기타 금전문제 · 노동
주식회사 A가 주식회사 B에게 보안관제서비스를 제공하고 미지급된 용역대금 48,015,000원을 청구한 사건입니다. 피고 주식회사 B는 원고 주식회사 A의 서비스 미흡으로 개인정보 유출 사고가 발생했고 이로 인해 막대한 과징금 및 손해가 발생했다며 용역비 지급을 거부하고 손해배상 채권을 통해 상계 주장을 펼쳤습니다. 그러나 법원은 원고의 책임으로 개인정보가 유출되었다고 단정할 수 없다고 판단하여 피고의 주장을 기각하고 원고의 용역비 청구를 전부 인용하였습니다.
원고 주식회사 A는 2019년 5월 13일 피고 주식회사 B와 보안관제서비스 계약을 체결하고 2019년 5월 13일부터 2022년 4월 30일까지 서비스를 제공했습니다. 계약에 따라 분기별로 16,005,000원의 용역대금을 받기로 했습니다.
그런데 2021년 10월 27일 개인정보보호위원회는 피고 주식회사 B에게 개인정보 처리 시스템에 대한 접근 통제를 소홀히 했다는 이유로 903,353,000원의 과징금을 부과했습니다. 피고는 이 과징금 부과처분에 대해 취소소송을 제기했으나 최종 패소하여 판결이 확정되었습니다.
원고는 2021년 3월부터 11월까지의 3기분 용역대금 48,015,000원과 이에 대한 약정 지연손해금의 지급을 피고에게 청구했습니다. 피고는 원고가 웹셸 등 불법적인 침입 탐지 및 차단, 관련 대응 서비스를 제대로 제공하지 못해 개인정보 유출사고가 발생했고 후속 대응도 미흡했다고 주장했습니다. 이로 인해 피고는 25,000,000원 상당의 인건비 추가 지출, 903,353,000원의 과징금 부과, 5,733,810,633원 상당의 영업이익 상실 등의 손해를 입었다며, 이 손해배상채권으로 원고의 용역비 채권과 상계 또는 공제하여 지급할 돈이 없다고 맞섰습니다.
이 사건의 주요 쟁점은 다음과 같습니다. 첫째, 피고 주식회사 B가 원고 주식회사 A에게 보안관제서비스 용역대금을 지급할 의무가 있는지 여부입니다. 둘째, 피고의 개인정보 유출 사고가 원고의 보안관제서비스 제공상 미흡으로 인한 것인지 여부입니다. 셋째, 만약 원고에게 개인정보 유출의 책임이 있다면, 피고가 입은 손해(과징금, 추가 인건비, 영업이익 상실 등)를 원고에게 전가하거나 용역대금 채권과 상계 또는 공제할 수 있는지 여부입니다.
법원은 피고 주식회사 B에게 원고 주식회사 A에게 미지급된 용역대금 48,015,000원과 이에 대한 지연손해금을 지급하라고 판결했습니다. 구체적으로, 32,010,000원에 대해서는 2021년 11월 19일부터, 나머지 16,005,000원에 대해서는 2022년 2월 18일부터 다 갚는 날까지 연 15%의 비율로 계산한 돈을 지급하라는 명령입니다. 소송비용은 피고가 부담하며, 제1항은 가집행할 수 있습니다.
재판부는 원고 주식회사 A가 피고 주식회사 B에게 이 사건 계약에 따른 보안관제서비스를 제공한 사실을 인정했습니다. 또한 피고가 주장하는 개인정보 유출 사고가 오로지 원고의 책임으로 발생했다고 단정하기 어렵다고 보아 피고의 손해배상 상계 주장을 받아들이지 않았습니다. 이에 따라 원고의 용역비 청구를 전부 받아들이는 판결을 내렸습니다.
이 사건은 서비스 계약 이행과 관련된 용역대금 청구 및 채무불이행으로 인한 손해배상 책임에 대한 법리가 적용되었습니다.
