우리나라 최고의 게임을 운영하는 어느 인터넷회사에서 서버 업데이트를 하다가 그만 이용자들의 아이디와 패스워드가 로그파일 형태로 그대로 노출되어 사용자들이 항의를 하다가 결국 소송으로 갔다.
이 회사는 최근에 중국 해커들이 한국사람의 주민번호를 마음대로 입력하여 계정을 만들고 게임의 아이템을 모아가는 방법으로 멀쩡한 사람들(?)에게 피해를 주게 하여 언론에 크게 보도되었는데 명의를 도용당한 사람들의 제소로 해커들의 범행에 대하여 회사에게 책임이 있는지가 소송진행 중인데.....
젊은 벤처기업가의 열정으로 훌륭한 기업을 만들고
국가와 사회에 커다란 공헌을 하기 위하여 열심히 노력하지만,
역시 돈벌기도 쉽지 않고
명예를 지키면서 당당하게 살기도 쉽지 않다는 것을 뼈저리게 느끼게 되었을 것이다.
아무쪼록 이제는 더 이상
열심히 일하고도 욕먹는 일이 없었으면 좋겠다(‘06. 5. 2. 최영호변호사).
--------------------------
서울중앙지법 2006. 4. 28.선고 2005가단240057
○ 사안의 개요
1. 피고 회사는 게임사업을 운영하며 다중 이용자 온라인 롤플레잉게임(MMORPG : Massively Multiplayer Online Role Playing Game)인 리니지II 게임(이하 이 사건 게임이라고 한다)을 개발하여 그 이용서비스를 제공함으로서 수익을 올리는 회사이고, 원고들은 이 사건 게임서비스를 이용하고 있는 이용자들이다.
2. 피고 회사는 2005. 5. 11. 이 사건 게임 서버 및 네트워크 정기점검 및 업데이트 작업을 실시하는 과정에서, 담당 직원이 아이디/비밀번호 입력과 관련된 기능을 테스트하기 위하여 임시로 이용자들의 아이디와 비밀번호가 로그파일(log file)1)에 기록되도록 하였다가, 테스트 종료 후 아이디/비밀번호기록 기능을 삭제하지 않은 상태에서 서버 업데이트 작업을 마치는 바람에,
2005. 5. 11. 오전 10시부터 이 사건 게임에 접속한 이용자들에 대하여 생성된 로그파일에 이용자들의 아이디와 비밀번호가 기록되게 되는 사고(이하 ‘이 사건 사고’라고 한다)가 발생하게 되었다.
3. 피고 회사는 2005. 5. 16. 12:00경에서야 이용자들의 아이디와 비밀번호가 로그파일에 기록되고 있음을 알게 되었고, 즉시 이용자들의 게임서버 접속을 차단하고, 아이디와 비밀번호가 로그파일에 기록되도록 하는 기능을 삭제하였으며, 이미 개별 컴퓨터에 생성된 로그파일이 삭제되도록 하는 시스템 패치작업을 실시하였다.
4. 피고 회사는 이러한 시스템 패치 작업과 더불어, 2005. 5. 16. 13:20부터 15:45까지 이용자들의 게임서버 접속을 차단하고, 이 사건 사고기간(2005. 5. 11. 10:00 - 2005. 5. 16. 12:00) 동안에 이 사건 게임에 접속하였던 모든 이용자들로 하여금 주민등록번호로 동일인 확인을 거친 후에 새로운 비밀번호로 변경한 다음에만 이 사건 게임에 접속할 수 있도록 하는 조치를 취하였다.
5. 원고들은 이 사건 사고기간 동안 이 사건 게임에 접속한 이용자들이다.
6. 이 사건 게임의 로그파일은 이용자가 이용하는 컴퓨터의 하드디스크 C드라이브에 C://Program Files/ncsoft/lineageII/system/l2.log라는 경로를 가진 파일로 저장이 된다.
7. 피고 회사는 2005. 5. 16. 이 사건 사고와 관련하여 이 사건 게임 홈페이지에 이용자들에 대한 사과문을 게재하고, 유료 이용자들에게 1일간의 무료사용권을 제공하는 이외에는 이 사건 사고와 관련하여 이용자들에게 별다른 보상조치를 취한 것이 없다.
