- 대법원 2018. 5. 30. 선고 2017도607 판결 - 1. 공소사실 및 대상판결의 요지 공소사실은, “피고인은 인터넷 커뮤니티 ‘일베’에서 피해자를 사칭하여 저속한 게시글들을 올림으로써 피해자의 명예를 훼손하였다”는 것입니다. 이에 대해 1, 2심은 유죄로 판단하였으나, 대법원은 “명예훼손죄란 어느 사람에 대한 구체적인 사실관계를 보고하거나 진술할 때 성립하는 죄인데, 타인을 사칭하여 마치 피해자가 직접 작성한 것처럼 가장하여 게시글을 올리더라도 이는 피해자에 대한 사실을 드러내는 행위가 아니므로 명예훼손행위에 해당하지 않는다”는 이유로 무죄취지 파기환송하였습니다. 2. 타인 행세는 적법한가 대상판결은 죄형법정주의 원칙에 따른 전형적인 판결입니다. 대상판결은 언론보도와 블로그 등에 많이 소개되고 있는데, 이에 대해선 피해자가 ‘일베’에 저속한 글들을 올리는 사람으로 보이면 명예가 훼손될 것은 뻔한 일인데, 어떻게 무죄가 선고될 수 있느냐며 분개하는 반응도 많습니다. 그러나 대상판결은 '형사재판이 당연히 그러하듯' 이 사건 공소사실을 명예훼손죄로 처벌할 수 없다는 것일 뿐, 그러한 행위가 적법하다는 뜻은 전혀 아닙니다. 타인을 사칭하거나 저속한 글을 올리는 것이 나쁜 행동임은 누구나 아는바, 이를 대법원이 모를 리 없습니다. 그렇다면, 타인을 사칭하여 명예를 훼손하는 행위에 대해선 어떤 법적 대비책이 있을까요. 우선, 피해자 입장에서는 민사상 불법행위 책임을 물을 수 있습니다. 고의 또는 과실로 인한 위법행위로 타인에게 손해를 가한 자는 그 손해를 배상할 책임이 있는데(민법 제750조), 표현행위의 위법성 여부는 사회공동체의 건전한 상식과 관행에 비추어 볼 때 용인될 수 있는 정도의 것인지 여부에 따라 결정되고(대법원 1998. 2. 10. 선고 95다39533 판결), 불법행위의 성립요건으로서의 과실은 그때 그때의 구체적인 사례에 있어서의 보통인을 기준으로 판단되므로(대법원 2001. 1. 19. 선고 2000다12532 판결), ‘상식적으로 잘못된 행동은 곧 민사법원에서 심판을 받는다’고 생각해도 무방할 것입니다. 다음으로, 타인을 사칭하는 것은 일종의 속임수이고, 기망이란 ‘위계’의 전형적인 태양입니다. 인터넷실명제가 실시되고 있지 않은 현실에서 닉네임을 사용하는 것은 적법하다고 하더라도 비방할 목적으로 타인을 사칭하는 것은 인터넷질서를 어지럽히는 부당한 행위로서 인터넷서비스제공자의 업무를 방해하는 것으로 평가될 여지가 큽니다. 업무방해죄는 친고죄나 반의사불벌죄가 아니므로, 검사는 명예훼손으로 고소가 되었더라도 업무방해죄로 기소할 수 있습니다. 그 외에 게시글이 제3자에 대한 구체적인 사실관계를 담고 있다면 - 명의를 사칭당한 피해자가 아닌 - 제3자를 대상으로 한 명예훼손죄로 처벌할 수도 있습니다. 이러한 법적 제도에도 불구하고 타인 명의를 사칭해서 나쁜 행위(표현)을 함으로써 명예를 훼손하는 행위에 대한 직접적인 처벌이 필요하다는 국민들의 공감대가 있다면 결국 ‘입법’을 통해야 할 것입니다. 3. 판례로서의 의미 그런데 대상판결은 타인 명의 사칭에 대하여 처음 나온 판결이 아닙니다. 대법원은 이미 대법원 2016. 