계약의 본질적 내용과 이행 의무: 원고 주식회사 A가 피고 주식회사 B에게 제공한 보안관제 서비스 계약은 민법상 준위임 또는 도급 계약의 성격을 가집니다. 민법 제655조(준위임)에 따라 서비스를 제공받는 자(위임인)는 서비스를 제공한 자(수임인)에게 사무처리에 대한 보수를 지급해야 합니다. 원고가 계약에 따라 서비스를 제공한 사실이 인정된 이상, 특별한 반대 사정이 없는 한 피고는 용역대금을 지급할 의무를 가집니다.
채무불이행 및 손해배상: 피고는 원고의 서비스 미흡이 계약상 채무불이행에 해당하며, 이로 인해 개인정보 유출 및 과징금 등 손해가 발생했다며 손해배상 채권을 주장했습니다. 민법 제390조는 채무자가 채무의 내용에 따른 이행을 하지 않은 경우 채권자는 손해배상을 청구할 수 있다고 규정합니다. 그러나 손해배상을 주장하기 위해서는 채무불이행 사실, 손해 발생, 그리고 채무불이행과 손해 발생 사이의 인과관계가 명확하게 입증되어야 합니다.
귀책사유의 판단: 법원은 피고가 주장하는 개인정보 유출이 오로지 원고의 책임으로 발생했다고 단정하기 어렵다고 판단했습니다. 이는 다음과 같은 사정을 고려한 것입니다. 첫째, 해커가 웹셸을 업로드한 시점이 보안관제 서비스 시작 전이었던 점. 둘째, 터널링 프로그램 업로드 경위가 불분명하여 원고의 주장을 배제하기 어려운 점. 셋째, 피고가 일반적으로 알려진 보안 방식인 화이트리스트 방식(모든 접속을 차단하고 필요한 서비스만 허용하는 방식)을 기본 정책으로 반영하지 않아 개인정보 유출에 상당한 영향을 끼친 것으로 보이는 점. 이처럼 손해배상 책임을 묻기 위해서는 서비스 제공자의 명확한 귀책사유(책임 있는 사유)와 그로 인한 손해 발생이 입증되어야 하며, 서비스 이용자 측의 과실 유무도 책임 판단에 영향을 미칩니다.
지연손해금: 원고는 미지급 용역대금에 대해 약정된 연 15%의 지연손해금을 청구했고, 법원은 이를 인용했습니다. 지연손해금은 금전채무 불이행 시 발생하는 손해배상의 한 형태로, 채무자가 채무를 약정된 기한 내에 이행하지 않아 발생하는 손해를 보전하기 위한 것입니다.
보안관제 서비스와 같은 전문 서비스 계약 시에는 서비스 범위, 각 당사자의 의무, 그리고 책임의 한계를 계약서에 명확히 명시하는 것이 중요합니다. 특히 개인정보 유출과 같은 중대한 사고 발생 가능성이 있는 분야에서는 예방 조치와 사고 발생 시의 대응 방안, 손해배상 책임 분담에 대한 상세한 합의가 필요합니다.
개인정보 유출 사고가 발생했을 경우, 사고 발생 경위, 각 당사자의 계약상 의무 이행 여부, 적용된 보안 조치 현황 등을 철저히 기록하고 보존해야 합니다. 이는 추후 책임 소재를 가리는 데 있어 중요한 증거가 됩니다.
서비스 이용자 측은 서비스 제공자가 계약상 의무를 다했더라도, 자체적인 보안 정책 및 시스템 관리 소홀이 있다면 개인정보 유출에 대한 책임을 완전히 면하기 어려울 수 있습니다. 예를 들어 일반적으로 알려진 화이트리스트 방식(모든 접속을 차단하고 필요한 서비스만 허용하는 방식)과 같은 기본적인 보안 정책을 적용하지 않는 것이 중요한 판단 근거가 될 수 있습니다.
손해배상을 주장하기 위해서는 상대방의 귀책사유(책임 있는 사유)와 손해 발생의 인과관계(손해가 상대방의 행동으로 인해 직접적으로 발생했는지)를 명확하게 입증해야 합니다. 이 사건에서 법원이 원고의 책임으로 개인정보 유출이 발생했다고 단정하기 어렵다고 본 것은 이러한 입증이 부족했기 때문입니다.
.jpg&w=96&q=100){kind=small}
