사이버 공격으로 인한 손해. 시스템 벤더의 손해배상 책임은? 계약서 기재 예시를 통한 설명
최근 몇 년 동안, 기업을 대상으로 한 사이버 공격이 지속적으로 증가하고 있습니다.
일본 네트워크 보안 협회(JNSA)의 조사에 따르면, 개인정보유출사건 중 불법접근 비율은 2013년(헤이세이 25년)에는 전체의 4.7%였지만, 2018년(헤이세이 30년)에는 20.3%까지 증가하였습니다(2018년 정보 보안 사건에 관한 조사 보고서).
본 기사에서는 사이버 공격을 받았을 때, 시스템 공급업체가 부담해야하는 책임범위를 과거 판례를 바탕으로 설명합니다. 또한, 공급업체와 위탁자가 함께 사이버공격 대책을 세우기위해 계약서에서 정해두어야 할 역할과 책임범위에 대해서도 모델계약서를 바탕으로 설명합니다.
시스템 벤더는 사이버 공격에 대한 손해배상 책임을 지게 될까?
위탁자측 기업이 사이버공격을 받아 손해가 발생한 경우, 먼저 책임을 물어야 할 대상은 사이버공격의 가해자입니다. 그러나, 시스템개발 및 운영과실로 인해 공격받기 쉬워진 경우, 위탁자측에서 시스템벤더측에 대한 손해배상 청구가 인정될 수도 있습니다.
시스템벤더측에 대한 손해배상 청구의 근거로는 다음과 같은 것들이 있습니다.
- 계약불이행책임
- 선량한 관리의무 위반
그러나, 위탁자 측의 과실로 인해 피해가 확대되는 경우도 있을 것입니다. 이러한 경우, 위탁자측의 책임도 인정됩니다. 실제 법정에서는 과실상계로 고려되어, 시스템벤더측에 대한 손해배상이 제한된 사례도 있었습니다.
시스템 벤더의 손해배상 책임과 계약서 기재 예시
시스템 벤더와 위탁자인 기업 간의 IT 시스템 계약의 대표적인 예로는 다음의 3가지가 있습니다.
- 소프트웨어 개발 계약
- 시스템 유지·운영 계약
- 클라우드 서비스이용 계약
손해배상 책임은 초기 계약에 따라 판단되므로, 아래에서 계약 유형별로 설명하겠습니다.
소프트웨어 개발계약
소프트웨어 개발계약이란, 위탁자측 기업이 소프트웨어 벤더에게 자사 시스템의 개발업무를 위탁할 때 체결합니다.
위탁자 측 기업이 사이버 공격을 받았을 때 소프트웨어의 취약점이 피해 확대의 원인이 된 경우, 위탁자로부터 벤더에 대한 책임 추궁이 인정됩니다.
시스템 벤더측의 책임은 소프트웨어 개발 계약의 종류에 따라 다음의 2가지가 있습니다.
- 도급계약: 계약 불이행 책임
- 위탁계약: 선량한 관리자의 주의의무위반
도급계약
도급계약이란, 시스템의 완성을 약속하고, 그 성과물에 대해 보수가 지급되는 계약입니다.
인도한 성과물이 ‘계약의 목적에 부합하지 않았다’ 경우, 인도로부터 일정기간 동안 도급인에게 계약불이행책임(민법 제559조, 제562조 [ja])이 발생합니다.
즉, 사이버공격으로 쉽게 시스템 장애를 일으키는 정도의 성과물은 ‘계약의 목적에 부합하지 않는다’고 판단되어, 위탁자측으로부터 계약불이행 책임에 따른 손해배상을 청구받을 위험이 있습니다.
이 청구의 인정여부는 당사자간에 미리 결정한 소프트웨어의 보안수준에 따라 달라집니다.
【계약 불이행 책임 기재 예】
제○조 전조의 검수 완료 후, 납품물에 대해 시스템 사양서와의 불일치(버그 포함. 이하 본조에서 ‘계약 불이행’이라 함.)가 발견된 경우, 甲은 乙에게 해당 계약 불이행의 수정 등의 이행의 추완(이하 본조에서 ‘추완’이라 함.)을 청구할 수 있으며, 乙은, 해당 추완을 수행할 것으로 한다. 단, 甲에게 부당한 부담을 지우는 것이 아닐 때는, 乙은 甲이 청구한 방법과 다른 방법으로 추완을 수행할 수 있다.
2. 전항에도 불구하고, 해당 계약 불이행으로도 개별 계약의 목적을 달성할 수 있는 경우이며, 추완에 과분한 비용을 요하는 경우, 乙은 전항에서 정한 추완 의무를 부담하지 않는 것으로 한다.
