보안관제 서비스 이용 중 개인정보 유출로 인한 용역비 미지급 책임 다툼

한 보안관제 서비스 회사가 고객 회사에 서비스 이용료를 청구했으나, 고객 회사는 서비스 부실로 인한 개인정보 유출 사고가 발생했다며 용역비 지급을 거부하고 손해배상을 주장한 사건입니다. 법원은 서비스 회사의 개인정보 유출 사고 책임이 명확하지 않고 고객 회사의 보안 정책 미흡이 사고에 상당한 영향을 미쳤다고 판단하여 고객 회사가 서비스 이용료를 지급해야 한다고 판결했습니다.

관련 당사자

• 주식회사 A: 보안관제 서비스를 제공한 회사입니다.
• 주식회사 B: 주식회사 A로부터 보안관제 서비스를 제공받은 고객 회사입니다.
• 주식회사 C: 주식회사 B와 관련된 회사로, 개인정보 유출 사고로 인해 개인정보보호위원회로부터 과징금 처분을 받은 회사입니다.
• 개인정보보호위원회: 개인정보보호 관련 법규를 집행하고 과징금 처분을 내린 국가 기관입니다.

분쟁 상황

주식회사 A는 2019년 5월 13일 주식회사 B와 보안관제서비스 계약을 체결하고 2019년 5월부터 2022년 4월까지 서비스를 제공했습니다. 주식회사 B는 2021년 3월부터 11월까지의 3기분 용역대금 48,015,000원을 미지급했고, 주식회사 A는 이에 대한 지급을 청구했습니다. 주식회사 B는 주식회사 A가 웹셸 등 불법적인 침입 탐지 및 차단 서비스를 제대로 제공하지 못해 개인정보 유출 사고가 발생했다고 주장하며 용역비 지급을 거부했습니다. 이 사고로 인해 주식회사 B는 내 외부 인력 투입으로 약 6,089만 원 상당의 인건비를 추가 지출했고, 보안 강화를 위한 솔루션 및 시스템 도입 비용으로 약 5억 5천만 원을 지출했으며, 개인정보보호위원회로부터 540만 원의 과태료를 부과받았으므로, 이를 주식회사 A에 대한 손해배상채권으로 상계할 것을 주장했습니다. 개인정보 유출 사고는 2019년 4월 웹셸 업로드, 2020년 4월 터널링 프로그램 업로드, 2021년 4월 개인정보 유출 순으로 진행되었습니다.

핵심 쟁점

보안관제 서비스를 제공받던 중 발생한 개인정보 유출 사고에 대한 서비스 제공자의 책임 여부와 이로 인한 용역비 미지급 및 손해배상 청구의 정당성입니다.

법원의 판단

법원은 주식회사 B는 주식회사 A에게 미지급된 용역비 48,015,000원과 각 용역비에 대한 지연손해금(연 15%)을 지급해야 한다고 판결했습니다. 구체적으로는 16,005,000원에 대하여는 2021년 8월 19일부터, 다음 16,005,000원에 대하여는 2021년 11월 19일부터, 나머지 16,005,000원에 대하여는 2022년 2월 18일부터 각각 다 갚는 날까지 연 15%의 비율로 계산한 돈을 지급하라는 명령을 내렸습니다. 법원은 주식회사 A의 책임으로 개인정보가 유출되었다고 단정하기 어렵다고 보았으며, 주식회사 B의 보안정책 미흡이 사고에 상당한 영향을 끼쳤다고 판단했습니다.

결론

보안관제 서비스를 제공받던 회사가 서비스 제공 업체의 책임으로 개인정보 유출 사고가 발생했다고 주장하며 용역비 지급을 거부하고 손해배상을 청구했으나, 법원은 개인정보 유출의 책임이 서비스 제공 업체에 있다고 보기 어렵고 오히려 서비스를 제공받던 회사의 보안 정책 미흡이 사고에 상당한 영향을 미쳤다고 보아 서비스 이용료를 지급하라는 원고 승소 판결을 내렸습니다.

연관 법령 및 법리

이 사건은 주로 민법상 계약 책임과 손해배상 책임에 관한 법리가 적용됩니다. 1. 계약상의 의무 이행 및 대가 지급 의무: 민법 제664조(도급의 의의) 및 제665조(보수 지급의무)에 따라 계약 당사자들은 계약 내용에 따라 서비스를 제공하고 그 대가를 지급할 의무를 가집니다. 본 사안에서 주식회사 A는 보안관제 서비스를 제공했고 주식회사 B는 이에 대한 용역비를 지급할 의무가 있습니다. 2. 채무불이행으로 인한 손해배상: 민법 제390조(채무불이행과 손해배상)에 따르면 채무자가 채무의 내용에 좇은 이행을 하지 아니한 때에는 채권자는 손해배상을 청구할 수 있습니다. 피고인 주식회사 B는 원고인 주식회사 A가 보안관제 서비스를 제대로 제공하지 않아 개인정보 유출 사고가 발생했고 이로 인해 손해를 입었으므로 채무불이행에 따른 손해배상채권을 주장했습니다. 3. 손해배상의 범위 및 책임 제한: 손해배상을 청구하기 위해서는 채무불이행 사실, 손해 발생, 그리고 채무불이행과 손해 사이의 인과관계가 입증되어야 합니다. 또한 손해 발생에 채권자(피고인 주식회사 B)의 과실이 있는 경우, 법원은 이를 참작하여 손해배상액을 정할 수 있습니다(과실상계, 민법 제396조). 이 사건에서 법원은 개인정보 유출이 오로지 원고의 책임으로 발생했다고 단정하기 어렵고 피고의 보안정책 미흡이 상당한 영향을 끼쳤다고 보아 피고의 손해배상 주장을 받아들이지 않았습니다. 4. 지연손해금: 금전채무의 이행을 지체한 경우, 채무자는 약정된 이율 또는 법정 이율에 따라 지연손해금을 지급해야 합니다(민법 제379조, 제397조). 본 사건에서는 계약서상 약정이율 15%가 적용되었습니다.

참고 사항

1. 보안관제 서비스 계약 시에는 서비스 범위와 책임 한계를 명확히 문서화해야 합니다. 특히 서비스 시작 전에 이미 발생한 문제나 서비스 제공 범위 외의 보안 취약점에 대한 책임 소재를 분명히 해야 합니다. 2. 보안 사고 발생 시 책임 소재를 가리기 위해서는 상세한 로그 기록, 침해 분석 보고서 등 객관적인 증거 자료를 확보하는 것이 중요합니다. 3. 서비스를 받는 기업 역시 자체적인 보안 정책 수립과 준수에 소홀함이 없어야 합니다. 일반적으로 알려진 보안 방식인 화이트리스트 방식과 같은 기본적인 보안 정책 미준수는 사고 발생 시 기업의 책임 가중 사유가 될 수 있습니다. 4. 개인정보 유출 사고는 여러 복합적인 요인에 의해 발생할 수 있으므로, 단일 원인으로 특정하기 어려운 경우가 많습니다. 외부 서비스 제공자의 책임뿐 아니라 내부 관리의 문제점도 함께 검토해야 합니다. 5. 서비스 계약서에 지연손해금 약정 이율이 명시되어 있다면 미지급 시 높은 이율의 지연손해금을 부담할 수 있으므로 계약 내용을 잘 확인하고 약정된 대금을 기한 내에 지급하는 것이 중요합니다.