1. 사실관계 및 공정거래위원회의 판단 대규모유통업자와 납품업자 사이에 대규모유통업에서의 거래 공정화에 관한 법률(이하 '대규모유통업법') 조항과 다르게 정한 특약이 존재하는 경우 대규모유통업법 위반으로 볼 수 없는지에 대한 쟁점을 살펴보기 위하여 최근 선고된 홈쇼핑사업자의 대규모유통업법 위반에 대한 대법원 판결(대법원 2020. 6. 26. 선고 2016두55896 판결)의 내용을 소개하겠다. 사실관계를 살펴보면 홈쇼핑사업자인 A사는 납품업자로부터 생활용품 등을 납품받아 판매한 후 상품판매대금을 월 판매마감일부터 40일(법정지급기일)이 지난 후에 지급하면서 그에 따른 지연이자를 지급하지 아니하였다. A사는 납품업자들과 표준거래계약을 체결하면서 "법원, 세무당국 또는 연금관리공단 등으로부터 지급정지요청, (가)압류, (가)처분, 추심 등의 결정이나 명령이 있는 경우(제1호) 등에는 A사의 납품대금 지급을 보류할 수 있다"고 약정을 하였는데, A사에게 납품업자들에 대한 채권가압류 결정 등이 송달되었기 때문이다. 즉, A사는 위 약정에 따라 지급을 보류한 것이다. 공정거래위원회는 A사의 행위가 대규모유통업법 제8조(대규모유통업자는 해당 상품의 판매대금을 월 판매마감일부터 40일 이내에 납품업자 등에게 지급하여야 한다) 위반이라고 판단하였다. 2. 대법원 판단 서울고등법원은 A사의 행위가 대규모유통업법 제8조 위반이 아니라고 판단하였는데, 대법원은 해당 부분에 대한 원심을 파기하였다. 대법원은 "거래상 우월적 지위에 있는 대규모유통업자가 그 지위를 이용하여 특정 조항을 계약에 편입시킬 우려가 항시 존재하는 거래현실을 아울러 고려하면 대규모유통업자와 납품업자 사이에 대규모유통업법 제8조 제1항, 제2항에서 정한 법정지급기한과 지연손해금률과 다른 내용의 약정이 존재한다는 사정만으로 위 규정의 적용을 곧바로 배제할 수 없고, 그 약정이 납품업자의 자발적 동의하에 체결되었다는 사정까지 인정되어야 한다"고 하면서 "대규모유통업법 제8조 제1항, 제2항보다 불리한 내용의 계약 조항이나 약관 조항에 관하여 납품업자로부터 자발적 동의를 얻지 못하였음에도 이를 근거로 납품업자를 상대로 위 규정 위반행위를 하는 것은 그 계약 조항이나 약관 조항이 사법상 유효한지 여부와 관계없이 고의 또는 과실에 의한 불법행위에 해당한다. 이러한 경우 납품업자는 대규모유통업자를 상대로 불법행위를 원인으로 하여 대규모유통업자의 위반행위가 없었더라면 지급받을 수 있었던 지연손해금 상당을 손해배상으로 청구할 수 있다"고 판단하였다. 즉, 대법원은 당사자 간의 사적자치를 존중하여 사법적 약정의 효력을 인정하되, 거래상 열위에 있는 납품업자를 보호하기 위하여 납품업자가 자발적으로 동의한 경우에만 사법적 약정의 효력 및 대규모유통업법 위반에 대한 정당화사유로 인정하겠다는 입장으로, 납품업자의 구제를 위하여 일정한 요건 하에 불법행위책임을 인정하여 시정명령으로서 지급명령을 부과할 수 있는 가능성을 설명하고 있다. 3. 쟁점별 검토 가. 납품업자와의 특약으로 대규모유통업법 적용배제가 가능한지 본 사건에서 대법원은 대규모유통업법 제8조를 단속규정으로 판단하였는데, 법 조문의 규정방식이 그 위반행위에 대하여 무효라고 명시적으로 판단하지 않고 있는 점, 거래를 무효로 할 경우 거래의 안정성이 침해된다는 우려 등을 고려한 하도급 공정화에 관한 법률 규정에 관한 선례가 다수 존재하는 점, 법 위반행위에 대하여 공정거래위원회가 시정조치 등을 하면 사법상 효력을 무효로 하지 않더라도 납품업자에 대한 보호가 충분할 수 있다는 점 등을 고려한 것으로 추측된다. 