3. 甲은, 해당 계약 불이행(乙의 책임에 귀속해야 할 사유로 인해 발생한 것에 한함.)으로 인해 손해를 입은 경우, 乙에게 손해배상을 청구할 수 있다.
준위탁계약
준위탁계약에는 계약불이행 책임이 적용되지 않습니다. 성과물의 완성의무를 부담하지 않기 때문입니다. 대신, ‘선량한 관리자의 주의를 기울여 위임된 업무를 처리하는 의무'(선량한 관리자의 주의의무)를 부담합니다.
사이버공격으로 인해 시스템 장애가 발생하면, 계약시에 보안수준을 결정하지 않았더라도, 그 정도의 시스템을 개발한 것이 ‘선량한 관리자의 주의의무위반'(민법 제656조, 제644조 [ja])으로 간주되어, 손해배상 청구를 받을 가능성이 있습니다.
【선량한 관리자의 주의의무기재 예】
제○조 乙은 제○조에서 정한 개별계약을 체결한 후, 본 건 업무로서 甲이 작성한 정보시스템 구상서, 시스템화 계획서 등에 기초하여, 甲의 요구사항 정의서 작성작업을 지원하는 서비스(이하 ‘요구사항 정의 작성지원업무’)를 제공한다.
2. 乙은 정보처리기술에 관한 전문적 지식 및 경험에 기초하여, 甲의 작업이 원활하고 적절하게 이루어질 수 있도록 선량한 관리자의 주의를 기울여 조사, 분석, 정리, 제안 및 조언 등의 지원업무를 수행하도록 한다.
시스템 유지보수·운영 계약
시스템 유지보수·운영 계약이란, 기업이 소프트웨어 벤더에게 기존 소프트웨어의 유지보수 및 운영업무를 위탁하는 계약입니다. 유지보수·운영 계약 체결 시에는, 충족해야 할 보안수준을 업무사양서 등을 통해 계약서에 포함시키는 경우가 일반적입니다.
사이버 공격으로 인해 손해가 발생했을 때, 시스템의 보안수준이 계약 시 합의한 수준보다 낮다면, 계약불이행 조항을 근거로 채무불이행 책임이 추구됩니다.
그러나, 미리 보안수준을 규정하지 않은 경우에는, 사이버 공격에 취약한 시스템을 유지·운영하고 있었다는 사실이 선량한 관리 의무를 위반하는 것으로 판단되어 책임이 추구될 수 있습니다.
클라우드 서비스 이용 계약
클라우드 서비스 이용계약이란, 벤더가 클라우드 상에서 제공하는 서비스를 이용할 때 체결하는 계약입니다. 벤더가 다수의 위탁자에게 동일한 서비스를 제공한다는 가정 하에, 벤더가 정한 이용약관에 따라 계약하는 경우가 많을 것입니다.
일반적으로, 이 계약에서는 사이버 공격으로 인해 서비스를 제공할 수 없게 된 경우의 책임에 대해 미리 명시되어 있습니다.
클라우드 서비스 이용 계약에서는, 보통 계약 시에 다음을 규정합니다.
- SLA (Service Level Agreement) : 품질에 대한 보장과 운영 규칙
- 책임 제한 조항 : 손해 발생 시 벤더 측의 채무 불이행 책임 범위
SLA란, 이용자측의 요구 수준과 제공자측의 운영규칙을 명시화한 것입니다. 여기서 규정한 서비스 제공을 받지 못한 경우, 일부 채무불이행으로 손해배상 청구를 할 수 있습니다. 또한, 계약서내에서 벤더측이 채무 불이행 청구를 받는 요건을 미리 제한하고, 책임이 인정되는 경우에도 그 배상액을 제한하는 ‘책임제한조항’이 설정될 수도 있습니다.
그러나, 책임제한조항은 벤더측에 유리한 규정이 많기때문에, 분쟁이 발생하면 일본의 판례법리에 따라 일부 제한을 받을 수 있습니다.
【책임 제한 조항의 기재 예】
제○조 甲 및 乙은, 본 계약 및 개별 계약의 이행에 관해, 상대방의 책임으로 돌아갈 사유로 인해 손해를 입은 경우, 상대방에게, (○○○의 손해에 한정하여) 손해배상을 청구할 수 있다. 단, 이 청구는, 해당 손해배상의 청구 원인이 되는 해당 개별 계약에 정한 납품물의 검수 완료일 또는 업무의 종료 확인일로부터 ○개월이 경과한 후에야 할 수 있다.