○ 관련 규정
1. 이 사건 게임서비스 이용약관 제13조 제2항에서는 “회사는 이용자의 계정 정보를 포함한 일체의 개인정보가 서비스 시스템으로부터 유출되지 않도록 하며, 제3자에게 공개 또는 제공되지 아니하도록 보호합니다”라고 정하고 있다.
2. 한편, 정보통신망이용촉진및정보보호등에관한법률(이하 ‘법’이라고 한다) 제49조에서는 “누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니된다”라고 규정하고 있다.
○ 당사자들 주장 및 쟁점
1. 원고들은 이 사건 사고로 인하여 자신들의 개인정보가 피고 회사의 과실로 인하여 유출되었으므로 피고 회사는 원고들에게 정신적 피해에 대한 위자료로 1인당 500만원씩이 손해배상을 구함.
2. 피고 회사는 이 사건 사고의 경위에 관해서는 크게 다툼이 없으나, 아이디와 패스워드만을 놓고 이를 원고들의 개인정보라고 볼 수 없고, 원고들이 실제로 입은 손해가 없으므로 손해배상청구에 응할 수 없다고 다툼.
○ 법원의 판단
1. 손해배상책임의 발생
살피건대, 피고 회사는 이 사건 게임 서비스 업자로서 이 사건 게임을 이용하는 이용자들의 개인정보가 유출되지 않도록 필요한 조치를 다하여야 할 계약상, 법상의 의무를 부담하고 있다고 할 것이다.
그런데, 앞에서 본 바와 같이 피고 회사가 이 사건 게임 서버의 업데이트 과정에서 이용자들의 개인정보인 아이디와 비밀번호가 암호화되지 않은 상태에서 로그파일에 저장되도록 함으로써, 컴퓨터에 관한 상당 수준의 전문지식이 있는 사람이라면 누구라도 그에 접근하여 이용자들의 아이디와 비밀번호를 알 수 있는 상황을 발생시킨 것은 이용자들의 개인정보를 유출되도록 한 것으로서 이는 이 사건 게임 서비스 이용계약 및 법에서 요구하는 주의의무를 다하지 않은 과실에 해당한다고 할 것이다.
따라서, 피고 회사는 이 사건 사고 기간 동안 이 사건 게임서비스에 접속하여 개인 정보 유출의 위험에 처하게 된 원고들이 입은 정신적 손해(원고들은 이 사건에서 정신적 손해의 배상만을 구하고 있다)를 배상할 책임이 있다.
피고 회사는 원고들이 이 사건 사고 기간 중에 PC방 등과 같이 불특정 다수인이 함께 사용하는 컴퓨터를 사용한 경우가 아니라 개인용 컴퓨터를 사용하여 이 사건 게임 서비스에 접속하였다면 개인정보유출의 위험이 없고,
또한 PC방 등에서 접속하였더라도 피고 회사가 신속한 패치작업을 통하여 개인 정보유출을 막았으므로 손해발생의 가능성이 전혀 없으며, 이 사건 사고 이후에도 이 사건 사고로 인하여 원고들 등 이 사건 게임 서비스 이용자들의 개인정보가 유출되어 실제로 피해가 발생한 사실이 없으므로 원고들의 이 사건 손해배상청구에 응할 수 없다는 취지의 주장을 하고 있으나,
오늘날과 같이 컴퓨터 기술과 인터넷의 발전에 수반하여 해킹 등 타인의 정보를 불법적으로 수집하는 방법도 고도로 발달되어 있는 상황에서는 이 사건 사고로 인하여 원고들의 개인정보가 공개된 로그파일이 PC방 등에 있는 컴퓨터가 아닌 개인용 컴퓨터에 저장되었다 하더라도 원고들의 개인정보유출의 위험이 없다고 볼 수 없고,
피고 회사의 주장에 의하더라도 2005. 5. 16. 12:00경 이전에는 피고 회사는 이 사건 사고로 인한 피해예방조치를 취하지 않았을 뿐만 아니라, 이 사건 사고발생 사실도 제대로 알지 못하고 있었다는 것이고,
이 사건 재판 과정에 나타난 증거들에 의하면 피고 회사가 2005. 5. 16. 12:00이후에 PC방 등에서 패치 작업을 한 이후에도 상당 기간 동안은 로그파일의 개인정보가 그대로 남아 있어서 개인정보유출의 위험이 존재하였던 사실을 인정할 수 있으며, 또한 피고 회사의 주장대로 이 사건 사고로 인하여 유출된 원고들의 개인 정보를 이용한 다른 사고가 확인된 바가 없다고 하더라도 원고들이 정신적 손해를 입지 않았다고는 말할 수 없으므로 피고회사의 위 주장은 받아들이지 아니한다.
