가상화폐 거래소에서 발생한 해킹 사고로 가상화폐 유출 피해를 본 투자자들이 거래소를 상대로 낸 손해배상소송에서 승소했다. 서울중앙지법 민사17부(재판장 김성원 부장판사)는 A씨 등 11명이 가상화폐 거래소인 '코인레일'의 운영사 ㈜리너스를 상대로 낸 손해배상청구소송(2018가합567582)에서 최근 "리너스는 A씨 등 11명에게 3억8300여만원을 지급하라"며 원고일부승소 판결했다. 코인레일은 2018년 6월 해킹을 당해 400억원 규모의 가상화폐가 유출됐다. 사고 직후 거래소를 폐쇄한 리너스는 유출된 가상화폐를 단계적으로 매입하는 등 추후 보상계획을 발표했지만, 현재까지 피해 복구는 이뤄지지 못했다. 이에 가상화폐 유출 피해자 A씨 등 11명은 "리너스가 동의 없이 가상화폐를 이용자 고유의 전자지갑에서 회사 측 전자지갑으로 인출해 보관했다"며 소송을 냈다. A씨 등은 또 "리너스는 이용자의 가상화폐가 유출되지 않도록 방지할 의무가 있음에도 보안체계를 갖추지 않은 고의 또는 과실로 해킹 사고가 발생해 가상화폐 일부가 유출되게 했다"며 "해킹 사고 직후 리너스가 거래소 서비스 일체를 중단해 가상화폐를 시장가에 매도하지 못했고, 이후에도 동종·동량의 가상화폐를 반환할 의무의 이행을 거절했다"고 주장했다. 재판부는 우선 "원고들이 제출한 증거만으로는 피고 회사에 해킹 사고에 대한 고의 또는 과실이 있다고 보기는 어렵다"고 밝혔다. 이어 "피고 회사가 이용자에게 제공하기로 한 전자지갑은 입금전용 지갑으로 이용자가 개인별 계정에 가상화폐를 입금하고 입금 수량을 확인하는 임시적 용도로 보이고, 출금 때까지 해당 전자지갑에 보관돼야 한다고 볼 근거는 없다"며 "피고 회사가 원고들이 보유한 가상화폐를 회사 측 전자지갑에 보관했더라도 가상화폐 보관에 대한 주의 의무를 위반했다고 볼 수는 없다"고 설명했다. 다만 "피고 회사의 이용 약관에 따라 원고들이 전자적인 방법으로 가상화폐 반환을 요구할 경우 피고는 그 즉시 원고들 계정에 예치돼 있는 가상화폐를 반환할 의무가 있다"며 "피고 회사는 해킹 사고를 이유로 거래소 거래를 중단하고 거래소를 폐쇄해 원고들에 대한 각 가상화폐 반환 의무의 이행을 거절해 이에 따른 손해배상 책임이 있다"고 판시했다.