3. 24. 선고 2015도10112 판결에서 동일한 취지의 판시를 한 바 있습니다. 게다가 위 대법원판결은 대법원판결로서는 처음이었지만, 완전히 새로운 판결이 아니라 제1, 2심의 무죄판단을 그대로 유지한 것이었습니다. 위 대법원판결은 법률신문을 비롯한 여러 언론에 보도되었고 대법원홈페이지에도 소개되었습니다. 그럼에도 불구하고 원심은 대법원판례와 어긋나는 판결을 하였으므로, 아무리 벌금 70만원 짜리 ‘고정(약식명령에 대한 정식재판청구)’사건이라지만 대법원으로서는 파기가 불가피했을 것입니다. 통일적인 법리해석은 대법원의 핵심기능이기 때문입니다(게다가 위 대법원판결과 대상판결의 주심대법관은 같은 분입니다). 대상판결은 판결이유에서 위 대법원판결을 적시한 다음 “그런데도 그 판시와 같은 이유만으로 이 사건 공소사실을 유죄로 인정한 원심판결에는 정보통신망법 제70조 제2항에 관한 법리를 오해한 잘못이 있다”라고 하면서 원심판결을 파기하였는데, 주심대법관의 깊은 빡침(?)이 느껴지는 듯 합니다. 박종명 변호사 (법무법인 강호)

서울중앙지방법원 2017. 11. 6. 선고 2016가단5146446 손해배상(기) 판결 이 사건은 인터넷 쇼핑몰 가맹점주가 해당 인터넷 쇼핑몰 구축·관리업체를 상대로 결제정보 해킹의 피해에 따른 손해배상책임을 물은 사건이다. 사건의 개요는 다음과 같다. 원고를 포함한 5명의 가맹점주는 2012.경 홈페이지 제작업체인 피고와 인터넷 쇼핑몰 구축계약을 체결하고 피고에게 시스템 구축 비용 1,000만원 및 시스템 운영을 위한 서버 호스팅과 유지보수 서비스 제공의 대가로 매월 60만원을 지급하고 쇼핑몰 영업을 하고 있었다. 그러던 중 2016. 3. 29. A가 이 사건 쇼핑몰 사이트에서 원고가 판매하는 3,170만원 상당의 고가의 시계 3점을 주문결제하면서 한국사이버결제에 전달되는 주문서 페이지에 표시되는 결제금액을 실제와 다르게 19,100원으로 변조하는 사고가 발생하였다. 결제금액 해킹을 눈치 채지 못한 원고는 위 주문결제가 정상적으로 이루어졌다고 오인하고 그 다음날 A에게 위 물품들을 배송하였다. 참고로 이 인터넷 쇼핑몰의 물품대금 결제방식은 다음과 같았다. 고객이 쇼핑몰 홈페이지에서 물건을 구입하고 결제 관련 개인정보를 제공하면서 주문결제를 하면 쇼핑몰은 결제 대행사(PG)인 한국사이버결제에 결제승인 요청을 하고, 한국사이버결제는 이 정보를 받아 다시 카드사에 결제승인 요청을 한다. 이러한 결제승인 요청이 이루어지면 위 과정의 역순으로 카드사는 한국사이버결제에 거래승인 응답을 하게 되고 한국사이버결제가 이 정보를 받아 다시 인터넷 쇼핑몰에 거래승인 응답을 전송하면 인터넷 쇼핑몰은 고객에게 상품을 배송한다. 정상적인 거래라면 위와 같은 과정으로 결제가 이루어져야 하지만 A는 이 사건 인터넷 쇼핑몰에서 물건을 주문한 뒤 한국사이버결제로 보내는 결제 인증값을 가로챈 뒤 가격을 임의로 고쳐 재전송하는 방식으로 해킹한 것이다. 이에 원고는 피고와 체결한 계약에 정해진 구축범위에는 물건 주문과 관련하여 ‘장바구니, 주문결제, 주문완료’가 포함되어 있으므로 피고는 위 해킹사고를 방지하기 위한 결제시스템을 이 사건 사이트에 구축할 계약상 의무가 있는데 피고가 채무이행을 게을리하여 사고가 발생하였으므로 그로 인한 손해배상을 구하였다. 