대규모유통업법의 적용대상이 대규모유통업자와 납품업자라는 상인간의 거래인 점, 대규모유통업법에서 정한 내용과 다르다고 하여 당사자 간의 합의가 존재함에도 그러한 합의의 효력을 일괄적으로 무효로 하는 경우 상황에 따라서는 납품업자에게 불리한 상황이 발생할 가능성도 배제할 수 없는 점 등을 고려할 때 대규모유통업법의 모든 규정을 효력규정으로 보거나 대규모유통업법과 내용이 다른 모든 약정의 효력을 무효로 보는 것은 타당하지 않다고 생각한다. 이에, 대법원의 판단에 일반적으로 동의한다. 그러나, 대규모유통업법 조문 중 제8조에 대하여는 다음과 같은 점을 고려할 때 효력규정으로 볼 여지도 존재한다고 생각한다. 대규모유통업법은 우월적 지위에 있는 대규모유통업자의 횡포로부터 열세적인 지위에 있는 납품업자 등을 보호함으로써 그들 사이에 대등한 지위에서 상호보완적으로 균형있게 발전할 수 있게 하는 것을 입법취지로 하고 있다. 특히 대규모유통업법 제8조는 납품업자에 비해 거래상 우월적 지위가 있는 대규모유통업자가 그 지위를 이용하여 일방적으로 대금지급기일을 늦추어 납품업자에게 피해를 야기하는 행위를 방지하기 위한 조항으로 법문상 특별한 예외사유를 규정하지 않고 있는데, 이는 해당 위반행위에 대한 예외를 인정하지 않고 강력하게 규제하겠다는 입법취지가 반영된 것으로 볼 수 있다. 대규모유통업자가 납품업자와 합의를 하였다고 하더라도 대금지급기일을 늦추는 행위는 납품업자의 현금흐름을 원활하지 못하게 하여 납품업자의 영업에 상당한 타격을 줄 수 있기 때문이다. 즉, 법에서 예외조항을 두고 있지 않음에도 법정지급기한을 회피하기 위한 사업자간 약정을 유효하다고 본다면 대규모유통업법 제8조를 의무규정화한 취지 자체가 몰각될 여지도 있다. 실제적으로 해당 법률행위의 사법상 효력을 유효로 할 경우 피해자인 납품업자는 법 위반행위로 인한 피해에 대하여 직접적으로 민사규제를 받기 어려워진다. 행정법상으로는 납품대금을 지급할 의무가 존재하나 민사상으로는 지급할 의무가 없다는 모순이 발생할 수 있으며, 시정명령으로서 지급명령과의 관계를 고려할 때 납품업자의 권리구제가 복잡해 질 수 있다. 다만, 대법원은 불법행위에 따른 손해배상책임을 인정하면 민사상 권리구제의 공백이 생기지 않는다고 보는 듯하다. 또한, 가압류 결정이 송달되더라도 이행지체 책임은 면제되지 않는데 이러한 지체책임을 면제하여 주는 것을 내용으로 하는 표준계약서상 이 사건 지급보류조항은 A사에게는 이득인 반면 납품업자에게는 불리한 조건이고, A사는 공탁을 통하여 이중변제 등의 위험을 쉽게 회피할 수 있으므로 대규모유통업자와 납품업자 간 이익을 형량하더라도 해당 약정을 반드시 유효로 해야 할 필요성이 높지는 않다고 생각된다. 나. 대규모유통업법 제8조 위반에 해당되는지 대규모유통업법의 규정 내용과 다른 약정이 존재하는 경우 대규모유통업법 위반에 해당되지 않는다고 보아야 하는지 여부가 문제되는데, 대법원은 대규모유통업자와 납품업자 사이의 지위를 고려하여 대규모유통업자가 자발적인 동의여부를 입증하도록 절충안을 두면서 자발적인 사법상 약정이 존재하면 정당화사유가 존재하는 것으로 보아 대규모유통업법 위반에 해당되지 않는다고 보는 듯하다. 대규모유통업자와 납품업자의 거래는 상인간의 거래이고, 상인간의 거래에는 경쟁당국의 개입이 최소화되어야 한다는 점에서 당사자 간 사법상 효력을 인정하면서도 납품업자를 보호하려는 대규모유통업법의 취지를 반영한 대법원의 판단은 타당하고, 다른 대규모유통업법 위반행위의 위법성 판단기준이 될 수 있다고 생각한다. 