인터파크가 해커에 의한 개인정보 유출 사고와 관련해 피해를 입은 회원들에게 1인당 10만원씩 배상해야 한다는 판결이 나왔다. 서울중앙지법 민사30부(재판장 한성수 부장판사)는 A씨 등 2400여명이 인터파크를 상대로 낸 손해배상청구소송(2016가합563586)에서 최근 "인터파크는 회원들에게 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 인터넷 쇼핑몰인 인터파크에선 지난 2016년 5월 인적사항을 알 수 없는 해커에 의해 내부 전산망이 해킹 당하는 사고가 발생했다. 이 사고로 인터파크가 관리하고 있던 회원들의 비밀번호와 생년월일, 휴대전화 번호 등 개인정보가 유출됐다. 방송통신위원회는 해커의 공격을 지능형 지속가능 위협(APT)으로 보고, 민관합동조사단을 구성해 인터파크의 개인정보처리시스템 등에 남아있는 접속기록 등을 토대로 개인정보 처리 및 운영 실태를 조사했다. 지능형 지속가능 위협은 해커가 다양한 보안 위협을 만들어 특정 기업이나 조직의 네트워크에 지속적으로 가하는 공격을 말한다. 그 결과 해커는 인터파크 직원의 네이버 계정을 불법적으로 도용해 접속한 뒤 악성코드를 심은 이메일을 보내 컴퓨터를 감염시키고, 회원들의 개인정보가 저장돼 있던 DB서버에 접속해 이를 모두 빼간 것으로 조사됐다. 이에 인터파크 회원 A씨 등은 "1인당 30만원을 배상하라"며 소송을 냈다. 재판부는 "정보통신서비스 제공자인 인터파크가 회원들의 개인정보를 보호하기 위해 옛 정보통신망법 등 관련 법령상 어떠한 조치를 해야 하는지 확인하고 이를 이행할 의무가 있음에도 이를 게을리 해 최대접속시간 제한 조치 및 비밀번호의 암호화를 위한 조치를 취하지 않았다"면서 "개인정보 유출을 안 때로부터 24시간 이내에 회원들에게 이를 알리지 않았으므로 인터파크에게 옛 정보통신망법 제28조 등을 위반한 과실이 인정된다"고 밝혔다. 옛 정보통신망법 제28조는 '정보통신서비스 제공자 등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위해 대통령령으로 정하는 기준에 따라 기술적·관리적 조치를 해야 한다'고 규정하고 있다. 재판부는 이어 "유출된 회원들의 개인정보는 모두 개인을 식별할 수 있을 뿐만 아니라 사생활과 밀접한 관련이 있어 이를 도용한 2차 피해 발생과 확대의 가능성을 배제하기 어렵다"면서 "인터파크는 같은 해 7월 회원들의 개인정보가 유출됐음을 인지했음에도 그로부터 14일 뒤에야 비로소 이를 통지해 회원들이 개인정보 유출에 신속히 대응할 수 있는 기회를 상실하게 만들었다"고 설명했다. 다만 "회원들의 개인정보가 불특정 다수에게 공개됐거나 명의가 도용되는 등 추가적 법익침해가 발생했다고 볼 자료는 제출되지 않았다"면서 "기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객의 일정한 개인정보를 수집·보관하는 것이 필요한 현실적인 제약을 고려할 때 손해배상액을 1인당 각 10만원으로 정함이 상당하다"고 판시했다.

암호화폐를 송금하다 전송 오류가 발생해 코인을 모두 잃어버린 경우 암호화폐 거래소는 책임이 없다는 판결이 나왔다. 대구지법 민사14단독 이현석 판사는 이모씨가 A거래소를 상대로 낸 손해배상 청구소송(2018가단119312)에서 3일 원고패소 판결했다. 이씨는 지난해 6월 12일 오전 5시 32분경 암호화폐인 '트론' 180만개를 A거래소 전자지갑에서 B거래소의 전자지갑으로 송금했다. 이씨는 B거래소 전자지갑 주소를 컴퓨터 키보드의 Ctrl+C를 이용해 복사한 다음 A거래소 사이트의 '출금주소'란에 붙여넣고 출금 신청을 했다. 하지만 실제 송금은 이씨의 계좌가 아닌 엉뚱한 곳으로 이뤄졌다. 암호화폐의 특성상 전송 오류가 발생하면 회수가 사실상 불가능하다. 이씨는 "전송오류는 A거래소의 오류로 인한 것이며, 설령 트론의 내재적 불완전성에 기인한 것이라 하더라도 거래소 측은 이러한 오류가 발생할 위험성을 미리 고지했어야 했다"며 "트론 180만개의 시가에 해당하는 9180만원을 배상하라"고 소송을 냈다. 이 판사는 "이씨가 제출한 증거만으로는 전자지갑 주소를 정확하게 입력했는데도 거래소의 오류, 또는 트론에 내재한 불완전성에 기인해 다른 전자지갑 주소로 트론이 전송됐다고 인정하기 부족하다"고 지적했다. 이어 "이씨는 2018년 5월 23일부터 같은해 6월 14일까지 A거래소에서 B거래소의 동일한 전자지갑으로 총 44회 트론을 전송했다"며 "사고 당일 전송 횟수도 6번이고, 전송 후 불과 한 시간만에 전송하기도 했는데 나머지 전송에는 문제가 없었다"고 말했다. 그러면서 "이씨가 전자지갑 주소를 잘못 입력했을 가능성을 배제할 수 없고, 전송에 사용한 컴퓨터 자체의 오류나 해킹 가능성도 배제할 수 없다"고 판시했다. 권오훈(36·변호사시험 1회) 오킴스 블록체인 센터장은 "암호화폐 전자지갑 주소인 퍼블릭키는 특성상 매우 복잡하여 오타로 다른 전자지갑 주소로 전송할 확률은 높지 않다"며 "암호화폐 전송 오류가 발생할 가능성을 소비자가 인지하기는 쉽지 않으므로, 책임 소재에 대한 보다 구체적인 법적 논의가 필요하다"고 말했다.