2. 손해배상책임의 범위
그렇다면, 피고 회사가 원고들에게 배상해야하는 손해배상의 범위에 관하여 보건대, 오늘날과 같이 컴퓨터 기술과 인터넷이 고도로 발달한 사회에서는 개인 정보의 유출이 가져올 수 있는 피해가 심각하다는 점,
피고 회사와 같이 다수의 이용자들을 회원으로 가입시켜 게임서비스를 제공하고 그로 인하여 수익을 얻고 있는 업체에게는 그 사업과정에서 알게 되는 이용자들의 개인정보를 보호하기 위한 특별한 주의의무를 부담하도록 하는 것이 미래에 더 고도로 발달될 정보 사회에서의 개인의 비밀과 자유의 보호를 위해 바람직한 것으로 판단되는 점,
피고 회사는 이 사건 사고 이후에도 앞에서 본 바와 같이, 이 사건 게임 홈페이지에 이용자들에 대한 사과문을 게재하고, 유료 이용자들에게 1일간의 무료사용권을 제공하는 이외에는 이 사건 사고와 관련하여 이용자들에게 별다른 보상 조치를 취한 것이 없고,
이 사건소송 과정에서도 피고 회사의 과실을 인정하지 않고 책임지려는 자세를 전혀 보이지 아니한 점, 원고들이 이 사건 사고로 인하여 현실적, 경제적으로 입은 손해는 이 사건 변론 종결일까지 확인되지 아니한 점 등을 참작하여,
피고 회사가 원고들에게 배상해야할 위자료로 원고들 각자에게 500,000원씩으로 정하기로 한다.
내 ID, 비밀번호는 50만원?
내 ID, 비밀번호 유출되면 위자료 50만원?
우리나라 최고의 게임을 운영하는 어느 인터넷회사에서 서버 업데이트를 하다가 그만 이용자들의 아이디와 패스워드가 로그파일 형태로 그대로 노출되어 사용자들이 항의를 하다가 결국 소송으로 갔다.
이 회사는 최근에 중국 해커들이 한국사람의 주민번호를 마음대로 입력하여 계정을 만들고 게임의 아이템을 모아가는 방법으로 멀쩡한 사람들(?)에게 피해를 주게 하여 언론에 크게 보도되었는데 명의를 도용당한 사람들의 제소로 해커들의 범행에 대하여 회사에게 책임이 있는지가 소송진행 중인데.....
젊은 벤처기업가의 열정으로 훌륭한 기업을 만들고
국가와 사회에 커다란 공헌을 하기 위하여 열심히 노력하지만,
역시 돈벌기도 쉽지 않고
명예를 지키면서 당당하게 살기도 쉽지 않다는 것을 뼈저리게 느끼게 되었을 것이다.
아무쪼록 이제는 더 이상
열심히 일하고도 욕먹는 일이 없었으면 좋겠다(‘06. 5. 2. 최영호변호사).
--------------------------
서울중앙지법 2006. 4. 28.선고 2005가단240057
○ 사안의 개요
1. 피고 회사는 게임사업을 운영하며 다중 이용자 온라인 롤플레잉게임(MMORPG : Massively Multiplayer Online Role Playing Game)인 리니지II 게임(이하 이 사건 게임이라고 한다)을 개발하여 그 이용서비스를 제공함으로서 수익을 올리는 회사이고, 원고들은 이 사건 게임서비스를 이용하고 있는 이용자들이다.
2. 피고 회사는 2005. 5. 11. 이 사건 게임 서버 및 네트워크 정기점검 및 업데이트 작업을 실시하는 과정에서, 담당 직원이 아이디/비밀번호 입력과 관련된 기능을 테스트하기 위하여 임시로 이용자들의 아이디와 비밀번호가 로그파일(log file)1)에 기록되도록 하였다가, 테스트 종료 후 아이디/비밀번호기록 기능을 삭제하지 않은 상태에서 서버 업데이트 작업을 마치는 바람에,
2005. 5. 11. 오전 10시부터 이 사건 게임에 접속한 이용자들에 대하여 생성된 로그파일에 이용자들의 아이디와 비밀번호가 기록되게 되는 사고(이하 ‘이 사건 사고’라고 한다)가 발생하게 되었다.
