신용카드 관련 정보 등의 유출방지목적 각종 장비에 투자한 금액이 조세특례제한법 제25조 (안전설비투자 등에 대한 세액공제) 적용대상인지 여부

사 건 2016구합64838 경정거부처분취소 원 고 0000주식회사 피 고 00세무서장 변 론 종 결

2017. 11. 17 판 결 선 고

2017. 12. 22

1. 원고의 청구를 기각한다.

2. 소송비용은 원고가 부담한다.

• 가. 원고는 신용카드, 직불카드, 선불카드의 발행 및 관리업무, 위 카드 이용과 관련된 대금의 결제업무 등을 영위하는 여신전문금융업법상의 여신전문금융회사이다.
• 나. 원고는 “201x 및 201x 사업연도에 정보보호시스템(이하 ‘이 사건 시스템’이라고 한다)을 구축하는 데에 x,xxx백만원을 투자하였고, 위 투자액은 조세특례제한법 등에 따른 안전설비 등 투자 등에 대한 세액공제 대상에 해당한다. 그런데 당초 법인세 과세표준 신고 당시 이 사건 시스템에 관한 위와 같은 세액공제의 적용을 누락하였다“는 이유로 201x. x. xx. 피고에 대하여 201x 사업연도 법인세 xx백만원, 201x 사업연도 법인세 x백만원의 경정청구를 하였다.
• 다. 이에 대하여 피고는 201x. x. xx. 원고에 대하여 “이 사건 시스템은 개인정보 보호 또는 원고 고유의 업무를 위한 투자에 해당할 뿐 조특법 제25조의 세액공제 대상이 되는 ‘기술유출방지설비’에 관한 투자가 아니다.”라는 이유로 원고의 경정청구를 거부 (이하 ‘이 사건 처분’이라고 한다)하였다.
• 라. 원고는 201x. x. xx. 조세심판원에 이 사건 처분에 관한 심판청구를 하였으나, 201x. x. x. 기각되었다.

• 가. 원고 주장의 요지 이 사건 시스템은 조특법 시행규칙 제13조 제6항, [별표 8]에서 열거하고 있는 기술유출방지설비로서의 정보보호시스템에 해당하므로, 조특법 제25조 제1항 제9호에 따라 201x 및 201x 사업연도에 이 사건 시스템에 관한 투자액 x,xxx백만원에 관하여는 조특법 제25조 제1항 제9호에 따른 세액공제가 이루어져야 한다(그것이 전자금융거래법 등에 의하여 원고가 의무적으로 설치하여야 하는 정보보호시스템에 해당하더라도 이와 달리 볼 수 없다). 설령 정보보호시스템의 구축에 있어 ‘기술유출 방지목적’이 인정되어야만 조특법 제25조 제1항 제9호에 따른 세액공제를 받을 수 있다고 하더라도, 기술에는 ‘사업상 보호되어야 할 거래 관련 정보, 지적 재산, 기업 고유의 업무프로세스 및 영업노하우’가 모두 포함되는 것이고, 이 사건 시스템은 원고의 기술에 해당하는 ‘신용카드 결제프로세스 기술, 사업노하우, 신용카드 관련 정보 및 카드회원 개인정보’ 등을 보호하고 외부로 유출되는 것을 방지하기 위한 목적에서 설치된 것이므로, 위와 같은 세액공제가 이루어져야 한다. 따라서 이와 다른 전제에서 이루어진 이 사건 처분은 위법하므로 취소되어야 한다.
• 나. 관계 법령: 생략
• 다. 판단