위 청구에 대하여 피고는 피고의 채무는 이 사건 사이트를 구축해 주는 것일 뿐이지 보안시스템을 구축하는 것이 아니고 위 사고는 제3자의 해킹으로 발생한 보안사고이므로 피고에게 책임을 물을 수 없다고 다투었다. 이 사건을 심리한 재판부는 결과적으로 원고의 청구를 인용하면서도 원고 측의 과실을 50% 인정하였다. 그 판단의 논거는 다음과 같다. “한국사이버결제는 인터넷 쇼핑몰 사이트의 주문서 페이지 결제금액이 해킹되는 위·변조되는 사고가 자주 발생하자, 2012년 4월부터 서비스 이용자들이 상품가격 정보를 제공해주면 실제 상품가격과 결제금액을 비교해 서로 다를 경우 결제 요청을 거절하는 기능을 무료로 제공해왔다. 이 사건 사이트가 원활히 운영될 수 있도록 시스템을 구축할 의무가 있는 피고는 인터넷을 이용한 결제시스템 작동 방식과 취약점에 대해 잘 알고 있을 뿐만 아니라, 위·변조 방지기능이 쇼핑몰 사이트 운영에 필요하고 중요한 기능이라는 점을 알았거나 알 수 있었을 것으로 보인다. 따라서 피고가 이 사건 사이트를 제작할 당시 이미 한국사이버결제가 제공하고 있던 위·변조 방지기능을 적용하는 것은 피고가 이행해야 할 채무의 범위에 해당한다. 원고는 위 시계 3점을 2850만원에 구입한 후 이에 이익을 붙여 3170만원에 판매하려 하였고 원고가 입은 손해는 위 구입가격을 기준으로 산정하는 것이 타당하므로 원고가 입은 손해는 28,480,900원(28,500,000원 -19,100원)이다. 다만 이 사건 사이트를 관리하였던 B(피고 직원이 아니고 오히려 원고 측 인물로 보임)가 한국사이버결제로부터 위·변조 방지 기능에 대하여 전자우편을 통해 안내를 받았으나 위와 같은 기능을 이 사건 사이트에 적용해 달라고 요구하지 않았고, 원고는 피고가 제공하는 관리시스템에 접속하여 결제와 관련된 내역을 확인할 수 있었는데 실제로 결제된 금액을 확인하지 않고 위 물품들을 배송한 잘못이 있고 이러한 원고 측의 과실은 손해발생에 상당한 원인으로 작용하였으므로 피고의 배상액을 50%로 제한한다. 이 사건에서 A는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항(누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다) 위반죄로 처벌되고 원고에게 불법행위에 따른 손해배상책임을 진다는 점은 명백하지만 변제자력이 없어서인지 이 사건에서 원고는 A를 피고로 하지 않았다. 피고의 경우 원고 외 5인과 체결한 계약 내용에는 직접적으로 결제 시스템에 위·변조 방지기술을 적용한다고 명시하지는 않았더라도 피고의 지위와 계약내용을 전체적으로 고려할 때 원활한 사이트 운영을 위하여 위·변조 방지기능을 적용하는 것은 주된 급부의무의 내용으로 보여진다. A의 불법행위로 인한 손해배상채무와 피고의 채무불이행(불완전이행)으로 인한 손해배상채무는 서로 별개의 원인으로 발생한 독립된 채무이나 동일한 경제적 목적을 가진 채무로서 서로 중첩되는 부분에 관하여는 일방의 채무가 변제 등으로 소멸하면 타방의 채무도 소멸하는 부진정연대의 관계에 있다. 