3. 피고 회사는 2005. 5. 16. 12:00경에서야 이용자들의 아이디와 비밀번호가 로그파일에 기록되고 있음을 알게 되었고, 즉시 이용자들의 게임서버 접속을 차단하고, 아이디와 비밀번호가 로그파일에 기록되도록 하는 기능을 삭제하였으며, 이미 개별 컴퓨터에 생성된 로그파일이 삭제되도록 하는 시스템 패치작업을 실시하였다.
4. 피고 회사는 이러한 시스템 패치 작업과 더불어, 2005. 5. 16. 13:20부터 15:45까지 이용자들의 게임서버 접속을 차단하고, 이 사건 사고기간(2005. 5. 11. 10:00 - 2005. 5. 16. 12:00) 동안에 이 사건 게임에 접속하였던 모든 이용자들로 하여금 주민등록번호로 동일인 확인을 거친 후에 새로운 비밀번호로 변경한 다음에만 이 사건 게임에 접속할 수 있도록 하는 조치를 취하였다.
5. 원고들은 이 사건 사고기간 동안 이 사건 게임에 접속한 이용자들이다.
6. 이 사건 게임의 로그파일은 이용자가 이용하는 컴퓨터의 하드디스크 C드라이브에 C://Program Files/ncsoft/lineageII/system/l2.log라는 경로를 가진 파일로 저장이 된다.
7. 피고 회사는 2005. 5. 16. 이 사건 사고와 관련하여 이 사건 게임 홈페이지에 이용자들에 대한 사과문을 게재하고, 유료 이용자들에게 1일간의 무료사용권을 제공하는 이외에는 이 사건 사고와 관련하여 이용자들에게 별다른 보상조치를 취한 것이 없다.
○ 관련 규정
1. 이 사건 게임서비스 이용약관 제13조 제2항에서는 “회사는 이용자의 계정 정보를 포함한 일체의 개인정보가 서비스 시스템으로부터 유출되지 않도록 하며, 제3자에게 공개 또는 제공되지 아니하도록 보호합니다”라고 정하고 있다.
2. 한편, 정보통신망이용촉진및정보보호등에관한법률(이하 ‘법’이라고 한다) 제49조에서는 “누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니된다”라고 규정하고 있다.
○ 당사자들 주장 및 쟁점
1. 원고들은 이 사건 사고로 인하여 자신들의 개인정보가 피고 회사의 과실로 인하여 유출되었으므로 피고 회사는 원고들에게 정신적 피해에 대한 위자료로 1인당 500만원씩이 손해배상을 구함.
2. 피고 회사는 이 사건 사고의 경위에 관해서는 크게 다툼이 없으나, 아이디와 패스워드만을 놓고 이를 원고들의 개인정보라고 볼 수 없고, 원고들이 실제로 입은 손해가 없으므로 손해배상청구에 응할 수 없다고 다툼.
○ 법원의 판단
1. 손해배상책임의 발생
살피건대, 피고 회사는 이 사건 게임 서비스 업자로서 이 사건 게임을 이용하는 이용자들의 개인정보가 유출되지 않도록 필요한 조치를 다하여야 할 계약상, 법상의 의무를 부담하고 있다고 할 것이다.
그런데, 앞에서 본 바와 같이 피고 회사가 이 사건 게임 서버의 업데이트 과정에서 이용자들의 개인정보인 아이디와 비밀번호가 암호화되지 않은 상태에서 로그파일에 저장되도록 함으로써, 컴퓨터에 관한 상당 수준의 전문지식이 있는 사람이라면 누구라도 그에 접근하여 이용자들의 아이디와 비밀번호를 알 수 있는 상황을 발생시킨 것은 이용자들의 개인정보를 유출되도록 한 것으로서 이는 이 사건 게임 서비스 이용계약 및 법에서 요구하는 주의의무를 다하지 않은 과실에 해당한다고 할 것이다.
따라서, 피고 회사는 이 사건 사고 기간 동안 이 사건 게임서비스에 접속하여 개인 정보 유출의 위험에 처하게 된 원고들이 입은 정신적 손해(원고들은 이 사건에서 정신적 손해의 배상만을 구하고 있다)를 배상할 책임이 있다.
