상담 및 피해/분쟁
04050300000000000000
분쟁조정 사례
| 제목 | 캐시 도용 피해에 대한 손해 배상 요구 |
|---|---|
| 출처 | 한국소비자원 |
| 분류 | 금융보험 |
| 조회수 | 5797 |
| 사건개요 |
신청인은 2011. 12. 11. 23시 30분 경 문화상품권을 사용하기 위해 피신청인 사이트에서 캐시로 충전하는 과정에서 캐시를 도용당한바, 사이버수사대 조사 결과 중국의 전형적인 해킹 수법에 의한 것임이 확인되어 이를 방조한 피신청인에게 책임을 물어 손해배상을 요구하였으나 거절함. |
| 당사자 주장 |
가. 신청인(소비자) 신청인은 피신청인 사이트에서 문화상품권을 등록한지 5분만에 해킹을 당했으므로 피신청인 사이트의 보안이 철저하다고 인정하기 어렵고, 피해 사실을 접수했음에도 “아이디 및 비밀번호 도용에 의해 해킹된 것으로 추측된다”며 별다른 조치 없이 책임이 없다고 주장하는 것은 부당하므로 적절한 손해배상을 요구함. 나. 피신청인(사업자) 피신청인은 웹 사이트 관리를 외부 전문기관에 위탁하여 관리하고 있고 웹 셀 진단결과 양호 및 모의 해킹 결과 양호 판정을 받았으며, 캐시 사용에 대한 보안을 위해 캐시안전잠금, 사용처 제한, 거래금액 제한 등의 보안서비스를 고객이 선택하도록 하는 등 최선을 다하고 있는 바, 타 사이트에서 유출된 동일 계정 도용으로 인한 피해에 대해서는 책임이 없으므로 배상이나 환불이 불가하다고 주장함. |
| 판단 |
가. 사실 관계 (1) 계약 내용 o 가입자 : 박○○ o 피신청인 홈페이지 : 북○○○○(http://www.book****.com) o 사용일자 : 2011. 12. 11. o 상품명 : 문화상품권 o 사용가격 : 110,000원 (2) 사건 진행 경과 o 2011. 12. 11. 23:30 h-mall에서 갖고 있던 문화상품권 110,000원을 피신청인 사이트에서 캐시로 등록함. o 2011. 12. 11. 23:35 신청인이 모르는 사이에 캐시 119,000원이 www.nexon.com 에서 사용됨. o 2011. 12. 12. 신청인이 피신청인에게 정보제공을 요청하자 피신청인은 아이디 및 비밀번호가 도용된 것으로 추측되므로 경찰에 신고하고 협조가 필요하면 수사에 협조하겠다고 함. o 2011. 12. 26. 경기 분당경찰서에 사건을 접수함. o 2012. 3. 8. 수사결과 용의자는 해당 캐시로 ○○○○○○ 세라를 충전하여 사용하였으며, 사용자 계정 IP 추적결과 중국 연길시 국제상무중심 409에서 접속된 것으로 확인되는 바, 이는 중국에서 이루어지는 전형적인 해킹으로 용의자의 추적 단서가 없어 추가 단서 확보 시까지 미제 편철되었으며, 신청인은 경찰 수사 결과를 근거로 피신청인에게 손해배상을 요구하였으나, 피신청인은 이 사건은 사이버수사대에서 처리해야 할 사항으로서 수사결과와 상관없이 사용된 캐시를 환급해 줄 수 없다고 주장함. o 2012. 5. 17. 한국소비자원에 피해구제를 신청함. o 2012. 5. 31. 피신청인 자료 제출 - 피신청인은 웹 보안과 관련하여 최선을 다하고 있으며 신청인의 사고는 반복적인 로그인 시도 등으로 계정이 유출되었고 타 사이트와 동일한 계정을 사용함으로써 발생한 것으로 추측되므로 피신청인의 책임은 없으나 고객과의 원만한 해결을 위해 노력을 다하겠음. - 현재 피신청인의 웹사이트 관리는 ○○그룹 계열의 ○○○○(주)에 위탁하고 있으며 웹 셀 진단결과 양호 및 모의 해킹 결과 양호한 것으로 나타나고 있음. o 2012. 6. 13. 피신청인은 배상이 어렵다고 주장함. (3) 주요 분쟁 내용 o 신청인이 타 사이트에도 동일 아이디와 비밀번호 사용 여부 - 신청인은 총 4~5개 아이디를 사용하고 있으며, 사용 빈도를 고려할 때 피신청인 사이트에서 사용한 아이디의 사용빈도 순위는 3번째이며, 비밀번호도 사이트별로 다른 비밀번호를 사용하고 있으며, 해킹 당시 피신청인 사이트와 동일한 비밀번호를 사용한 사이트는 정확하지는 않으나 2개라고 주장함. o 양 당사자가 아이디 및 비밀번호 유출에 대비한 충분한 노력이 있었는지 여부 - 신청인은 피신청인 사이트의 정보 유출 방지를 위한 비밀번호 변경에 대한 권고를 인지하고 있었고 이 사건 발생 전 비밀번호를 변경한 적이 있으나 정확한 날짜는 기억하지 못한다고 주장하고, - 피신청인은 2010. 12. 14.부터 사이트에 개인정보 유출 및 캐시 도용 등을 방지하기 위하여 유출 사례 및 비밀번호 변경의 배너 및 팝업을 공시했다고 주장함. o 캐시 사용 시 피신청인 사이트의 보안시스템의 문제 여부 - 신청인은 캐시잠금서비스를 사용하고 있었으나 캐시 사용을 위해 잠금을 해제한 후 5분 이내에 중국발 IP에서 동시 접속되어 사용되었다는 점을 감안할 때 피신청인이 해킹에 대하여 주의 의무를 다했다고 판단하기 어려움. ※ 캐시잠금서비스 캐시를 사용하지 않을때는 사용하지 못하도록 차단하고 사용 시 본인 인증(휴대폰을 이용한 고유번호를 전송하는 OTP 방식)을 함. 나. 관련 법규 및 고시 (1) 「상법」 o 제54조 (상사법정이율) 상행위로 인한 채무의 법정이율은 연6분으로 한다 (2) 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다. 1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영 3. 