서울중앙지방법원 판결
【사건】 2020가단5253587 손해배상(기)
【원고】 별지 원고 목록 기재와 같다. (A 외 578명)
【피고】 B 주식회사
【변론종결】 2021. 10. 5.
【판결선고】 2021. 11. 2.
【주문】
1. 피고는 원고 C, D, E, F, G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U, V, W, X, Y, Z, AA, AB, AC, AD, AE, AF, AG, AH, AI, AJ, AK, AL, AM, AN, AO, AP, AQ, AR, AS, AT, AU, AV, AW, AX, AY, AZ, BA, BB, BC, BD, BE, BF, BG, BH, BI, BJ, BK, BL, BM, BN, BO, BP, BQ, BR, BS, BT, BU, BV, BW, BX, BY, BZ, CA, CB, CC, CD, CE, CF, CG, CH, CI, CJ, CK를 제외한 나머지 원고들에게 각 100,000원 및 이에 대하여 2012. 11. 1.부터 2020. 10. 16.까지는 연 5%, 그 다음날부터 다 갚는 날까지는 연 12%의 각 비율로 계산한 돈을 지급하라.
2. 원고 C, D, E, F, G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U, V, W, X, Y, Z, AA, AB, AC, AD, AE, AF, AG, AH, AI, AJ, AK, AL, AM, AN, AO, AP, AQ, AR, AS, AT, AU, AV, AW, AX, AY, AZ, BA, BB, BC, BD, BE, BF, BG, BH, BI, BJ, BK, BL, BM, BN, BO, BP, BQ, BR, BS, BT, BU, BV, BW, BX, BY, BZ, CA, CB, CC, CD, CE, CF, CG, CH, CI, CJ, CK의 청구를 각 기각한다.
3. 소송비용 중 제2항 기재 원고들과 사이에 생긴 부분은 제2항 기재 원고들이, 나머지는 피고가 각 부담한다.
4. 제1항은 가집행할 수 있다.
【청구취지】
피고는 원고들에게 각 100,000원 및 이에 대하여 2012. 11. 1.부터 이 사건 소장부본 송달일까지는 연 5%, 그 다음날부터 다 갚는 날까지는 연 12%의 각 비율로 계산한 돈을 지급하라.
【이유】
1. 인정사실
다음의 각 사실은 당사자 사이에 다툼이 없다.
가. 원고들은 피고와 사이에 신용카드 등에 대한 사용 및 금융거래 계약을 맺고 신용카드 등을 발급받아 사용하고 있거나 사용하였던 사람들이다.
나. 피고는 2009년경 주식회사 CL(이하 ‘주식회사 CM’라 한다)를 통하여 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라 한다)를 도입하였다. 피고는 2012년 5월경 주식회사 CM와 사이에 기존에 구축되어 있던 FDS를 업그레이드하기 위한 개발용역계약을 체결하였는데, FDS 개발사업기간 중 개발작업에 필요하다는 이유로 주식회사 CM에 변환되지 않은 카드고객정보를 제공하였다. 주식회사 CM 직원인 프로젝트 총괄매니저 CN 등은 2012년 5월경부터 2012년 12월경까지 FDS 개발작업을 수행하면서 위와 같은 카드고객정보를 사용하여 왔다.
다. CN는 2012년 6월 중순경 USB 메모리 쓰기방지 기능이 작동하지 않는 컴퓨터를 이용하여 피고의 고객 약 2,431만 명에 관한 카드고객정보를 USB 메모리에 복사하는 방법으로 이를 빼내고, 2012년 10월경 다시 피고의 카드사업부 사무실의 업무용 컴퓨터에서 USB 메모리의 쓰기 기능을 사용할 수 있게 된 것을 이용하여 피고의 고객 약 2,511만 명에 관한 카드고객정보를 USB 메모리의 쓰기 기능 사용이 가능한 컴퓨터로 전송한 후 그 컴퓨터에 USB 메모리를 접속하여 복사하는 방법으로 이를 빼냈다. CN는 위와 같이 빼낸 카드고객정보를 대출중개영업 등에 활용할 의도를 가지고 있는 CO에게 전달하였다. CO는 CP 본부장인 CQ 등에게 위와 같은 카드고객정보를 전달하였다(이하 ‘이 사건 유출사고’라 한다).