그러나, 대규모유통업법 제8조 문언의 형식은 정해진 유형의 행위가 이루어진 경우 정당한 사유를 입증하지 못하는 한 위법성을 인정하거나 혹은 부당성을 위법성의 요건으로 정하고 있는 대규모유통업법의 다른 규정과 다르다. 즉, 법 문언에서 위법성 판단기준으로 부당성 및 정당화사유를 규정하지 않고 그 지급기일을 명확히 특정한 제8조의 입법취지 등을 고려할 때 당사자 간 사법상 약정의 존재만으로 정당화사유를 인정하여 법 위반이 아니라고 단정하기는 어렵다고 보인다. 또한, 본 사안에서 문제가 된 당사자 간 합의는 대규모유통업자의 입장에서는 제8조와 달리 정하지 않을 경우 발생하게 될 손해가 명확하지 않은 반면, 납품업자의 입장에서는 가압류 결정 등이 송달되었다는 사정만으로 납품대금지급이 보류되는 불이익을 입게 된다는 점에서 해당 약정의 존재가 대규모유통업법 제8조 위반이 아니라고 판단하여야 할 불가피한 사정(특단의 사정)에 해당된다고 보기도 어렵다. 결론적으로 당사자간 사법상 약정을 근거로 대규모유통업법 제8조 위반이 아니라는 판단은 대규모유통업법의 위법성 판단방식을 독점규제 및 공정거래에 관한 법률의 불공정거래행위와 달리 정한 취지, 제8조의 문언에서 법 위반행위에 대한 판단기준을 명확히 규정한 취지와는 맞지 않아 보인다. 다만, 대법원의 입장과 같이 납품업자의 자발성을 판단함에 있어 엄격하고 구체적인 기준을 제시한다면 실제 법 적용에 있어서는 조화로운 해석이 가능하나 실제 거래관계에서 형식적인 자발성을 이유로 대규모유통업법 규정의 취지를 몰각할 여지도 있다는 점에서 대규모유통업법 제8조와 같은 형식으로 규정된 법 위반행위의 예외를 일반적으로 인정함에는 신중한 접근이 필요하다고 생각한다. 주현영 변호사(법무법인 광장)

Ⅰ. 사안의 개요 A법인은 주식회사로서 용인시에서 모텔을 운영하는 공중위생영업자(숙박업자)이다. 위 모텔 508호에서 2018. 11. 25.경 여자 청소년 2명과 남자 청소년 1명이 혼숙하였다. 용인동부경찰서장은 이를 적발하여 2018. 12. 20. 용인시장에게 통보하였다. 위 사건 당시 현장근무자이던 종업원 B와 현장에 있지 않았던 A법인의 대표자 C는 2018. 12. 26. 위 청소년 남녀혼숙을 이유로 한 청소년보호법위반의 점에 관하여 각 혐의없음 처분을 받았다. 용인시장은 2019. 2. 8. A법인에 대하여 「청소년 보호법」 제30조 제8호에서 금지하는 ‘청소년을 남녀혼숙하게 하는 영업행위’를 하였다는 이유로 공중위생관리법 제11조 제 1항 제8호, 제11조의 2 제1항에 따라 영업정지 1개월에 갈음하여 과징금 189만 원을 부과하는 이 사건 처분을 하였다. Ⅱ. 쟁점 이 사건 위반행위를 이유로 A법인에 대하여 위 법조항을 적용하여 제재처분을 할 수 있는지 여부이다. 보다 구체적으로 말하자면 ‘청소년을 남녀혼숙하게 하는 영업행위’를 하였다고 보기 위해서는 숙박업자나 그 종업원이 투숙객이 청소년임을 알면서도 혼숙하게 하였다는 점이 인정되어야 하는지 여부이다. Ⅲ. 대상판결의 요지 대상판결은, 「행정법규 위반에 대한 제재처분은 행정목적의 달성을 위하여 행정법규 위반이라는 객관적 사실에 착안하여 가하는 제재이므로, 반드시 현실적인 행위자가 아니라도 법령상 책임자로 규정된 자에게 부과되고, 특별한 사정이 없는 한 위반자에게 고의나 과실이 없더라도 부과할 수 있다(대법원 2017. 5. 11. 선고 2014두8773 판결 등 참조). 이러한 법리는 공중위생관리법 제11조 제1항 제8호, 제11조의2 제1항에 따라 공중위생영업자에 대하여 ‘청소년 보호법’ 위반을 이유로 영업정지에 갈음하는 과징금 부과 처분을 하는 경우에도 마찬가지로 적용된다(대법원 2004. 1. 16. 선고 2003두12264 판결 등 참조).」 