프리미어리그 뷰어쉽 - 2024년 실시간 업데이트
해킹 당해 11만명 이름·주소 등 유출
쇼핑몰 측 "통상적인 주의의무 다했다"
法 "합리적 기대할 수 있는 조치 아냐"
서울행정법원 행정2부(부장판사 고은설)는 지난 4월18일 A 주식회사가 개인정보보호위원회(위원회)를 상대로 제기한 과징금 부과처분 취소 소송에서 원고 패소로 판결했다.
건강기능식품을 판매하는 A사의 쇼핑몰은 지난 2022년 9월께 해킹을 당해 고객 11만9856명의 개인정보가 유출됐다.
A사는 민원을 받고 시스템을 점검해 확인한 후 개인정보 종합 포털에 유출 신고를 하고 정보가 유출된 회원들에게 유출 통지를 했다.
위원회는 2022년 10월부터 이듬해 2월까지 A사에 대해 개인정보 취급 및 운영 실태와 법 위반 여부를 조사한 후 A사가 개인정보의 기술적·관리적 보호조치 기준을 위반했다고 판단했다.
이에 따라 위원회는 지난해 3월 A사에 과징금 4억6457만원을 부과했다.
A사는 "업종·영업 규모에 상응하는 통상적인 주의의무를 다했고 이 사건 사고는 원고가 관리하는 대표 도메인이 아니라 다른 주식회사가 관리하는 관리용 도메인의 문제로 인해 발생한 것"이라고 주장했다.
또 "과징금 산정에 있어 악화된 원고의 경영실적 및 시장·산업 환경에 따른 과징금 부담 능력,프리미어리그 뷰어쉽원고가 취한 피해확산 방지 조치 및 피해구제 조치를 적절히 고려하지 않았고 유사사례와 비교해 사회 통념상 현저하게 타당성을 잃었다"고 했다.
1심 재판부는 원고의 주장을 받아들이지 않았다.
재판부는 "원고가 운영한 방화벽과 침입 방지 시스템이 충분한 접근 제한,프리미어리그 뷰어쉽유출 탐지 기능을 하지 못해 발생한 것으로 보인다"고 판단했다.
또 "원고가 불법 접근을 차단하도록 설정을 변경하고 쇼핑몰 게시판에 대한 파일 업로드·다운로드 방식 변경 등 조치를 취한 점을 고려하면 당시 개인정보에 대해 사회 통념상 합리적으로 기대 가능한 정도의 보호조치를 다했다고 할 수 없다"고 지적했다.
그러면서 "이 쇼핑몰은 원고가 운영하고 관리하는 쇼핑몰로 관리용 도메인이 이 사건 쇼핑몰의 도메인인 이상 그에 대한 개인정보 보호 법령상 안전 조치 의무는 원고에게 있다"고 덧붙였다.
과징금 산정이 타당하지 않다는 주장에 대해서는 "과징금이 지나치게 가혹해 비례의 원칙이나 평등의 원칙에 반해 재량권을 일탈·남용했다고 보기 어렵다"며 "과징금 납부로 인해 예상되는 자금사정의 어려움은 감경의 고려 요건이 아니다"라고 판시했다.
아울러 재판부는 "현대 사회에서 개인정보가 유출될 경우 발생할 다양한 피해와 악용의 위험성을 고려하면 개인정보 보호조치 의무 위반을 제재함으로써 개인정보의 유출을 방지하고자 하는 공익은 제공자가 받게 되는 금전적 불이익보다 훨씬 중대하다"며 판결이 법익의 균형성을 갖췄다고 설명했다.
A사는 이에 불복해 지난 4월 항소했다.