라. 원고들에 대한 카드고객정보도 위와 같은 경위로 유출되었는데, 그 유출된 것에는 원고별로 성명, 주민등록번호, 휴대전화번호, 자택전화번호, 직장전화번호, 이메일, 자택주소, 직장주소, 직장정보, 카드번호, 유효기간, 카드정보, 결제정보, 신용한도, 연 소득 중 전부 또는 일부가 포함되어 있었다.
마. CN는 2014. 6. 20. 창원지방법원에서 피고의 고객들에 대한 카드고객정보를 침해·누설함과 동시에 신용정보 관련자로서 업무상 알게 된 타인의 신용정보를 누설한 범죄사실 등으로 징역 3년의 유죄판결을 받았다.
바. 한편, 원고 C, D, E, F, G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U, V, W, X, Y, Z, AA, AB, AC, AD, AE, AF, AG, AH, AI, AJ, AK, AL, AM, AN, AO, AP, AQ, AR, AS, AT, AU, AV, AW, AX, AY, AZ, BA, BB, BC, BD, BE, BF, BG, BH, BI, BJ, BK, BL, BM, BN, BO, BP, BQ, BR, BS, BT, BU, BV, BW, BX, BY, BZ, CA, CB, CC, CD, CE, CF, CG, CH, CI, CJ, CK(이하 ‘원고 C 외 86명’이라 한다)는 2014. 3. 14.경 피고를 상대로 이 사건 유출사고를 원인으로 한 손해배상을 구하는 소[(서울중앙지방법원 2014가합512461, 2014가합515989(병합)]를 제기하였다가 2016. 1. 28.경 위 소를 취하하였다.
2. 청구원인에 관한 판단
가. 위 인정사실에 의하면, 피고는 개인정보처리자가 개인정보 내지 이용자정보 보호를 위하여 준수하여야 할 구 개인정보 보호법(2015. 7. 24. 법률 제13423호로 개정되기 전의 것, 이하 같다)과 같은 법 시행령상의 의무1)를 위반하여 원고들의 개인정보가 포함된 카드고객정보가 유출되는 사고의 원인을 제공하였으므로, 피고는 불법행위자로서 이 사건 유출사고로 인하여 원고들이 입은 손해를 배상할 책임이 있다.
[각주1] 구 개인정보 보호법 제29조, 같은 법 시행령 제30조 제1항 제3호를 구체화한 개인정보의 안전성 확보조치 기준 제7조 제2항 및 제8항, 같은 법 시행령 제30조 제1항 제2항을 구체화한 개인정보의 안전성 확보조치 기준 제6조 제3항, 제4항, 개인정보의 안전성 확보조치 기준 제9조 등
나. 이 사건 유출사고로 유출된 원고들의 개인정보는 원고들 개인을 식별할 수 있을 뿐만 아니라 개인의 사생활과 밀접한 관련이 있고, 이를 이용한 제2차 범죄에 악용될 수 있는 정보로서, 전파 및 확산 과정에서 이미 제3자에 의해 열람되었거나 앞으로 열람될 가능성이 매우 크므로, 원고들에게는 사회통념상 이 사건 유출사고로 인한 정신적 손해가 현실적으로 발생하였다고 봄이 타당하다. 나아가 이 사건 변론과 증거조사에 나타난 여러 사정들을 종합적으로 고려하여, 피고가 원고들에게 배상하여야 할 위자료를 각 100,000원으로 정한다.
다. 따라서 피고는 원고들에게 위자료로 각 100,000원과 이에 대하여 불법행위일 이후로서 원고들이 구하는 2012. 11. 1.부터 이 사건 소장부본 송달일인 2020. 10. 16.까지는 민법이 정한 연 5%, 그 다음날부터 다 갚는 날까지는 소송촉진 등에 관한 특례법이 정한 연 12%의 각 비율로 계산한 지연손해금을 지급할 의무가 있다.