「이 사건 숙박업소에서 청소년인 이 사건 투숙객들이 남녀 혼숙한 이상 공중위생영업자인 원고가 공중위생관리법 제11조 제1항 제8호에서 금지하는 ‘청소년을 남녀혼숙하게 하는 영업행위“를 하였다고 보아야 한다. 원고의 대표자나 그 종업원 등이 이 사건 투숙객들이 청소년이라는 점을 구체적으로 인식하지 못했더라도 마찬가지이다.」 라고 판시하였다. Ⅳ. 대상판결의 법리오해 대상판결이 원용한, 기존 대법원판례의 판시취지 즉, 「행정법규 위반에 대하여 가하는 제재조치는 -중략- 반드시 “현실적인 행위자”가 아니라도 법령상 책임자로 규정된 자에게 부과되고 원칙적으로 “위반자”의 고의ㆍ과실을 요하지 아니하나」 라고 한 판시에서 “위반자”는 행정처분의 대상자인 법령상 책임자를 말하는 것이지 현장에 있던 종업원 즉, 현실적인 행위자를 지칭하는 것이 아님에도, 대상판결은 “위반자”를 현실적인 행위자까지 포함하는 것으로 오해하였다. 대상판결이, 「이 사건 숙박업소에서 -중략- ‘청소년을 남녀혼숙하게 하는 영업행위’를 하였다고 보아야 한다. A법인의 대표자나 그 종업원 B 등이 이 사건 투숙객들이 청소년이라는 점을 구체적으로 인식하지 못했더라도 마찬가지이다.」 라고 설시한 점에서 이는 명백하다. 기존 대법원판례의 판시취지는, 현실적인 행위자 즉, 종업원이 청소년 남녀혼숙을 (적어도 미필적 고의로) 시킨 경우에, 현장에는 없어서 그 사실을 몰랐던 사업자 즉, 법령상 책임자에게 고의, 과실이 없더라도 행정상 제재 즉 행정처분을 가할 수 있다는 의미이다. 대상판결은, 사업자와 종업원이 청소년 남녀혼숙 사실을 전혀 모르고 있었던 경우에도 즉, 청소년 남녀혼숙 사실에 대한 인식이 없었더라도 (미필적 고의가 인정되려면 최소한 인식을 전제로 함), 청소년 남녀혼숙 사실 자체만 존재하면 사업자에게 행정처분을 가할 수 있다고 크게 오해하였다. 대상판결은, 청소년보호법 제30조 제8호의 범죄행위의 주체는 “누구든지”이고, 청소년 남녀혼숙에 대하여 행정제재를 가할 때의 공중위생관리법 제11조 제1항 제8호의 적용 대상은 “공중위생영업자”인 점에 유의하지 않았다. 위 청소년보호법위반의 범죄행위가 성립하려면 법령상 책임자(공중위생영업자)이든 종업원이든 누구든지 고의가 있어야 성립하고(고의, 과실 등 주관적 불법요소가 없는 행위로 형사처벌받지 않는 것은 췌언을 요하지 않음), 위 범죄행위가 성립하면 “공중위생영업자”는 본인의 고의, 과실이 없더라도 공중위생관리법에 따라 행정제재를 받을 수 있다는 의미이다. 법 규정의 형식, 내용에 비추어 보더라도 누군가의 청소년보호법위반(형사책임)이 있음이 전제되어야 공중위생영업자에 대한 행정제재가 가능함은 명백하다. 이것이 기존의 확립된 대법원판례이다. 실질적으로 사업자에게 미치는 영향이 행정제재(영업정지처분, 과징금 부과처분)보다 훨씬 약한 행정질서벌(과태료) 부과에 대하여까지 고의, 과실을 요구하고 있음에 유의할 필요가 있다(질서위반행위규제법 제7조). Ⅴ. 기존 대법원판결들의 분석 (1) 대법원 1994. 1. 11. 선고 93누22173 판결 이 사안은 사업자와 현실적인 행위자가 동일인인 사안으로 보인다. 고의 내지는 인식이 있어야 함을 명백하게 설시하고 있다. 대상판결의 판시취지대로라면, 이 판결 사안에서, 숙박업자가 공중위생법을 위반한 것으로 되어 행정처분을 받거나, 공중위생영업자의 의무 위반을 탓할 수 없는 정당한 사유가 있는 경우에 해당한다는 이유로 제재처분을 할 수 없다고 판시했어야 할 것이다. (2) 대법원 2005. 5. 27. 