퇴근 후는 물론 휴일에도 회사 웹사이트에 접속해 시스템을 관리하던 근로자가 사망했다면 업무상 재해를 인정해야 한다는 판결이 나왔다. 제대로 된 휴식을 취하지 못한 탓에 발생한 과로사라는 취지다. 서울행정법원 행정7부(재판장 함상훈 수석부장판사)는 숨진 A씨의 부인 B씨가 근로복지공단을 상대로 낸 유족급여 및 장의비 부지급처분 취소소송(2017구합55046)에서 최근 원고승소 판결했다. 온라인 종합미디어 회사인 C사 시스템총괄부장으로 일하던 A씨는 회사 시스템 및 네트워크 모니터링, 해킹 및 악성코드 대응, 백업 등 시스템 관리 업무를 담당했다. 시스템 및 네트워크 모니터링 업무는 인터넷 웹서비스 작동과 네트워크 장비 간 통신문제 등을 상시 확인하는 업무였는데 근무시간에는 A씨의 동료직원이, 근무 외 시간에는 A씨가 담당했다. 그러던 중 A씨는 2014년 자택에서 호흡곤란 증세를 보인 후 급성심근경색(추정)으로 사망했다. B씨는 남편의 죽음이 업무상 재해에 해당한다며 근로복지공단에 유족급여 및 장의비 지급을 청구했지만, 공단은 "단기 내지 만성적으로 과로했다는 점을 인정하기 어렵다"며 거부했다. 이에 B씨는 "남편은 평소 근무시간 이후에도 시스템 및 네트워크 모니터링 업무를 담당해 휴일과 새벽에도 제대로 된 휴식을 취하지 못했다"며 소송을 냈다. 서울행정법원, 유족에 승소판결 재판부는 "A씨의 회사 차량출입기록을 살펴보면 A씨는 '사망 전 1주일 동안 64.5시간, 4주 동안 약 50시간'을 근무했고, 퇴근 후에도 야간이나 새벽, 휴일에 웹사이트에 접속하는 방법으로 회사의 시스템 및 네트워크에 관한 모니터링 업무를 수행했다"며 "퇴근 후나 휴일에도 제대로 된 휴식을 취하지 못해 장기간 육체적·정신적 피로가 누적되었을 것으로 보인다"고 밝혔다. 이어 "C사는 2014년경부터 경영상태가 악화돼 네트워크 장비 등을 관리하던 위탁업체와의 계약을 해지하고 A씨가 총괄부장으로 있는 시스템부에서 업무를 추가 수행하도록 했다"며 "이때문에 A씨는 관리자로서 업무부담 및 스트레스가 상당히 증가했을 것으로 보인다"고 설명했다. 그러면서 "A씨는 또 사망 1주일 전 같은 부 직원에 대한 정리해고 업무를 담당했고, 사망 당일에는 해고 대상 직원으로부터 항의를 받기도 했다"며 "사내 분위기와 A씨의 사망 전 근무시간 등을 고려하면 과중한 업무로 과로하거나 상당한 스트레스로 사망한 것으로 판단된다"고 판시했다.

