의무(민법 제374조) 또는 정보통신망법상 주의의무를 다하지 못하였다고 인정하기 부족하고, 달리 이를 인정할 증거가 없다. 가. 원고의 회원정보 유출이 피고의 개인정보처리시스템 등의 관리 부실로 발생하였다고 인정할만한 증거가 없다. 현재까지도 이 사건 거래 당시 해커로 추정되는 성명불상자가 어떠한 방법으로 원고의 개인정보를 취득하여 이 사건 계정에 로그인하였는지 정확하게 알 수 없는바, 피고의 A 관리와 무관하게 원고의 휴대폰이 해킹당하거나 복제당하여 원고의 개인정보가 제3자에게 유출되었을 가능성도 배제하기 어렵다. 나. 피고는 2018년 12월 27일 한국인터넷진흥원으로부터 정보통신망법 상 정보보호 관리체계가 적합하다는 인증을 받았고, 그 이후로도 2019년, 2020년에 걸쳐 매년 한국인터넷진흥원으로부터 정보보호관리체계(ISMS)를 심사받고 그에 대한 '인증 유지' 결과를 통보받은 바, 피고가 정보통신망법 상 정보보호조치를 미흡하게 하였다고 볼만한 정황은 확인되지 아니한다. 다. 이 사건 거래 당시 성명불상자는 해외에 소재한 IP 주소(생략)로 접속한 것으로 보인다. 이와 관련하여 피고가 해외 IP 접속차단 등 정보통신서비스 제공자로서 기대되는 최소한의 거래 안전장치를 갖추지 아니하였는지에 관하여 살펴보면, 해외 IP의 접속을 차단하는 것이 이 사건 거래 당시 대한민국 법률 상 보호대상 자산이 아닌 암호화폐 등의 거래를 주선하는 피고의 영업에 대하여 법령상 부과된 의무는 아니고, 해외 IP 접속 차단이 익명의 모든 거래참여자에 의한 거래를 그 근본적 성격으로 하는 암호화폐 거래의 속성에 비추어 피고 측에서 사전에 불법에 관련되어 있다고 구체적으로 인지한 경우가 아닌 한 해외 IP 접속에 대하여 일반적으로 해외 IP 차단의무가 있다고 볼 수도 없으며, 피고의 거래소와 같은 영업에 있어 특정한 거래 안전장치가 일반적 거래관행으로 자리 잡았다는 입증도 없다. 따라서 피고가 평소와 해외 IP 주소를 통한 이용자의 접속을 막지 않았다고 하여 보호의무를 다하지 못한 것으로 보기는 어렵다. 라. 나아가 이 사건 거래 당시 성명불상자는 2019년 4월 18일 22시 35분경 A에 원고 명의로 로그인한 후 실패 없이 출금에 성공하였는데, 이는 성명불상자가 원고의 ID와 비밀번호 및 구글 OTP번호까지 모두 정확하게 입력했다는 것을 의미한다. 이러한 상황이라면 피고 측에서도 이 사건 거래 행위를 해킹에 의한 비정상적인 거래로 인지하기는 어려웠을 것으로 보인다. 마. 또한 피고가 암호화폐 거래소를 운영함에 있어서 고객의 출금요청이 있는 경우 문자메시지를 통하여 거래내역을 통지하는 등의 보안시스템을 갖추어야 한다거나 고객들의 해킹 피해에 대비한 보험에 가입하여야 할 법적 의무가 있다고 볼만한 근거는 없다. 6. 결론 그렇다면 원고의 이 사건 청구는 이유 없어 기각하여야 한다. 제1심 판결은 이와 결론을 같이하여 정당하므로 원고의 항소는 이유없어 이를 기각하기로 하여 주문과 같이 판결한다.