피고 회사는 원고들이 이 사건 사고 기간 중에 PC방 등과 같이 불특정 다수인이 함께 사용하는 컴퓨터를 사용한 경우가 아니라 개인용 컴퓨터를 사용하여 이 사건 게임 서비스에 접속하였다면 개인정보유출의 위험이 없고,
또한 PC방 등에서 접속하였더라도 피고 회사가 신속한 패치작업을 통하여 개인 정보유출을 막았으므로 손해발생의 가능성이 전혀 없으며, 이 사건 사고 이후에도 이 사건 사고로 인하여 원고들 등 이 사건 게임 서비스 이용자들의 개인정보가 유출되어 실제로 피해가 발생한 사실이 없으므로 원고들의 이 사건 손해배상청구에 응할 수 없다는 취지의 주장을 하고 있으나,
오늘날과 같이 컴퓨터 기술과 인터넷의 발전에 수반하여 해킹 등 타인의 정보를 불법적으로 수집하는 방법도 고도로 발달되어 있는 상황에서는 이 사건 사고로 인하여 원고들의 개인정보가 공개된 로그파일이 PC방 등에 있는 컴퓨터가 아닌 개인용 컴퓨터에 저장되었다 하더라도 원고들의 개인정보유출의 위험이 없다고 볼 수 없고,
피고 회사의 주장에 의하더라도 2005. 5. 16. 12:00경 이전에는 피고 회사는 이 사건 사고로 인한 피해예방조치를 취하지 않았을 뿐만 아니라, 이 사건 사고발생 사실도 제대로 알지 못하고 있었다는 것이고,
이 사건 재판 과정에 나타난 증거들에 의하면 피고 회사가 2005. 5. 16. 12:00이후에 PC방 등에서 패치 작업을 한 이후에도 상당 기간 동안은 로그파일의 개인정보가 그대로 남아 있어서 개인정보유출의 위험이 존재하였던 사실을 인정할 수 있으며, 또한 피고 회사의 주장대로 이 사건 사고로 인하여 유출된 원고들의 개인 정보를 이용한 다른 사고가 확인된 바가 없다고 하더라도 원고들이 정신적 손해를 입지 않았다고는 말할 수 없으므로 피고회사의 위 주장은 받아들이지 아니한다.
2. 손해배상책임의 범위
그렇다면, 피고 회사가 원고들에게 배상해야하는 손해배상의 범위에 관하여 보건대, 오늘날과 같이 컴퓨터 기술과 인터넷이 고도로 발달한 사회에서는 개인 정보의 유출이 가져올 수 있는 피해가 심각하다는 점,
피고 회사와 같이 다수의 이용자들을 회원으로 가입시켜 게임서비스를 제공하고 그로 인하여 수익을 얻고 있는 업체에게는 그 사업과정에서 알게 되는 이용자들의 개인정보를 보호하기 위한 특별한 주의의무를 부담하도록 하는 것이 미래에 더 고도로 발달될 정보 사회에서의 개인의 비밀과 자유의 보호를 위해 바람직한 것으로 판단되는 점,
피고 회사는 이 사건 사고 이후에도 앞에서 본 바와 같이, 이 사건 게임 홈페이지에 이용자들에 대한 사과문을 게재하고, 유료 이용자들에게 1일간의 무료사용권을 제공하는 이외에는 이 사건 사고와 관련하여 이용자들에게 별다른 보상 조치를 취한 것이 없고,
이 사건소송 과정에서도 피고 회사의 과실을 인정하지 않고 책임지려는 자세를 전혀 보이지 아니한 점, 원고들이 이 사건 사고로 인하여 현실적, 경제적으로 입은 손해는 이 사건 변론 종결일까지 확인되지 아니한 점 등을 참작하여,
피고 회사가 원고들에게 배상해야할 위자료로 원고들 각자에게 500,000원씩으로 정하기로 한다.
-----------------------------------------
근데 이번에 명의도용 당한 사람들중 수천명이 소송을 제기하였다는데
이런 소송을 열심히 하는 변호사들은 머리도 좋고 능력도 있고 노력도 많이 들겠지만,
히야, 수천 명에게 수 백 만원 씩 달라는 소송에서 전부 패소하게 되면
이 회사 어떻게 되나?
그것도 걱정이다.
이기는 변호사는 좋겠지만......
그 놈의 돈이 뭔지......(최영호변호사)
-----------------------------------