2012년 KT 고객 개인정보 유출 사고에 대해 KT는 손해배상 책임이 인정되지 않는다고 대법원이 최종 판단했다. 대법원 민사1부(주심 권순일 대법관)는 28일 강모씨 등 정보유출 피해자 342명이 KT를 상대로 낸 손해배상 청구소송 상고심에서 원고패소 판결한 원심을 확정했다(2017다207994). 2012년 7월 발생한 'KT 개인정보 유출 사고'는 해커에 의해 KT 가입자 870만명의 개인정보가 무분별하게 유출된 사건이다. 2명의 해커가 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼낸 것으로 드러났다. 이에 피해자들은 KT의 관리·감독 부실로 개인정보가 유출됐다며 1인당 50만원을 배상하라고 소송을 냈다. 앞서 1심은 "KT는 사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했고, 망 내 데이터베이스에 주민등록번호와 같은 중요 정보도 암호화하지 않고 저장했다"며 "피해자에 10만원씩 배상하라"고 밝혔다. KT의 책임을 일부 인정한 것이다. 그러나 항소심은 "KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다"며 KT에 책임이 없다고 판단했다. 대법원은 2심 판단이 옳다고 봤다. 한편, 같은 재판부는 이날 또 다른 피해자 100명이 KT를 상대로 같은 취지로 낸 손해배상 청구소송 상고심에서는 원고일부승소한 원심을 깨고 패소 취지로 사건을 서울중앙지법에 돌려보냈다(2017다256910). KT에 정보유출 책임을 물을 수 없다는 취지다. 대법원 관계자는 "정보통신서비스 제공자가 개인정보보호를 위한 법률상 또는 계약상 의무를 위반하였는지를 판단할 때에는 해킹으로 인한 침해사고의 경우 당시 일반적으로 알려져 있는 정보보안 기술 수준과 서비스업체가 취한 보안조치, 해킹기술, 보안기술 발전 등을 종합적으로 고려해야 한다는 것을 다시 한번 확인한 판결"이라고 설명했다.

가상화폐 거래소 빗썸 이용자가 거래소가 개인정보 보호를 위한 의무를 다하지 않아 4억원 상당의 가상화폐를 해커에게 도난당했다며 거래소를 상대로 소송을 냈지만 패소했다. 서울중앙지법 민사30부(재판장 이상현 부장판사)는 A씨가 빗썸 운영사인 BTC코리아닷컴을 상대로 "4억7800여만원을 달라"며 낸 손해배상 청구소송(2017가합585293)에서 최근 원고패소 판결했다. 지난해 11월 해커로 추정되는 사람이 4억7800여만원 상당의 원화 포인트를 갖고 있던 A씨 빗썸 계정에 접속했다. 해커는 A씨 포인트 대부분으로 가상화폐 이더리움을 사들인 다음 4차례에 걸쳐 빗썸의 승인을 받아 이더리움 대부분을 외부로 빼돌렸다. 결국 A씨 계정에 남은 121원의 원화 포인트와 당시 시세로 약 40만원어치에 불과한 0.7794185이더리움만 남았다. A씨는 "빗썸 측에 사실상 금융기관에 요구되는 정도와 같은 고도의 보안 조치가 요구되는 만큼 전자금융거래법을 유추 적용할 수 있다"며 소송을 냈고, 빗썸 측은 자신들은 전자금융거래법상의 금융회사 등에 해당하지 않는다고 맞섰다. 전자금융거래법이 적용되면 빗썸은 전자금융거래가 안전하게 처리될 수 있도록 선관주의의무(選管主意義務, 일반인·평균인에게 요구되는 정도의 주의의무)를 다해야 하고, 정보통신망에 침입해 거짓이나 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고로 인해 이용자에게 손해가 발생할 경우 그 손해를 배상할 책임을 진다. 