또한 위와 같은 부진정연대채무의 관계에 있는 복수의 책임주체 내부관계에 있어서는 형평의 원칙상 일정한 부담 부분이 있을 수 있으며, 그 부담 부분은 각자의 고의 및 과실의 정도에 따라 정하여지는 것으로서 부진정연대채무자 중 1인이 자기의 부담 부분 이상을 변제하여 공동의 면책을 얻게 하였을 때에는 다른 부진정연대채무자에게 그 부담 부분의 비율에 따라 구상권을 행사할 수 있다. 한편 과실상계와 관련하여, 대법원은 “불법행위로 인한 손해배상의 범위를 정함에 있어 피해자의 과실을 참작하는 이유는 불법행위로 인하여 발생한 손해를 가해자와 피해자 사이에 공평하게 분담시키고자 함에 있다고 할 것이므로, 그 피해자의 과실에는 피해자 본인의 과실 뿐 아니라 그와 신분상 내지 생활관계상 일체를 이루는 관계에 있는 자의 과실도 피해자 측의 과실로서 참작되어야 할 것이다”라고 판시하여 왔다. 판결문에 B가 원·피고들과 어떤 관계에 있는지 명확히 드러나지는 않지만 재판부는 이 사건에서 과실상계를 적용함에 있어 채택한 두 가지 논거 중의 하나로 이 사건 사이트를 관리한 B의 과실을 원고 측의 과실로 문제 삼고 있다. 도규삼 변호사

- 서울중앙지방법원 2017고합99 - 아파트 관리소장으로 근무하던 피고인은 아파트 단지 내 분쟁과 관련하여 자신의 명예를 훼손하는 행위를 확인하여 이를 알리고자 하는 목적에서 2015. 2.경부터 같은 해 4.경까지 3회에 걸쳐 아파트 관리사무소 등에 설치된 CCTV의 녹음기능을 사용하여 관리사무소 안에 있는 사람들의 대화를 녹음하거나 동대표들의 회의 과정을 녹음하여 개인정보보호법위반 및 통신비밀보호법위반으로 기소되었다 법원은 피고인이 영상정보처리기기운영자로서 영상정보처리기기의 녹음 기능을 설치목적과 다른 목적으로 사용할 수 없음에도 불구하고 녹음기능을 사용하여 공개되지 아니한 타인간의 대화를 녹음하고 이를 이용하기까지 하였다는 점을 인정하여 징역 6개월에 집행유예 1년 및 자격정지 1년을 선고하였다. 평범한 사람들의 일상적 정보가 스마트폰 등 정보통신기기, 사회 곳곳에 설치된 영상정보처리기기에 기록되면서 사생활의 비밀과 자유에 대한 침해 우려의 목소리가 높아지면서 개인정보보호법 및 통신비밀보호법에 각종 위반행위와 그에 따른 형사처벌을 세밀하게 규정하고 있다. 다만, 형법상 명예훼손죄는 진실한 사실로서 오로지 공공의 이익에 관한 때에는 처벌하지 아니한다는 위법성조작사유 규정이 있는 반면, 개인정보보호법 및 통신비밀보호법은 형법보다 무거운 형벌을 규정하면서도 특별히 위법성이 조각되는 사유를 규정하고 있지 않는다는 점을 간과해서는 아니된다. 개인정보보호법 및 통신비밀보호법의 보호법익이 개인의 사생활과 자유라고 할 때 동일한 인격권 보호를 목적으로 하는 형법상 명예훼손죄와 달리 위법성이 조각되는 사유를 규정하지 아니한 입법취지에 비추어, 이 사건 판결은 공공의 이익을 위한 것이든 개인의 이익을 위한 것이든 개인정보 등을 취득하기 위해서는 법률의 규정에 따라 법관이 발부한 영장에 의하는 것 이외에는 허용되지 않는다는 것을 다시 한번 깨우쳐 주는 판결이라고 할 것이다.