선고 2005두2223 판결 식품위생법 제31조 제2항 제4호에 규정된 '청소년에게 주류를 제공하는 행위'위반으로 영업정지처분을 받은 사업자에 대하여 고의가 인정되어야 함을 명백하게 설시하고 있다. 이 사안도 사업자와 현실적인 행위자가 동일인인 사안으로 보인다. (3) 대법원 2001. 10. 9. 선고 2001도4069 판결, 대법원 2002. 1. 11. 선고 2001도6032 판결은, 고의(인식)가 인정되지 않는다는 이유로 음식점 운영자가 식품위생법 제31조 제2항 제4호에 규정된 '청소년에게 주류를 제공하는 행위'를 하였다고 볼 수는 없다는 취지의 형사판결이다. (4) 대법원 2014. 10. 15. 선고 2013두5005 판결의 사안은, 현실적인 행위자는 근로자들(버스기사들)이나 구 여객자동차 운수사업법(2012. 2. 1. 법률 제11295호로 개정되기 전의 것) 제10조 위반(임의결행)의 주체로 사업자만 규정되어 있으므로 현실적인 행위자들에게 고의가 인정되는 것은 명백하나 행정법규위반은 되지 아니하고, 사업자는 고의 과실이 없더라도 위 법 제10조 위반이 된다는 취지이다. 어쨌든 현실적인 행위자의 고의에 의한 행위가 존재한다. (5) 대법원 2014. 12. 24. 선고 2010두6700 판결의 사안도, 현실적인 행위자는 갑 주식회사의 임직원이고 입찰참가시 임직원이 고의로 허위서류를 제출한 사실이 인정되나, 국가를 당사자로 하는 계약에 관한 법률 제27조 제1항, 국가를 당사자로 하는 계약에 관한 법률 시행령 제76조 제1항 위반의 주체를 사업자(부정당업자)로 한정하였고, 현실적인 행위자를 위반의 주체로 규정하지 않았다. 그러한 점에서 대법원 2013두5005 판결의 사안과 구조가 동일하다고 할 것이다. (6) 대법원 2017. 5. 11. 선고 2014두8773 판결은, 대부업등록을 한 법인인 당해 사건의 원고회사의 직원이 현실적인 행위자로서 고의가 인정되는 사안이다. (7) 대법원 2017. 4. 26. 선고 2016두46175 판결은, 현실적인 행위자인 소외인이, 할부거래법이 필수적인 등록취소사유로 규정한 사유에 해당하는 요건에 관하여 사전에 고의 내지 인식이 있었다고 인정되는 사안이다. (8) 대법원 2020. 5. 14. 선고 2019두63515판결은, 현실적인 행위자인 농심원 영농조합법인의 임직원의 고의가 인정됨을 전제로 파기환송판결을 하고 있는 사안이다. (9) 대상판결이 원용한 대법원 2004. 1. 16. 선고 2003두12264 판결이 유일하게 대상판결과 유사한 취지의 판시를 하고 있는 것으로 보이나, 이 대법원판결은 대법원이 제공하는 대법원종합법률정보에도 게시하지 아니한 판결이고, 그 이전·이후의 확립된 대법원판례의 판시취지와 상반된 판결로서 전원합의체판결도 아니므로 판례로서의 가치가 없다고 할 것이다. Ⅵ. 결어 대상판결이, 논란의 여지가 전무한 기본적인 법리를 오해하여, 제대로 적법하게 판시한 고등법원 판결을 파기환송한 것은, 법률신문 2020. 4. 2.자 사설에서 지적한 사례 즉, 군형법 제60조의 6의 '군인등에 대한 폭행죄의 특례'를 간과하여 적법하게 판결한 군사법원의 판결을 대법원이 파기환송한 것과 마찬가지로 대법원이 적극적인 오류를 범한 것이다. 불과 석달만에 대법원의 이러한 잘못이 반복되는 것은 대단히 걱정스러운 현상이다. 임호영 대표변호사 (법무법인 경원)