1. 조세법률주의의 원칙상 과세요건이나 비과세요건 또는 조세감면요건을 막론하고 조세법규의 해석은 특별한 사정이 없는 한 법문대로 해석하여야 하고 합리적 이유없이 확장해석하거나 유추해석하는 것은 허용되지 아니하며, 특히 감면요건 규정 가운데 명백히 특혜규정이라고 볼 수 있는 것은 엄격하게 해석하는 것이 조세공평의 원칙에 부합한다(대법원 2003. 1. 14. 선고 2002두9537 판결, 대법원 2009. 8. 20. 선고 2008두11372 판결 등 참조). 한편 조세감면규정에 의한 법인세 감면의 요건에 관한 증명책임은 그 감면사유를 주장하는 납세의무자에게 있다고 할 것이다(대법원 1996.4.26. 선고 94누12708 판결, 대법원 2008. 10. 23. 선고 2008두7830 판결 등 참조). 조특법 제25조 제1항 제9호(이하 ‘이 사건 감면규정’이라고 한다)는 ‘내국인이 기술유출 방지설비 중 산업정책상 필요하다고 인정하여 대통령령으로 정하는 시설에 2012년 12월 31일까지 투자하는 경우에는 그 투자금액의 100분의 3에 상당하는 금액을 소득세 또는 법인세에서 공제한다.’고 규정하고 있고, 그 위임을 받은 조특법 시행령 제22조 제1항 제10호는 ‘법 제25조 제1항 본문에서 대통령령으로 정하는 시설이라 함은 정보보호시스템설비 등 기술유출방지설비로서 기획재정부령이 정하는 것에 해당하는 시설을 말한다.’고 규정하고 있으며, 위 시행령의 위임에 따라 조특법 시행규칙 제13조 제6항, [별표 8]은 기술유출방지설비 중 정보보호시스템에 해당하는 것으로 ‘암호화 및 인증제품‘, ’네트워크 보안제품‘, ’시스템 보안제품‘을 들고 있다. 따라서 이 사건 감면규정에 따라 조세감면을 받기 위해서는 ① 내국인이 기술유출 방지설비 중에서, ② 산업정책상 필요하다고 인정하여 대통령령으로 정하는 시설 (조특법 시행규칙[별표 8]의 기술유출방지설비)에 2012. 12. 31.까지 투자한 경우에 해당하여야 하고, 위 요건 중 일부인 ‘대통령령으로 정하는 시설 (조특법 시행규칙 [별표 8]의 기술유출방지 설비)’에 투자하였다는 이유만으로는 이 사건 감면규정에 따른 조세감면을 받을 수는 없다. 한편 조특법은 ‘기술유출 방지설비’나 ‘기술’의 의미에 관하여는 별도로 규정하고 있지 아니하고 이에 관한 준용규정도 마련하지 않았다. 그러나 ① 이 사건 감면규정에서 말하는 ‘기술유출 방지설비’는 ‘기술’이 유출되는 것을 방지하기 위한 설비라고 이해되고, 기술의 사전적 의미는 “과학 이론을 실제로 적용하여 사물을 인간 생활에 유용하도록 가공하는 수단” 또는 “사물을 잘 다룰 수 있는 방법이나 능력”인 점, ② 이 사건 감면규정은 2004. 12. 31. 법률 제7281호로 개정된 조세특례제한법에 신설된 것으로서 ‘기술유출로 인한 산업 피해를 방지하기 위한 목적’으로 마련된 것이므로 이 사건 감면규정의 입법취지는 기술유출방지시설 투자에 대한 세액공제 지원으로 위와 같은 투자를 유도함으로써 기업의 기술을 보호하기 위함에 있다고 보이는 점(이 사건 감면규정은 그 입법취지에 맞게 조특법 제4절(투자촉진을 위한 조세특례)에 위치하고 있다), ③ 마찬가지로 산업기술의 부정한 유출을 방지하고 산업기술을 보호하고자 하는 데에 입법목적이 있는 ‘산업기술의 유출방지 및 보호에 관한 법률’에서 말하는 산업기술(제2조 제1호)은 ‘제품 또는 용역의 개발․생산․보급 및 사용에 필요한 제반 방법 내지 기술상의 정보’ 중 일정 범위 내의 것으로 그 범위가 제한되는 점, ④ 조특법 제12조(조특법 시행령 제11조 제4항, 기술의 이전 및 사업화 촉진에 관한 법률 제2조 제1호)에서 말하는 ‘기술’은 ‘ 특허법 등 관련 법률에 따른 등록 또는 출원된 특허, 실용신안, 디자인, 반도체집적회로의 배치설계 및 소프트웨어 등 지적재산, 위와 같은 기술이 집적된 자본재, 위 기술 등에 관한 정보, 이전 및 사업화가 가능한 기술적․과학적 또는 산업적 노하우’를 말하는 것인 점, ⑤ 조특법 시행규칙 [별표 8]에서 정보보호시스템과 함께 기술유출방지설비로 들고 있는 ‘물리적 보안장비’, ‘보안목표시설의 보안장비’에 관하여는 ‘교육과학기술부장관의 인정을 받은 기업부설연구소 또는 연구개발전담부서’에 설치된 것 또는 ‘보안업무규정 제36조에 따른 보안목표시설’에 설치된 것으로 그 적용범위가 한정되는 점 등 기술의 사전적 의미, 이 사건 감면규정의 입법취지, 다른 법령에서 들고 있는 기술의 정의, 조특법 시행규칙 [별표 8]에서 정보보호시스템과 함께 기술유출방지설비로 거시된 다른 설비와의 균형적 해석에 비추어, 사물에 적용하는 방법이나 능력, 기업의 산업기술 등과는 무관한 ‘단순히 사업 과정에서 취득한 거래관계에 관한 정보나 개인정보’ 등을 보호하기 위한 정보보호시스템은 이 사건 감면규정상 ‘기술유출 방지설비’에 해당한다고 볼 수 없다.