리지니 게임아이템 판매대금의 추징 여부 1. 주문 원심판결을 파기한다. 피고인을 징역 1년에 처한다. 다만, 이 판결 확정일부터 2년간 위 형의 집행을 유예한다. 피고인에게 80시간의 사회봉사를 명한다. 2. 이유 가. 항소이유의 요지 1) 사실오인 내지 법리오해 피고인이 이용자들에게 아이템을 만들어 판매하고 받은 게임아이템 판매대금 합계 226,483,000원은 승인받지 않은 게임물을 제공한 행위에 의하여 생긴 수익이 아니므로 추징의 대상이 될 수 없다. 나. 양형부당 피고인에 대한 원심의 형(징역 1년 6개월, 추징)은 너무 무거워서 부당하다. 다. 피고인의 사실오인 내지 법리오해 주장에 관한 판단 기록에 의하면, 검사는 이 사건 공소사실에 대하여 게임산업진흥에 관한 법률(이하 '게임산업법'이라 한다) 제44조 제1항 제2호, 제32조 제1항 제9호, 제44조 제2항, 형사소송법 제334조 제1항을 적용하여 공소를 제기하였고, 원심은 그 설시 증거들을 종합하여 원심판결 판시 범죄사실을 인정한 다음 그에 대하여 게임산업법 제44조 제1항 제2호, 제32조 제1항 제9호를 적용하여 피고인을 처단한 후, 피고인이 게임아이템을 만들어 이용자들에게 판매하고 받은 게임아이템 판매대금 합계 226,483,000원을 범죄행위에 의하여 생긴 수익으로 보아 게임산업법 제44조 제2항에 의하여 그 전부에 대한 추징을 선고하였다. 그러나 이 사건 공소사실 자체로 위 게임아이템 판매대금은 피고인이 ㈜엔씨소프트가 승인하지 아니한 리니지 게임을 제공한 것에 대한 대가로 수령한 것이 아니라, 피고인이 게임아이템을 만들어 이용자들에게 이를 판매한 대가로 수령한 것이므로, 이를 피고인의 미승인 게임물 제공으로 인한 게임산업법 제44조 제1항 제2호, 제32조 제1항 제9호 위반행위에 의하여 생긴 수익이라고 보기 어렵다. 오히려 피고인이 만들어 낸 게임아이템은 게임산업법 제32조 제1항 제7호, 동법 시행령 제18조의3 제3호 (가)목 소정의 '게임제작업자의 컴퓨터프로그램을 복제, 개작, 해킹 등을 하여 생산·획득한 게임머니 또는 게임아이템 등의 데이터'에 해당하고, 게임산업법 제32조 제1항 제7호에 정한 '환전'에는 '게임결과물을 수령하고 돈을 교부하는 행위'뿐만 아니라 '게임결과물을 교부하고 돈을 수령하는 행위'도 포함되는 것으로 해석함이 상당하므로(대법원 2012. 12. 13. 선고 2012도11505 판결 참조), 피고인의 게임아이템 판매행위는 게임결과물 환전행위로서 게임산업법 제44조 제1항 제2호, 제32조 제1항 제7호 위반의 죄책을 구성하고, 그에 따라 위 게임아이템 판매대금은 위 게임결과물 환전 범행에 의하여 생긴 수익에 해당한다고 보아야 한다. 그런데 검사는 피고인의 미승인 게임물 제공으로 인한 게임산업법 제44조 제1항 제2호, 제32조 제1항 제9호 위반만으로 공소를 제기하였음이 이 사건 공소장 기재 자체로 분명하고, 이 법원은 검사에게 공소장변경을 요구하였으나 검사가 이에 응하지 아니한 이상, 공소가 제기되지 아니한 게임산업법 제44조 제1항 제2호, 제32조 제1항 제7호의 게임결과물 환전 범죄사실을 법원이 인정하여 그에 관하여 위 게임아이템 판매대금의 추징을 선고하는 것은 불고불리의 원칙에 위반되어 허용되지 아니한다(대법원 1992. 7. 28. 선고 92도700 판결, 대법원 2009. 8. 20. 선고 2009도4391 판결, 대법원 2010. 5. 13. 선고 2009도11732 판결 등 참조). 그럼에도 원심이 위 게임아이템 판매대금을 이 사건 미승인 게임물 제공의 범죄행위에 의하여 생긴 수익이라고 보아 그 전부의 추징을 선고한 것은 게임산업법 제44조 제2항의 해석 및 적용에 관한 법리를 오해하여 판결에 영향을 미친 때에 해당한다. 