2. 본 계약 및 개별 계약의 이행에 관한 손해배상의 누적 총액은, 채무 불이행(계약 불적합 책임 포함) 부당 이득, 불법 행위 등 청구 원인의 여부에 관계없이, 책임 사유의 원인이 된 개별 계약에 정한 ○○○의 금액을 한도로 한다.
3. 전항은, 손해배상 의무자의 고의 또는 중대한 과실에 기초하는 경우에는 적용하지 않는다.
시스템 벤더 측의 손해배상 책임 범위 판단 기준
사이버 공격으로 인해 위탁자 기업에 손해가 발생했을 때, 구체적으로 어떤 경우에 시스템을 개발한 벤더측의 책임이 물어질 수 있는지 알아보겠습니다.
아래에서는 실제로 시스템 벤더측에 책임이 물어진 판례를 바탕으로 설명하겠습니다.
개발 당시의 기술 수준에 맞는 대책을 실시하였는가
실제 판례에서 책임이 다투어질 경우, 시스템 벤더 측이 개발 당시의 정부 기관이나 업계 단체에서 주의를 환기하거나 매뉴얼 등에 따른 수준의 보안 대책을 실시하였는지가 중요하게 여겨집니다.
사이버 공격에 의한 손해에 대해, 시스템 벤더에 손해배상을 명령한 다음과 같은 판례가 있습니다.
【판례】도쿄지방법원 헤이세이 26년(2014년) 1월 23일
위탁자: 인테리어 상품의 소매, 통신판매를 하는 X사
벤더: 웹 주문 시스템의 설계, 유지보수 등의 위탁을 맡았던 Y사
사이버 공격으로 인해 고객의 신용카드 정보 7,000건이 유출된 사건
■판결
시스템 벤더측에 약 2천만 엔의 손해배상 명령
개발 대금을 약 200만 엔 초과하는 금액이 인정되었다
X사에도 과실이 인정되어, 30%의 과실상계
■이유
・당시의 기술수준에 맞는 보안대책 실시의무를 시스템 벤더가 소홀히 했다.
・시스템 벤더측으로부터 위험 설명을 받았음에도 불구하고 그 대책을 소홀히 한 위탁자 회사측에도 과실이 있다고 판단, 과실상계 30%를 적용하였다.
2014년 당시, 사이버 공격의 수단으로 ‘SQL 인젝션 공격’이 주류였고, 경제산업성도 ‘개인정보보호법에 기초한 개인 데이터의 안전관리 조치의 철저한 주의환기 [ja]‘라는 문서를 공개하여 사이버 리스크를 지적하고, 시스템 강화를 호소하고 있었습니다.
판결에서는 대책을 취하지 않았던 시스템 벤더측의 책임을 인정하고 손해배상을 명령하는 한편, 위탁자 회사에도 과실이 있다고 판단, 30%의 과실상계를 인정했습니다.
위탁자 측 기업에 과실이 있는가
시스템 개발을 발주하는 위탁자 측의 기업에도 지켜야 할 의무가 있으며, 과실이 있을 경우 전체 책임을 지게 될 가능성도 있습니다.
아래는, 사이버 공격의 사례는 아니지만, 위탁자 측의 기업의 책임을 전면적으로 인정하고 손해배상을 명령한 판례도 있습니다.
【판례】아사히카와지방법원 헤이세이 29년(2017년) 8월 31일
위탁자: 대학병원
벤더: 대학병원으로부터 전자 카르테 시스템 개발을 의뢰받은 시스템 회사
프로젝트 시작 직후부터, 현장의 의사들에 의한 추가 요구가 잇따랐다.
요구는 멈추지 않고 개발은 지연, 대학병원 측은 지연을 이유로 계약 해지 통고를 하였다.
■판결(항소심)
대학병원 측에 약 14억 엔의 배상 명령
양측에 배상을 명령한 1심 판결을 파기
■이유
・추가 요구에 응하면 납기에 맞추지 못한다는 벤더 측의 경고에, 병원 측이 귀를 기울이지 않았던 것이 문제시되었다.
이 판례는, 시스템의 개발 지연으로 인해 위탁자 측이 계약 해지를 통고한 것으로, 위탁자 측과 벤더 측이 각각 상대에게 배상 청구를 요구하여 제기한 사건입니다.
판결에서는, 시스템 벤더 측으로부터의 경고에 위탁자 측이 귀를 기울이지 않았던 것을 개발 지연의 원인으로 인정하고, 위탁자 측에 100%의 책임을 인정하고, 위탁자로부터의 청구를 기각하였습니다. 벤더 측에는, 납기에 맞추기 위해 프로젝트의 진행을 관리하는 ‘프로젝트 관리 의무’가 있습니다. 반면 위탁자 측에도 ‘협력 의무’가 있으며, 그것을 소홀히 한 경우에는, 전체 책임을 지게 될 수도 있으며, 실제 판례에서는 그 비율에 따라 배상 책임이 결정됩니다.