- 서울중앙지방법원 2016. 6. 15. 선고 2015가단5135685 판결 - 은행고객이 신종 보이스피싱에 속아 일회용 비밀번호(OTP, one-time password)를 유출해 돈이 이체되는 손해를 입었을 경우, OTP 비밀번호는 전자금융거래법(이하 '법') 제2조 제10호 가목 또는 나목의 수단이나 정보를 사용하는 데 필요한 비밀번호로서 접근매체에 해당하고, 이러한 금융사고는 법 제9조 제1항 제3호에서 정한 '정보통신망에 침입하여 ~ 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고'로, 은행이 고객에게 공지한 추가인증 절차를 진행하지 않은 등의 과실이 있다면 은행이 책임을 져야 한다는 판결이다. 그 사안은 다음과 같다(참고로 OTP란 인터넷뱅킹에 사용되는 보안카드 대신 모바일 프로그램이나 전용 단말기를 이용해 일회용 비밀번호를 생성하는 방식을 말한다.). 학원강사 A(43·여)씨는 2014년 9월 지방세를 납부하기 위해 B은행 인터넷뱅킹 홈페이지에 접속했다. 그런데 갑자기 화면에 '금융감독원 사기예방 계좌등록 서비스'라는 팝업창이 떴다. A씨는 보안강화를 위한 것이라 생각하고 팝업창 안내문에 따라 계좌번호와 비밀번호, 공인인증서 비밀번호, OTP 비밀번호를 입력했다. 그러자 화면에 '등록중'이라는 표시가 떴고 곧바로 A씨의 휴대전화로 전화가 왔다. 금융감독원 직원이라고 밝힌 남성은 "화면에 등록 중이라는 내용이 보이느냐, 계좌가 안전하게 등록되고 있다"고 설명했는데, 이 와중에 A씨의 휴대폰 문자메시지로 A씨의 계좌에서 2100만원이 출금됐다는 내용이 전송됐다(1차 출금). 놀란 A씨가 "계좌에서 출금된 금액이 무엇이냐"라고 묻자, 이 남성은 "전산장애이니 30분 내로 돈이 다시 들어 올 것"이라고 말하고 전화를 끊었다. 30분 뒤 OTP 비밀번호만 입력하는 창이 다시 뜨자 A씨는 다시 비밀번호를 입력했고, 그 순간 A씨의 계좌에서 5회에 걸쳐 총 900만원이 출금됐다(2차 출금). 보이스피싱에 당했다는 사실을 알게 된 A씨는, 사고 당시 공인인증서가 재발급된 사실이 없어 출금이 불가능한데도 돈이 빠져 나갔고, B은행이 공지한 것과 달리 추가인증 절차도 없이 계좌에서 돈이 빠져 나갔다며, 은행을 상대로 소송을 제기했다. B은행은 "A씨의 과실로 OTP 비밀번호가 노출돼 일어난 일"이라며 "책임이 없다"라고 맞섰다. 한편 전자금융거래법 제9조는 공인인증서나 OTP 같은 접근매체의 위조나 변조로 발생한 사고 등으로 이용자에게 손해가 발생한 경우 은행 등 금융기관이 배상해야 한다고 규정하고 있다. 다만 사고 발생에 이용자의 고의나 제3자가 권한 없이 이용자의 접근매체를 이용해 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치하는 등 중대한 과실이 있는 경우에는 책임의 전부나 일부가 감경된다. 대상판결은 다음과 같은 사실을 인정하고 은행의 책임을 긍정하였다. B은행이 홈페이지에 게시한 '전자금융사기 예방서비스 전면시행에 따른 추가인증' 공고에 따르면 '야간(21시~09시) 및 휴일 거래시 보안매체에 관계없이 1일 누적 100만원 이상 이체시 추가 인증이 있다'라고 되어 있다. 사고 발생일이 휴일이었고 이체된 금액이 100만원을 초과함에도 B은행이 공고한 추가인증 절차는 이뤄지지 않았다. A씨는 '금융거래 사이트는 주소창에 직접 입력하거나 즐겨찾기를 이용하라'라는 B은행의 권유에 따라 즐겨찾기에 등록해 놓은 홈페이지로 접속했다. B은행은 사고 당시까지 비밀번호 30~35개 중 일부를 입력하도록 하는 기존의 보안카드와 달리 OTP 방식은 외부노출과 해킹으로부터 안전한 것으로 홍보하기도 했다. 대상판결은 "보이스피싱에 대한 일반인의 인식이 높은 상황에서 A씨의 나이와 직업, 인터넷 금융거래 이용 경력 등을 고려하더라도 1차로 출금된 2,100만원에 대해 A씨에게 중대한 과실이 있다고 볼 수 없어 은행의 배상책임이 100% 인정된다. 하지만 2차로 출금된 900만원에 대해서는 A씨가 공인인증서 인증과 추가인증절차가 없이도 계좌이체가 된다는 점을 의심하지 못한 과실이 인정돼 은행의 배상 책임을 10%로 제한한다"라고 판시했다. 대상판결은 신종 보이스피싱에 속아 OTP 비밀번호를 유출해 입은 고객의 손해에 대하여 은행의 배상책임을 인정한 것으로, 실무상 참조할 만하다. 쌍방이 항소하여 항소심의 판단이 기대된다.