2016년 2,500만 건의 고객정보를 유출 당한 인터파크에게 방통위는 44억 8,000만 원의 과징금을 부과했다. 이는 개인정보 유출 관련 정부가 부과한 과징금액으로는 역대 최고 금액이다(참고로 민사에서 최대 배상금액을 기록한 소송은 단연 신용카드 3사 개인정보유출 사건이다). 인터파크는 방통위의 과징금 처분에 불복하여 행정소송을 제기했으나 1심 서울행정법원 및 항소심 서울고등법원에서 패소했다. 소송에서는 인터파크의 법위반행위와 해킹 간 인과관계 여부가 주된 쟁점이었다. 법원은 방통위 처분을 지지하면서 “유출사고가 난 이상 이것과 법위반행위 사이의 인과관계가 입증되지 않았더라도 과징금을 부과할 수 있다”고 해석했다. 본고에서는 이 쟁점에 대해 살펴본다. 인터파크가 당한 해킹의 유형은 APT(Advanced Persistent Threat) 공격이다. 이는 해커가 특정 목표 대상을 정한 후 그 허점을 집요하게 노려 침입하는 기법이다. 해커는 인터파크 직원 A의 가족사진을 가지고 화면보호기(SCR 파일)를 만들고 여기에 악성코드를 심어 A에게 이메일로 전송하면서, 마치 A의 친동생이 보내는 것처럼 발신 이메일 주소를 위장하고 동생의 어투까지 흉내냈다. A는 감쪽같이 속을 수밖에 없었다. 화면보호기의 확장자가 EXE가 아니라 SCR이라서 A는 별 의심을 하지 않고 첨부파일을 열었을 것이나, SCR 파일도 악성코드 유포용으로 사용될 수 있다. 특정 공격을 위해 특별 제작된 악성코드는 백신에도 탐지되지 않는다. 해커는 악성코드를 감염시킨 A의 PC를 거점으로 삼아 DB 관리자 직원 B의 PC에 원격 데스크탑 접속했다. 당시 B가 퇴근한 시간이었는데, 그때까지 DB 서버와의 접속이 유지된 터미널이 B의 PC에 그대로 떠 있었다고 한다. 자동 로그아웃(이하 ‘idle timeout’) 설정이 제대로 안 되어 있었기 때문이다. 덕분에 해커는 DB 서버에 손쉽게 침입할 수 있었는데, 여기에서 인터파크 회원들의 개인정보가 유출된 것이 바로 이번 사고이다. 정보통신망법의 위임을 받아 개인정보의 기술적·관리적 보호조치의 내용을 정한 방통위 고시는 개인정보처리시스템에 idle timeout 설정을 할 의무를 규정하고 있다. 그러한 법상 의무를 위반하면 그 자체로 과태료, 개인정보 유출까지 되면 과징금 부과 대상이다. 부수적으로, A의 PC를 손에 넣은 해커가 인터파크 사내 네트워크를 스캔했더니 업무용 파일서버가 발견되었다. 거기에는 패스워드 장부 엑셀파일이 있었다. 직원들이 수많은 인터파크 서버들의 접속계정을 외우기 어려워 이를 메모해둔 것이었다. 다만, 개인정보가 유출된 DB 서버의 접속 패스워드는 여기에 없었다고 한다. 즉, 패스워드 장부 노출이라는 법위반행위와 개인정보 유출 사이에는 인과관계가 없음이 분명했다. 그런데 방통위는 idle timeout 미설정은 물론 및 패스워드 장부 노출까지 모두 처분원인사실로 삼아 과징금을 부과했다. 인터파크는 행정소송에서 idle timeout 미설정은 APT 해킹의 핵심 원인이 아니다, 나아가 패스워드 장부 노출과 개인정보 유출은 인과관계가 전혀 없다고 주장했다. 인터파크를 패소시킨 1심 및 항소심 법원은 인과관계 자체가 과징금 부과 요건이 아니라고 근거법률을 해석했다. 개정 전 법조문은 “법상 '조치'를 하지 아니하여 이용자의 개인정보를 '유출'한 경우에는 과징금을 부과한다”는 구조로서 '미조치'가 '유출'의 원인이 되어야 한다는 뜻이 명확했다. 이와 달리 2014년 개정된 법조문은 “이용자의 개인정보를 '유출' 한 경우로서 법상 '조치'를 하지 아니한 경우에는 과징금을 부과한다”는 형식으로 바뀌었다. 이를 근거로 법원은 '유출'이라는 결과와 '미조치' 행위가 인정되기만 하면 둘 사이의 인과관계는 요구되지 않는다고 해석했다. 그러나, 해킹의 원인을 제공하지 않은, 즉 ‘인과관계’ 없는 사업자의 위반행위까지 과징금 처분사유가 될 수 있다고 본 법해석에 대해서는 재고의 여지가 있다고 사료된다. 