2. 갑 제2호증의 1 내지 7, 갑 제3호증의 1 내지 13의 각 기재에 변론 전체의 취지를 종합하면, 아래와 같은 사실이 인정된다.

• 가) 이 사건 시스템은 조특법 시행규칙 [별표 8]의 기술유출방지설비 중 정보보호시스템에 해당하는 것이고, 그 구체적 내역은 아래 표 기재와 같다. (표 생략)
• 나) 이 사건 시스템의 암호화 및 인증제품[공개키기반구조(PKI) 적용 제품] 중 ① HSM(Hardware Security Module) 장비는 ‘카드 승인 과정 중에 송수신되는 카드번호, 결제대금, 고객 이름 등 거래에 관한 정보를 보호하기 위한 것’이거나 ‘IC카드 발급시 또는 모바일기기에서 카드 발급 시 사용되는 카드번호, 고객 개인 정보, 비밀번호 등 카드발급에 관한 정보를 보호하기 위한 것’이고, ② 그 중 SSL(SecureSockets Layer) 장비는 인터넷 홈페이지 사용자에 대한 피싱 등 피해를 방지하고, 정보 송수신 구간을 보호하기 위한 것으로서 홈페이지 내 개인정보 등을 보호하기 위한 것이다.
• 다) 이 사건 시스템 중 네트워크 보안제품은, 네트워크를 통해 송수신되는 정보를 보호하는 설비로서 원고가 발급한 신용카드 등의 승인․결제 과정에서 송수신되는 정보를 보호하기 위하여 설치된 것이다. 특히 그 중 가상사설망(Virtual Private Network)은, 공중망(public network)을 마치 전용선으로 사설망(private network)을 구축한 것처럼 사용할 수 있는 방식으로 망을 통해 송․수신되는 정보(카드결제과정에서 송수신되는 카드번호, 결제 대금, 카드 보유 고객의 개인정보, 가맹점 정보 등)를 보호하는 설비를 말한다.
• 라) 이 사건 시스템 중 시스템 보안제품은 ‘주민등록, 카드번호, 계좌번호, 사업자등록번호 등’과 같은 정보를 보호하기 위하여 설치된 것으로서, ① 그 중 순번 6의 ‘이메 일 보안강화솔루션’을 구입할 당시 작성된 ‘품의서’에는 아래와 같은 “도입 내역”이 기재되어 있고, ② 그 중 순번 7의 ‘웹셀탐지시스템’을 구입할 당시 작성된 ‘품의서’에는 아래와 같은 “추진 목적”, “추진 배경”이 기재되어 있다. [도입 내역]

○ 개인정보 보호 필터 패턴 등록 * 주민번호, 카드번호, 계좌번호, 사업자등록번호 등

○ 주민번호, 카드번호 등 항목별 출현 횟수 표기

○ 조직도 연동 시 당사 임직원 휴대폰 번호 추가

○ 승인 후 첨부 파일 암호화 등 [추진 목적, 추진 배경]