안전한 시스템 개발을 위한 3가지 포인트
사이버 위험에 대비하기 위해서는, 위탁자 측과 벤더 측이 함께 대응책을 마련하는 것이 중요합니다.
아래에서는 벤더와 위탁자가 각각의 입장에서 취할 수 있는 대응책에 대해 설명하겠습니다.
공공기관 등이 지적하는 사이버 위험을 파악하기
시스템 벤더 측은 경제산업성이나 독립행정법인 정보처리진흥기관(IPA) 등의 전문 기관에서 제시하는 가이드라인을 확인하고, 현재의 사이버 위험과 그에 대한 대응 방법을 파악한 후, 개발 및 운영에 착수해야 합니다.
또한, 벤더 측뿐만 아니라 위탁자 측의 기업도 내용을 어느 정도 파악한 후 가이드라인에 따른 개발 및 운영을 요청하고, 계약서에 보안 수준에 관한 조항을 포함시켜 두어야 합니다.
참고: 경제산업성|사이버 보안 경영 가이드라인 Ver 2.0 [ja]
참고: 정보처리진흥기관|안전한 웹사이트 만드는 방법 [ja]
특히, 금융 분야 등에서는 법령이나 가이드라인에 따라 고도의 보안이 요구되는 경우가 있습니다. 암호화폐에 대한 보안 대책에 대해서는 아래에서 자세히 설명하고 있습니다.
관련 기사: 암호화폐(가상화폐)에 대한 보안 대책은 무엇인가? 3가지 유출 사례와 함께 설명 [ja]
당사자 양측이 보안의 필요성에 대해 이해하기
경제산업성의 ‘사이버 보안 경영 가이드라인 Ver2.0 [ja]‘에는 “사이버 보안 대책은 경영 문제”라고 명시되어 있습니다.
보안에 대해 모르는 것을 이유로 벤더 측에 맡기는 것이 아니라, 기업 측도 그 위험 관리를 경영의 일부로 생각하고, 책임을 지고 대응책을 마련해야 합니다.
당사자가 공동으로 사이버 공격에 대응하기
사이버 공격을 받았을 때는, 발주자측과 벤더측이 책임을 서로 떠넘기는 것이 아니라, 협력하여 피해를 최소화하는 노력을 해야 합니다.
그러나, 시스템 개발의 발주자측과 수주자 측에서는 발주자의 입장이 강해지는 경향이 있으며, 시스템 개발이 비용과 납기를 중심으로 진행되는 경향이 있습니다. 벤더 측이 충분한 자금과 시간을 받지 못하고, 보안에 대한 제안을 해도 받아들여지지 않는 경우도 있을 것입니다.
그러나, 가이드라인에서는 위탁자 측 기업이 보안대책의 실행을 ‘비용’으로 보는 것이 아니라, 미래의 사업 활동 및 성장에 필수적인 것으로 위치시켜 ‘투자’로 보아야 한다고 지적하고 있습니다.
시스템 개발에서는, 벤더와 위탁자가 동등한 입장에서 공동으로 사이버 공격에 대응해 나가는 것이 중요합니다.
결론: 시스템 개발 계약서 작성은 변호사에게 상담하십시오
사이버 공격을 받아 손해가 발생한 경우, 시스템 개발에 참여한 벤더가 사이버 위험 대책을 게을리 한 것으로, 위탁자 기업 측에서 책임을 물을 수 있습니다.
그러나, 벤더에 대한 협력 의무를 게을리 한 위탁자 기업 측에도 책임이 있습니다.
사이버 공격의 피해를 최소한으로 줄이기 위해서는, 계약서에서 시스템 수준이나 각자의 책임범위를 정해두는 것이 필요할 것입니다.
시스템의 개발 등의 계약서 작성에는 가이드라인의 내용이나 현재의 사이버 위험 등의 전문지식을 가진 변호사에게 상담하십시오.
당사 법률사무소의 대책 안내
모노리스 법률사무소는 IT, 특히 인터넷과 법률의 양면에 높은 전문성을 가진 법률사무소입니다. 시스템개발계약에 있어서는 계약서의 작성이 필요합니다. 당사에서는 도쿄증권거래소 상장기업부터 벤처기업까지, 다양한 사건에 대한 계약서의 작성 및 검토를 진행하고 있습니다. 만약 계약서에 대해 고민이 있다면, 아래 기사를 참조해 주세요.
모노리스 법률사무소의 취급 분야: 시스템 개발 관련 법률 [ja]
Category: IT
Tag: CybercrimeIT