민사와 형사의 영역에서는 자신의 행위와 인과관계 없는 결과에 대해서 법적 책임을 지는 경우는 있을 수 없다. 형법 제17조(인과관계) 및 민법 제750조(불법행위의 내용) 모두 ‘인과관계’를 법적 책임의 성립요건으로 요구한다. 이것이 법의 대원칙이다. 행정상의 제재 또한 특별한 사정이 없다면 마찬가지이다. 행정상 금전제재는 크게 과징금과 과태료로 나뉜다. 일반론적으로, 단지 절차를 위반한 행위에 대해서는 행정질서벌의 일종인 과태료(가벼운 제재)가 부과되는데 그치는 반면, 행정목적을 침해하는 결과까지 야기한 행위에 대해서는 행정벌의 일종인 과징금(무거운 제재)이 부과된다. 정보통신망법 또한 이 체계에 따라 과태료와 과징금의 각 구성요건이 차등되어 있다. 사업자가 단지 idle timeout과 같은 법상 조치를 불이행한데 그쳤다면 3,000만 원 이하의 과태료를 부과 받지만(제76조 제1항 제3호), 더 나아가 개인정보 유출(해킹)이라는 결과까지 야기했다면 관련매출액에 비례하는 과징금을 부과 받는다(제64조의3 제1항 제6호). 해킹을 당했다는 결과에 대해 사업자에게 과징금이라는 법적 책임을 지우려면, 마땅히 사업자의 행위와 결과 사이에 ‘인과관계’가 존재해야 한다. 이것이 법의 대원칙에 부합하는 해석으로 사료된다(만약 해킹과의 인과관계를 불문하고 과징금을 부과하는 쪽으로 제도를 바꾼다면 굳이 행정질서벌을 운영할 필요가 없으니 과태료 조항을 폐지하는 것이 균형에 맞을 것이다). 이러한 원칙에 부합하도록 개정 전 정보통신망법 제64조의3 제1항 제6호는 ‘조치를 하지 아니하여 이용자의 개인정보를 누출’이라는 형식으로 규정함으로써 미조치가 해킹의 원인을 제공했어야 한다는 요건을 명시하고 있었다. 그러다가 2013. 11. 21. 방통위가 입법예고한 정보통신망법 일부개정안에서 “현재 대규모 개인정보 누출 등 침해사고 발생시 기술적·관리적 보호조치 위반과의 인과관계 입증이 어려움” 이라는 이유를 들어 과징금 부과요건 중 ‘인과관계’ 요건을 삭제할 것이 제안되었다. 참고로 이때까지는 개인정보 유출(해킹) 사고에 대해 과징금 처분이 내려진 전력이 없었다(2014. 6. 26. 비로소 첫 과징금 사건인 KT 마이올레 사건의 방통위 처분이 내려졌다). 위 방통위가 제안한 내용의 정보통신망법 제64조의3 제1항 제6호 개정안은 독자적인 법안으로 국회에 발의되지는 않은 것으로 보이고, 대신 2014. 5. 2. 국회 본회의를 통과한 대안법안의 일부로서 반영되었다. 그런데 정작 그 대안법안의 의안원문 및 이에 관한 국회 검토보고서, 소관위 회의록 등 가운데 ‘인과관계’ 입증 없이도 과징금을 부과할 수 있도록 한다는 기재는 어디에도 없다. 즉, ‘인과관계’ 요건을 삭제하는 개정안이 국회에서 논의라도 되었는지 의문이다. 참고로 그 당시는 신용카드 3사 개인정보 유출 사고 사실이 2014. 1. 8.자 검찰 발표에 의해 알려진 이래 국회에서 앞 다투어 개인정보 규제를 강화하는 법안들이 발의된 시점이어서, 위 대안법안에는 무려 18건의 발의안이 통합되어 있었다(예컨대 300만 원 이하 법정손해배상 규정도 이 때 신설된 것이다). 따라서 입법자의 의도에 ‘인과관계’ 요건 삭제가 포함되어 있는지 여부는 불명확한 측면이 있으며, 만약 진정한 입법의도가 그러했다면 위헌 소지를 검토해 보아야 한다. 무엇보다도 과징금 부과요건에서 ‘인과관계’를 뺄 경우, 민사상 손해배상 요건과 균형이 맞지 않게 된다. 정작 본인의 정보를 유출 당한 이용자는 사업자를 상대로 민사소송을 제기하더라도 사업자의 과실과 해킹 간 인과관계가 입증되지 못하면 손해배상을 받을 수 없다. 