• 인터넷 웹서버에 대한 악의적인 웹 스크립트 파일(웹셀)에 의한 침해사고 발생을 효율적으로 예방하고 대처하기 위함(웹셀의 신속한 탐지 및 검증)

• 최근 해킹 프로세스의 다양한 변화에 따라 웹셀을 통한 고객정보 유출 등의 정보 보안 사고 증가

• 기존의 보안시스템을 활용한 웹셀 탐지는 제한적이므로 효과적인 웹셀 보안대책 필요

• 마) 전자금융감독규정(2011. 10. 10. 금융위원회고시 제2011-18호, 이하 같다)에 따라 금융기관이 갖추어야 하는 ‘무선통신망 접속 차단 등의 시스템’(제12조 제5호), ‘정보보호시스템, 무선통신망 보안대책, 무선통신망 차단시스템’(제15조), ‘악성코드 검색 및 치료프로그램’(제16조)은 모두 조특법 시행규칙 [별표 8]에서 정한 정보보호시스템과 동일한 것이거나 그 일종이다.

4. 위 인정 사실에 의하여 알 수 있는 다음과 같은 사정에 비추어, 원고가 설치한 이 사건 시스템으로써 보호하고자 하는 정보는 기술에 해당한다고 보기 어려운 것일 뿐만 아니라, 이 사건 시스템은 구 전자금융거래법상 금융기관인 원고에게 그 설치의무가 있는 정보보호시스템이므로, 이 사건 시스템이 이 사건 감면규정의 적용대상인 정보보호시스템에 해당한다고 볼 수 없다. 따라서 이와 다른 전제에서 하는 원고의 주장은 받아들일 수 없다.

• 가) 이 사건 시스템으로 보호되는 것은 원고가 금융업을 영위하는 과정에서 취득한 거래내역, 영업점, 고객정보 등 거래에 관한 정보들로 보인다.
• 나) 기술이든 고객정보 등 사업상 획득한 정보이든 해당 기업에 데이터 형태로 보관될 수밖에 없으므로 정보보호시스템을 갖추고 있다는 사정만으로 해당 시스템으로 보호되고 있는 기술이 있다는 점까지 인정될 수는 없다. 원고는 그가 보유하고 있는 특별한 기술이 있다는 취지로 갑 제6호증(신문기사)을, 특허 받은 기술이 있다는 취지로 갑 제11호증(특허정보 검색서비스 화면)을 제출하고 있으나, 해당 기술이 이 사건 시스템에 의하여 어떻게 보호되고 있는지에 관하여는 구체적인 설명이 없고, 달리 원고가 이 사건 시스템으로 기술 유출을 방지하고 있다는 점에 관한 구체적인 주장․증명이 없다.
• 다) 구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것, 이하 같다)에 의하면, 여신전문금융업법에 따른 여신전문금융회사는 금융기관으로서 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류별로 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수할 의무를 부담하고, 금융위원회는 신용카드업자가 위와 같은 의무를 위반한 경우에는 6개월의 범위에서 기간을 정하여 신용카드업무 등의 전부 또는 일부의 정지를 명할 수 있다 (2제2조 제3호 (나)목, 제21조 제2항, 제57조 제1항 제2호). 위 위임에 따른 전자금융감독규정에 의하면, 금융기관은 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 정보보호시스템을 설치 및 운영하고 내부통신망과 연결된 단말기에서 위 정보보호시스템을 우회한 인터넷 등 외부통신망(무선통신망을 포함한다) 접속을 금지하는 등의 대책을 수립․운용하여야 한다(제2조 제6호, 제15조 제1항 제1호, 제3호). 이와 같이 구 전자금융거래법상 금융기관에 해당하는 원고는 정보처리시스템 내 정보를 유출․위변조․훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위하여 이 사건 시스템과 같은 정보보호시스템을 설치할 의무가 있으므로, 원고의 이 사건 시스템의 설치는 위와 같은 법령상 의무의 이행에 해당한다고 보일 뿐이다.

그렇다면 원고의 청구는 이유 없으므로 이를 기각하기로 하여, 주문과 같이 판결한다.