3. 피고의 소멸시효항변에 관한 판단
가. 주장의 요지
창원지방검찰청이 2014. 1. 8. 이 사건 유출사고와 관련한 수사결과를 발표하고 언론에 보도되도록 하였을 뿐만 아니라, 2014. 1. 18. 피고 홈페이지를 통해 이 사건 유출사고와 관련된 사과문을 게시하면서 개인정보 유출 확인 서비스를 시작하고, 2014. 1. 22. CS 등 국내에서 발행되는 일간지에 사과문을 게재하였고, 2016년경부터 이 사건 유출사고의 피해자들이 피고를 상대로 제기한 소송(이하 ‘관련소송’이라 한다)에서 피고의 손해배상책임을 인정하는 1심 판결이 선고되었으므로, 원고들은 늦어도 2016. 1.경에는 이 사건 유출사고가 발생되어 피해가 발생한 사실을 알고 있었다. 또한 원고 C 외 86명은 2014. 3. 14.경 피고를 상대로 이 사건 유출사고를 원인으로 한 손해배상을 구하는 소를 제기하기까지 하였으므로, 적어도 원고 C 외 86명은 그 무렵 이 사건 유출사고가 발생되어 피해가 발생한 사실을 알고 있었다고 보아야 한다. 그런데 이 사건 소는 그로부터 3년이 경과한 2020. 9. 15. 제기되었으므로, 원고들의 손해배상청구권은 소멸시효가 완성되었다.
나. 판단
1) 불법행위로 인한 손해배상청구권의 단기소멸시효의 기산점이 되는 민법 제766조 제1항의 ‘손해 및 가해자를 안 날’이라고 함은 손해의 발생, 위법한 가해행위의 존재, 가해행위와 손해의 발생과의 사이에 상당인과관계가 있다는 사실 등 불법행위의 요건사실에 대하여 현실적이고도 구체적으로 인식하였을 때를 의미한다. 나아가 피해자 등이 언제 위와 같은 불법행위의 요건사실을 현실적이고도 구체적으로 인식한 것으로 볼 것인지는 개별적 사건에 있어서의 여러 객관적 사정을 참작하고 손해배상청구가 사실상 가능하게 된 상황을 고려하여 합리적으로 판단하여야 한다(대법원 2010. 5. 27. 선고 2010다7577 판결 등 참조).
2) 먼저 원고들이 관련소송의 1심 판결이 선고된 2016년경 손해 및 가해자를 알았는지에 관하여 보건대, 이 사건 유출사고와 관련된 수사결과가 발표되고 사과문이 게시되거나 게재되었다거나, 관련소송에서 피고의 손해배상책임이 인정되었다는 사정만으로 원고들이 자신들의 개인정보가 유출되어 손해가 발생하였다는 사실을 현실적이고도 구체적으로 인식하였다고는 볼 수 없으므로, 피고의 이 부분 주장은 이유 없다.
3) 다음으로 원고 C 외 86명이 2014. 3. 14.경 손해 및 가해자를 알았는지에 관하여 보건대, 원고 C 외 86명이 2014. 3. 14.경 피고를 상대로 이 사건 유출사고를 원인으로 한 손해배상을 구하는 소를 제기하였다가 2016. 1. 28.경 위 소를 취하한 사실은 앞서 본 바와 같으므로, 원고 C 외 86명은 피고를 상대로 소를 제기한 2016. 3. 14.경 자신들의 개인정보가 유출되어 피해를 입은 사실을 현실적이고도 구체적으로 인식하였다고 할 것이고, 단지 원고들이 위 소송에서 유출화면 등 증거를 제대로 제출하지 못하여 소를 취하였다는 사정만으로 자신들의 개인정보가 유출되어 피해를 입은 사실 자체를 인식하지 못하였다고 볼 수 없다. 그런데 이 사건 소가 그로부터 3년이 경과한 2020. 9. 15. 제기되었음은 역수상 명백하므로, 원고 C 외 86명의 손해배상채권은 그 소멸시효가 완성되어 소멸하였다. 따라서 이를 지적하는 피고의 소멸시효항변은 이유 있고, 결국 원고 C 외 86명의 청구는 이유 없다.
4. 결론
그렇다면 원고 C 외 86명을 제외한 나머지 원고들의 청구는 이유 있으므로 이를 인용하고, 원고 C 외 86명의 청구는 이유 없으므로 이를 기각한다.
판사 류희현