재판부는 빗썸 측 손을 들어줬다. 재판부는 "금융위원회의 허가 없이 가상화폐거래를 중개하는 빗썸에 전자금융업자에 준해 전자금융거래법을 유추 적용하는 것은 타당하지 않다"며 "가상화폐는 일반적으로 재화 등을 사는 데 이용될 수 없고, 가치의 변동 폭도 커 현금 또는 예금으로 교환이 보장될 수 없으며 주로 투기적 수단으로 이용되고 있어 전자금융거래법에서 정한 전자화폐에 해당한다고 볼 수 없다"고 판단했다. A씨는 지난해 스피어피싱 등을 통해 빗썸 웹사이트 계정정보 등 3만6000여건이 해커에게 유출된 사고를 거론하면서 빗썸 측이 선관주의의무를 다하지 않았고 주장했으나, 재판부는 "당시 해커에게 유출된 개인정보에 A씨의 개인정보가 포함됐다고 인정할 증거가 존재하지 않는다"며 A씨 주장을 받아들이지 않았다. 재판부는 "성명불상자가 원고가 주로 사용하는 아이피 주소가 아닌 주소로 접속한 것으로 보이기는 하지만, 스마트폰 등은 접속 위치나 시간에 따라 아이피 주소가 변경될 수 있는 것이 현실이므로 빗썸이 이런 접속을 막지 않았다고 해 선관주의의무를 다하지 못한 것으로 보기는 어렵다"며 "10회에 걸쳐 빗썸이 출금인증코드 문자메시지를 A씨 휴대전화로 보내 이더리움 출금 절차 진행을 알렸음에도 이를 A씨가 수신하지 못한 점에 비춰 빗썸의 관리와 무관하게 A씨의 휴대전화가 해킹 또는 복제 당했을 가능성도 배제하기 어렵다"고 설명했다.

계정이 해킹돼 보유하고 있던 가상화폐(암호화폐)를 도난당했다고 해도, 가상화폐 거래소에 배상 책임을 물을 수는 없다는 판결이 나왔다. 서울중앙지법 민사35단독 김수정 부장판사는 A씨가 가상화폐 거래소 '빗썸'을 운영하는 BTC코리아닷컴을 상대로 "5200여만원을 배상하라"며 낸 손해배상청구소송(2017가단5016023)에서 최근 원고패소 판결했다. 2014년부터 빗썸에서 비트코인을 거래해 온 A씨는 2016년 2월 정체를 알 수 없는 해커에 의해 아이디(ID)와 비밀번호를 해킹당해 약 30분 사이에 100BTC(비트코인의 단위)를 도난 당했다. 이는 당시 시가 약 5200만원에 해당하는 액수였다. 검찰은 이 해킹 사건을 수사했으나 단서를 확보하지 못해 기소중지 결정을 했다. 재판부는 "BTC코리아닷컴이 비트코인의 거래를 중개하는 사업자에게 요구되는 계약상 주의의무를 위반해 개인정보 관리를 소홀히 했다고 인정하기 어렵다"며 "BTC코리아닷컴이 이무렵 비트코인 인출을 위한 인증체계를 4단계에서 1단계로 간소화한 사실을 인정하면서도, 이로 인해 해커가 A씨의 ID와 비밀번호, OTP(일회용 비밀번호) 등을 입수할 수 있었다고 인정할 증거가 없다"고 밝혔다. 재판부는 또 BTC코리아닷컴이 휴대전화 문자메시지로 발송하는 인증 숫자는 법적인 '비밀번호'라고 볼 수 없으므로, 이를 암호화하지 않아 기술적 보호조치를 하지 않았다는 A씨의 주장도 받아들이지 않았다. 그러면서 BTC코리아닷컴이 고객 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장했다가 방송통신위에서 적발된 적이 있긴 하지만, A씨의 정보를 그렇게 보관하지는 않았으므로 마찬가지로 책임이 없다고 판단했다.