따라서 이를 지적하는 피고인의 주장은 이유 있다. 3. 다시 쓰는 판결 이유 가. 범죄사실 누구든지 게임물 관련사업자가 제공 또는 승인하지 아니한 게임물을 제작, 배급, 제공 또는 알선하는 행위를 하여서는 아니 된다. 피고인은 2017년 7월경 고△△로부터 불법 사설 리니지 게임서버(구름, 대박, 야수, 홀릭, 구찌, 팬텀, 아수라)에 접속할 수 있는 접속기를 임차하여, 2017년 7월 10일부터 2018년 12월 26일까지 울산 ○○에 있는 피고인의 거주지에서 위 접속기를 피고인이 개설한 홈페이지에 링크시키는 방법으로 이용자들이 접속기를 통해 위 사설 리니지 게임 서버에 접속한 후 ㈜엔씨소프트가 승인하지 아니한 리니지 게임을 할 수 있도록 하였다. 이로써 피고인은 게임물 관련사업자가 승인하지 아니한 게임물을 제공하였다. 나. 양형의 이유 이 사건 범행은 게임물의 유통질서를 저해하는 범행으로서 죄질이 좋지 않은 점, 이 사건 범행이 1년을 넘는 장기간에 걸쳐 지속적·반복적으로 이루어진 점은 피고인에게 불리한 정상이다. 한편 피고인이 자신의 잘못을 반성하면서 다시는 재범하지 않을 것을 다짐하고 있는 점, 피고인에게 벌금형을 초과하는 범죄전력이 없는 점은 피고인에게 유리한 정상이다. 그밖에 피고인의 나이, 성행과 환경, 범행의 동기, 수단과 결과, 범행 후의 정황 등 이 사건 기록 및 변론 과정에서 나타난 모든 양형요소를 종합적으로 고려하여 주문과 같이 형을 정한다.

불법유출된 개인정보를 매수하여 재판매하고 접근권한 없이 타인의 컴퓨터에 접속해 개인정보를 빼낸 사안에서 징역형을 선고한 사례 1. 정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등) 누구든지 그 개인정보가 누설된 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받아서는 아니 된다. 그럼에도 불구하고 피고인은 2016년 1월 11일경 자신의 주거지에서, 해킹되거나 불법 유출된 사정을 알면서도 불상의 판매상으로부터 타인의 성명, 전화번호, 생년월일 등 개인정보 35건이 포함된 “naver 35.txt” 파일을 스카이프 메신저를 통해 제공받은 것을 비롯하여 그 때부터 2017년 2월 17일까지 개인정보를 판매할 목적으로 불상의 판매상으로부터 파일당 2만 원에서 4만원을 주고 총 61회에 걸쳐 8만7366건의 개인정보 파일을 제공받았다. 이로써 피고인은 개인정보가 누설된 사정을 알면서도 영리를 목적으로 개인정보를 제공받았다. 2. 정보통신망이용촉진및정보보호등에관한법률위반(정보통신망침해등) 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다. 그럼에도 불구하고 피고인은 2016년 8월 6일경 위 1항 기재 장소에서, 인터넷 사이트에 각종 프로그램을 판매한다고 글을 올린 불상의 프로그램 판매자에게 연락하여 마치 프로그램을 구매하는 것처럼 행세하면서 구매 전에 테스트를 해보겠다고 속인 후 원격접속 프로그램인 '팀뷰어'를 실행시켜 위 불상자의 컴퓨터에 접속하여 그 컴퓨터에 저장된 '페이스북 좋아요 자동입력 프로그램 파일' 등 파일 9개를 피고인의 컴퓨터에 복사하여 저장한 것을 비롯하여 그 때부터 2017년 3월 2일까지 별지 범죄 일람표 2 기재와 같이 총 26회에 걸쳐 타인의 컴퓨터에 저장된 358개의 파일을 원격접속 프로그램을 이용하여 피고인의 컴퓨터에 복사하여 저장하는 방법으로 유출하였다. 이로써 피고인은 허용된 접근권한을 넘어 타인의 정보통신망에 침입하였다.