행정청은 피해자인 일반 국민들보다 현저히 강력한 조사권한을 가졌음에도 ‘인과관계’ 요건 입증을 생략하고 과징금이라는 공법적 제재를 손쉽게 부과할 수 있어야 하는지, 응보와 억지가 피해배상보다 우선되어야 하는 가치인지는 심히 의문스럽다. 향후 만약 행정청이 ‘인과관계’ 요건 입증을 생략하고 과징금을 부과할 경우, 이번 판결이 해석한 입법의도와는 오히려 반대로, 피해자들이 제기한 민사소송에서 별도로 인과관계 요건을 입증하는데 곤란을 겪어 이용자 구제에 흠결을 낳을 수도 있다. 한편, 만약 본고의 주장에 따라 ‘인과관계’를 여전히 현행법상 과징금 부과요건으로 해석할 경우, 인터파크 사건에서 두 처분사유와 해킹 사이의 인과관계는 존재하는가. 제1처분사유와 해킹 사이의 인과관계 유무는 곧 “Idle timeout 조치를 취했을 때 인터파크가 당한 유형의 APT 해킹을 통상 막을 수 있는가”의 문제로 점철된다. 이는 세부 사실관계에 따라 판단 여지가 있는 문제이다. 인터파크 사건의 경우, 해커가 DB 관리자 B의 PC(관리용 단말기)에 원격 데스크탑으로 접속해보니 마침 B가 퇴근하여 자리를 비운 상태에서 망분리 프로그램 및 DB 서버 접속 터미널이 로그아웃 되지 않고 그대로 떠 있었다. 이와 달리, 위 망분리 프로그램 및 DB 서버 접속 터미널에 최대접속시간이 설정되어 있었고 해커가 B의 PC에 접속했을 때 위 터미널이 로그아웃 된 상태였다고 가정했을 때, 과연 해커가 DB 서버에 침입할 수 있었을지 여부가 관건이다. 만약 예컨대 해커가 B의 PC에 키로거 등을 용이하게 설치할 수 있는 상황이었다면, 해커로서는 수고스럽더라도 위 PC에 키로거를 심어 내부망 ID·PW 및 DB 서버 ID·PW를 도청할 수 있었을 것이고, 이 경우 idle timeout 조치를 했었더라도 해킹은 막지 못하게 된다. 이러한 맥락에서 싸이월드 판결은 DB 서버 계정 ID·PW가 해커에게 이미 도청당한 상태에서 idle timeout 설정은 무용지물이라는 이유로 그 미설정과 해킹 사이의 상당인과관계를 부정한바 있었다. 달리 가정하여, 만약 해커가 B의 PC 제어권한을 완전히 탈취하지 못했거나, 또는 해커의 관점에서 우연히 접속해 본 B의 PC가 DB 관리자의 것인지조차 알기 어려운 상황이었다면, DB 서버 접속 터미널이 idle timeout 되지 않고 그대로 떠 있었던 것이 해킹의 결정적 계기를 제공한 셈이므로 상당인과관계가 인정될 수 있을 것이다. 한편, 적어도 두 번째 처분사유와 해킹 사이에는 인과관계가 없다는 점은 분명하다. DB 서버의 관리자 비밀번호는 문제된 패스워드 장부 엑셀파일에 쓰여 있지 않았고, 해커는 다른 경로로 DB 서버에 침입했으므로, 위 패스워드 장부 엑셀파일이 노출된 것은 DB 서버 해킹의 원인과 무관하다. 해킹과 인과관계 없는 위반행위는 과태료 부과 대상이어야 마땅하다. 그런데 인터파크의 입장에서는 다른 경로로 해킹을 당했다는 우연한 사정으로 인해, 해킹의 원인이 아닌 행위에 대해서까지 경한 과태료 대신 중한 과징금을 부과 받게 된 셈이다. 요컨대, 정부가 ‘인과관계’를 입증하기 곤란하다는 이유로 이것을 과징금 부과요건에서 뺀다는 것은 근시안적인 접근이다. 정부의 역할은 침해사고 원인조사의 실효성을 높임으로써 해킹과 ‘인과관계’ 있는 취약점이 무엇이었는지를 현장에서 밝히는 것이 되어야 한다. 그렇다면 기술적·관리적 보호조치 고시는, idle timeout과 같은 지엽적인 의무를 나열할 것이 아니라, 로그(Log) 보존 등 사고조사에 꼭 필요한 조치의무를 강화하는 방향으로 향후 개정되어야 하지 않을까. 전승재 변호사 (법무법인(유한) 바른)