해킹에 의한 개인정보 유출 사고로 피해를 입은 고객들이 케이티(KT)를 상대로 낸 손해배상 청구소송에서 법원이 엇갈린 판결을 내려 항소심 판단이 주목된다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것은 어렵다고 판단한 재판부가 있는 반면, 정보통신업체는 사회통념상 요구되는 수준 이상의 보호조치를 다해야 한다면서 보다 큰 책임을 강조한 재판부도 있다. 서울중앙지법 민사6단독 심창섭 판사는 17일 A씨 등 39명이 KT를 상대로 낸 손해배상 청구소송(2014가소413127)에서 "KT는 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 2013년 8월부터 2014년 2월까지 KT가 운영하는 마이올레 홈페이지에서 해킹 사고가 발생해 개인정보가 대거 유출됐다. 해커는 이 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 해킹프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼냈다. 이에 A씨 등은 2014년 5월 "KT의 관리감독 부실로 개인정보가 유출됐다"며 "1인당 20만원을 배상하라"며 소송을 냈다. 심 판사는 "정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있지만 해커들은 항상 기술수준을 뛰어넘는 방법을 사용한다"며 "KT가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 기술적·관리적 보호조치를 한 것만으로 개인정보의 안전성 확보에 필요한 조치를 다했다고 볼 수 없다"고 밝혔다. 이어 "KT는 7개월간에 걸쳐 1170만건의 개인정보 유출이 이뤄졌는데도 이를 확인하지 못했다"며 "보안관련 인력을 보강하거나 서버를 외부접속용과 내부 접속용으로 분리하는 등 해킹 사고를 방지하기 위한 조치도 취하지 않았다"고 지적했다. 그러나 지난달 20일 서울중앙지법 민사22부(재판장 전지원 부장판사)는 B씨 등 같은 피해를 당한 3645명이 KT를 상대로 낸 손해배상 청구소송(2014가합553622)에서 원고패소 판결했다. 재판부는 "정보통신서비스 제공자가 법에서 정하고 있는 기술적·관리적 보호조치를 다했다면 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기 어렵다"고 밝혔다. 이어 "하루 접속 건수가 3300만여건에 이르는 마이올레 홈페이지의 시스템과 같이 방대한 규모의 모든 웹서버 접속 로그 기록을 실시간 분석하거나 상시적으로 사후 분석하는 것은 현실적으로 불가능하다"며 "해커 접속(34만건)은 1% 미만이어서 이상행위를 탐지하기도 어려웠다"고 설명했다. 그러면서 "개인정보 등을 송·수신할 때 암호화의 대상 범위는 일반인이 접근 가능한 인터넷 공중망을 의미한다"며 "해커가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC 내부 영역으로 정보통신망법상 암호화가 요구되는 영역이 아니다"라고 판시했다. 정보통신망법 시행령 제6조 3항은 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다. 앞서 대법원은 2015년 2월 KT와 유사하게 해킹에 의해 개인정보가 유출된 경매업체 옥션 사건에서 "온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다"고 판결했다(2013다43994). 한편 한국소비자원(원장 한견표)은 지난 20일 개인정보 유출 피해를 입은 KT 고객들이 "위약금 없이 서비스를 해지할 수 있도록 해달라"며 신청한 조정을 각하했다. 당시 KT는 개인정보 유출 피해를 본 고객들이 서비스를 해지하겠다고 하자 위약금을 규정대로 물려 사회적 비난을 받았다. 경실련은 2014년 7월 피해고객 57명과 함께 소비자원에 위약금을 물리지 않도록 집단분쟁조정을 신청했다. 그러나 소비자원은 "법에서 정한 최소한의 기술적·관리적 보호조치를 취했으므로 이용계약 해지에 귀책사유가 없고, 개인정보 유출로 재산적 피해는 발생하지 않았다"는 이유로 각하 결정했다. 이에 경실련은 "소비자원은 합리적 설명 없이 절차를 개시하지 않은 채 사건을 장기간 방치해, 다수 피해자가 어쩔 수 없이 해지 위약금을 부담하거나 남은 약정 기간을 채울 수밖에 없었다"며 소비자원에 대한 공익감사 청구와 행정소송 제기를 검토하겠다고 밝혔다.