재판부는 "B은행이 홈페이지에 게시한 '전자금융사기 예방서비스 전면시행에 따른 추가인증' 공고에 따르면 '야간(21시~09시) 및 휴일 거래시 보안매체에 관계없이 1일 누적 100만원 이상 이체시 추가 인증이 있다'고 돼 있다"며 "사고 발생일이 휴일이었고 이체된 금액이 100만원을 초과함에도 B은행이 공고한 추가인증 절차는 이뤄지지 않았다"고 밝혀 이어 "A씨는 '금융거래 사이트는 주소창에 직접 입력하거나 즐겨찾기를 이용하라'는 B은행의 권유에 따라 즐겨찾기에 등록해 놓은 홈페이지로 접속했다"며 "B은행은 사고 당시까지 비밀번호 30~35개 중 일부를 입력하도록 하는 기존의 보안카드와 달리 OTP 방식은 외부노출과 해킹으로부터 안전한 것으로 홍보하기도 했다"고 판시. 재판부는 "보이스피싱에 대한 일반인의 인식이 높은 상황에서 A씨의 나이와 직업, 인터넷 금융거래 이용 경력 등을 고려하더라도 1차로 출금된 2100만원에 대해 A씨에게 중대한 과실이 있다고 볼 수 없어 은행의 배상책임이 100% 인정된다"고 했다. 하지만 2차로 출금된 900만원에 대해서는 "A씨가 공인인증서 인증과 추가인증절차가 없이도 계좌이체가 된다는 점을 의심하지 못한 과실이 인정돼 은행의 배상 책임을 10%로 제한한다"고 판결.

구 ·정보통신망 이용촉진 및 정보보호 등에 관한 법률·(2008. 2. 29. 법률 제8852호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제28조 제1항은 “정보통신서비스제공자 등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다.”고 규정하고 있다. 그리고 구 정보통신망법 제28조 제1항의 위임을 받은 구 ·정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙·(2008. 9. 23. 행정안전부령 제34호로 전부 개정되기 전의 것, 이하 ‘구 정보통신부령’이라 한다) 제3조의3 제1항은 정보통신서비스제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 기술적·관리적 조치로 ‘개인정보의 안전한 취급을 위한 내부관리계획의 수립 및 시행(제1호)’, ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근통제장치의 설치·운영(제2호)’, ‘접속기록의 위조·변조 방지를 위한 조치(제3호)’, ‘개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치(제4호)’, ‘백신소프트웨어의 설치·운영 등 컴퓨터바이러스 방지 조치(제5호)’, ‘그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치(제6호)’를 규정하고 있다. 따라서 정보통신서비스제공자는 구 정보통신부령 제3조의3 제1항 각호에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담한다. 나아가 정보통신서비스제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다. 그런데 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스제공자가 구축한 네트워크나 시스템 및 그 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 아니한 점, 해커 등은 여러 공격기법을 통해 정보통신서비스제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적인 점 등의 특수한 사정이 있으므로, 정보통신서비스제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스제공자의 업종·영업규모와 정보통신서비스제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가능성, 정보통신서비스제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다. 특히 구 정보통신부령 제3조의3 제2항은 “정보통신부장관은 제1항 각호의 규정에 의한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”고 규정하고 있고, 이에 따라 정보통신부장관이 마련한 ·개인정보의 기술적·관리적 보호조치 기준·(정보통신부 고시 제2005-18호 및 제2007-3호, 이하 ‘이 사건 고시’라 한다)은 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스제공자가 구 정보통신망법 제28조 제1항에 따라 준수해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있으므로, 정보통신서비스제공자가 이 사건 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다.