접속기록의 위조·변조 방지를 위한 조치 4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치 5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치 ② 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다. 제32조(손해배상) 이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. (3) 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」 o 제15조(개인정보의 보호조치) ② 법 제28조제1항 제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다. 1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템"이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행 2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영 3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단 4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영 5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치 ④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다. 1. 비밀번호 및 바이오정보(지문, 홍채, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 말한다)의 일방향 암호화 저장 2. 주민등록번호 및 계좌정보 등 금융정보의 암호화 저장 3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치 4. 그 밖에 암호화 기술을 이용한 보안조치 다. 책임 유무 및 범위 피신청인은 웹 사이트 관리를 외부 전문기관에 위탁하여 관리하고 있고 ○○ 진단결과 양호 및 모의 해킹 결과 양호 판정을 받았으며, 캐시 사용에 대한 보안을 위해 캐시안전잠금, 사용처 제한, 거래금액 제한 등의 보안서비스를 고객이 선택하도록 하는 등 최선을 다하고 있는 바, 타 사이트에서 유출된 동일 계정 도용으로 인한 피해에 대해서는 책임이 없으므로 보상이나 환불이 불가하다고 주장한다. 살피건대, 신청인은 피신청인 사이트에서 해킹당한 아이디 및 비밀번호 외에 여러 개의 아이디와 비밀번호를 사용하고 있고 피신청인 사이트에서 해킹당한 아이디와 비밀번호는 사용 빈도가 높지 않은 것이며, 신청인도 정보 주체로서 보안을 위해 이 사건이 발생되기 전에 비밀번호를 변경하고 캐시 사용을 위해 캐시잠금서비스를 사용하는 등 웹 보안을 위한 필요한 조치를 다했음에도 선의의 피해자인 신청인에게 100% 과실을 부여하는 것은 부당하다고 주장하고 있다. 한편 피신청인은 개인정보처리자로서「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제28조(개인정보의 보호조치) 및「동법 시행령」제15조(개인정보의 보호조치)에 따라 개인정보 보호를 위하여 개인정보처리시스템에 대한 침입차단시스템을 설치·운영하고 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단 조치 및 그 외에 개인정보에 대한 접근통제를 위하여 필요한 조치를 해야 하며, 개인정보가 안전하게 저장·전송될 수 있도록 개인정보의 암호화 기술을 이용한 보안조치 등의 조치를 해야 함에도 이 사건 신청인의 정보가 해킹 당했다는 것은 개인정보의 분실·도난·누출·변조 또는 훼손 방지를 위한 기술적·관리적 조치를 다했다고 보기 어렵고 신청인의 캐시 도용과 관련하여 피신청인의 고의 또는 과실이 없음을 입증하지 못하므로「동법」제32조(손해배상)에 따라 신청인에게 손해배상을 하되, 신청인 또한 최근 개인정보 유출 방지를 위하여 상당한 주의가 필요하다는 정보를 접했고, 피신청인 사이트에서도 비밀번호 변경을 권고하는 팝업 및 배너 공고를 했음에도 이를 소홀히 하여 캐시를 도용당했으므로 신청인의 과실 책임을 50%로 보아 피신청인은 도용된 캐시 119,000원 중 신청인의 일부 과실을 공제한 59,500원을 신청인에게 지급하고 만일 피신청인이 위 지급을 지체하면「상법」제54조에 따라 조정결정일로부터 6주가 경과한 날인 2012. 11. 23.부터 완제일까지의 기간에 대해 연 6%로 계산된 지연 배상금을 가산하여 지급하는 것이 상당하다. 라. 결 론 1. 피신청인은 2012. 11. 23.까지 신청인에게 금 59,000원(1,000원 미만 버림)을 지급한다. 2. 만일 피신청인이 제1항의 지급을 지체하면 2012. 11. 24.부터 다 갚는 날까지 연 6%의 비율에 의한 지연손해금을 가산하여 지급한다. |
| 결정사항 |
1. 피신청인은 2012. 11. 23.까지 신청인에게 금 59,000원을 지급한다. 2. 만일 피신청인이 제1항의 지급을 지체하면 2012. 11. 24.부터 다 갚는 날까지 연 6%의 비율에 의한 지연손해금을 가산하여 지급한다. |