은행고객이 신종 보이스피싱에 속아 일회용 비밀번호(OTP, one-time password)를 유출해 돈이 이체됐어도 은행이 고객에게 공지한 추가인증 절차를 진행하지 않은 등의 과실이 있다면 은행이 책임을 져야 한다는 판결이 나왔다. OTP란 인터넷뱅킹에 사용되는 보안카드 대신 모바일 프로그램이나 전용 단말기를 이용해 일회용 비밀번호를 생성하는 방식을 말한다. 학원강사 A(43·여)씨는 2014년 9월 지방세를 납부하기 위해 B은행 인터넷뱅킹 홈페이지에 접속했다. 그런데 갑자기 화면에 '금융감독원 사기예방 계좌등록 서비스'라는 팝업창이 떴다. A씨는 보안강화를 위한 것이라 생각하고 팝업창 안내문에 따라 계좌번호와 비밀번호, 공인인증서 비밀번호, OTP 비밀번호를 입력했다. 그러자 화면에 '등록중'이라는 표시가 떴고 곧바로 A씨의 휴대전화로 전화가 걸려왔다. 금융감독원 직원이라고 밝힌 남성은 "화면에 등록 중이라는 내용이 보이느냐, 계좌가 안전하게 등록되고 있다"고 설명했는데 이 와중에 A씨의 휴대폰 문자메시지로 A씨의 계좌에서 2100만원이 출금됐다는 내용이 전송됐다. 놀란 A씨가 "계좌에서 출금된 금액이 무엇이냐"고 묻자 이 남성은 "전산장애이니 30분 내로 돈이 다시 들어 올 것"이라고 말하고 전화를 끊었다. 30분 뒤 OTP 비밀번호만 입력하는 창이 다시 뜨자 A씨는 다시 비밀번호를 입력했고, 그 순간 A씨의 계좌에서 5회에 걸쳐 총 900만원이 출금됐다. 보이스피싱에 당했다는 사실을 알게 된 A씨는 사고 당시 공인인증서가 재발급된 사실이 없어 출금이 불가능한데도 돈이 빠져 나갔으며 B은행이 공지한 것과 달리 추가인증 절차도 없이 계좌에서 돈이 빠져 나갔다며 은행을 상대로 소송을 제기했다. B은행은 "A씨의 과실로 OTP 비밀번호가 노출돼 일어난 일"이라며 "책임이 없다"고 맞섰다. 전자금융거래법 제9조는 공인인증서나 OTP 같은 접근매체의 위조나 변조로 발생한 사고 등으로 이용자에게 손해가 발생한 경우 은행 등 금융기관이 배상해야 한다고 규정하고 있다. 다만 사고 발생에 이용자의 고의나 제3자가 권한 없이 이용자의 접근매체를 이용해 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치하는 등 중대한 과실이 있는 경우에는 책임의 전부나 일부가 감경된다. 서울중앙지법 민사96 단독 이규홍 부장판사는 A씨(소송대리인 법무법인 지향)가 B은행을 상대로 낸 손해배상청구소송(2015가단5135685)에서 "B은행은 2200여만원을 지급하라"며 최근 원고일부승소 판결했다. 재판부는 "B은행이 홈페이지에 게시한 '전자금융사기 예방서비스 전면시행에 따른 추가인증' 공고에 따르면 '야간(21시~09시) 및 휴일 거래시 보안매체에 관계없이 1일 누적 100만원 이상 이체시 추가 인증이 있다'고 돼 있다"며 "사고 발생일이 휴일이었고 이체된 금액이 100만원을 초과함에도 B은행이 공고한 추가인증 절차는 이뤄지지 않았다"고 밝혔다. 이어 "A씨는 '금융거래 사이트는 주소창에 직접 입력하거나 즐겨찾기를 이용하라'는 B은행의 권유에 따라 즐겨찾기에 등록해 놓은 홈페이지로 접속했다"며 "B은행은 사고 당시까지 비밀번호 30~35개 중 일부를 입력하도록 하는 기존의 보안카드와 달리 OTP 방식은 외부노출과 해킹으로부터 안전한 것으로 홍보하기도 했다"고 설명했다. 재판부는 "보이스피싱에 대한 일반인의 인식이 높은 상황에서 A씨의 나이와 직업, 인터넷 금융거래 이용 경력 등을 고려하더라도 1차로 출금된 2100만원에 대해 A씨에게 중대한 과실이 있다고 볼 수 없어 은행의 배상책임이 100% 인정된다"고 했다. 하지만 2차로 출금된 900만원에 대해서는 "A씨가 공인인증서 인증과 추가인증절차가 없이도 계좌이체가 된다는 점을 의심하지 못한 과실이 인정돼 은행의 배상 책임을 10%로 제한한다"고 판시했다.

아이폰 사용자들이 "아이폰의 제조사인 애플이 사용자의 위치정보를 동의없이 수집했다"며 손해배상소송을 냈지만 1심에 이어 항소심에서도 패소했다. 1·2심 모두 애플의 불법 위치정보 수집은 인정했지만 손해배상책임은 없다고 판결했다. 부산고법 창원재판부 민사1부(재판장 이영진 부장판사)는 5일 국내 아이폰 사용자 299명이 미국 애플 본사와 애플코리아를 상대로 낸 손해배상청구소송의 항소심(2014나21277 등)에서 1심과 마찬가지로 원고패소 판결했다. 재판부는 아이폰 사용자들이 위치정보 서비스를 '끔' 상태에 뒀는데도 애플이 아이폰으로부터 주기적으로 위치정보를 전송받은 것은 개인위치정보의 수집을 금지한 위치정보법 위반이라고 판단했다. 재판부는 "아이폰과 애플의 위치정보시스템 사이 송수신되는 정보에는 사용자를 특정할 수 있는 정보가 포함되지 않더라도, 애플로부터 전송받은 위치 값이 기기 내 데이터베이스로 저장된다면 특정 사용자가 존재했던 장소에 대한 위치정보만을 모아둔 셈"이라며 "따라서 사용자가 개인위치정보 수집에 대한 동의를 철회했음에도 애플이 개인위치정보를 수집한 것으로 봐야 한다"고 밝혔다. 하지만 재판부는 이같은 정보수집이 '버그(bug:프로그램 오류나 오작동)'로 발생한 점 등을 고려해 손해배상책임은 없다고 판단했다. 재판부는 "위치정보수집이 버그로 예외적인 상황에서 일시적으로 발생한 것이고, 위치기반서비스 기술의 개발 및 정착 단계에서 발생한 기술적 시행착오의 성격이 짙다"며 "애플이 사용자의 위치정보나 개인위치정보를 침해할 의도는 없었던 것으로 보인다"고 밝혔다. 이어 "전송된 정보도 단순 위치정보"라며 "설령 해킹이 되더라도 사용자가 직접적인 피해를 입지는 않는다"고 설명했다. 방송통신위원회는 2011년 8월 애플이 사용자 동의 없이 위치정보를 수집했다며 과태료 300만원을 부과하고 시정조치 명령을 내렸다. 이후 국내 아이폰 사용자 2만8000여명은 "애플의 동의 없는 위치정보 수집으로 정신적 피해를 입었다"며 1인당 100만원의 위자료를 청구하는 소송을 냈다. 그러나 1심 재판부는 위치정보 수집을 인정하면서도 정보 유출이 없었다며 원고패소 판결했다. 1심에서 패소한 원고 2만8000여명 가운데 299명은 항소했다.