11만 명 개인정보 유출된 온라인 쇼핑몰에 과징금… 法 “정당한 처분”

해커 공격으로 이용자 개인정보 유출…과징금 4.6억 부과
회사 “통상적 주의의무 다했다”며 법원에 취소소송 제기
재판부 “합리적 기대 가능한 보호 조치 다했다고 볼 수 없어”

이미지투데이

해커의 공격으로 11만 명의 개인정보가 유출된 온라인 쇼핑몰 회사에 내린 과징금 처분은 정당하다는 법원의 판단이 나왔다. 개인정보보호법에 따라 회사에 안전조치 의무가 있다는 것이다.


10일 법조계에 따르면 서울행정법원 행정2부(고은설 부장판사)는 주식회사 A가 개인정보보호위원회를 상대로 제기한 개인정보 유출로 인한 과징금 부과처분 취소 소송에서 “합리적 기대가 가능한 보호 조치를 다하지 못했다”며 개인정보위 손을 들어줬다.


A회사는 건강기능식품 제조 및 판매업을 목적으로 하는 회사로 건강기능상품을 판매하는 온라인 쇼핑몰을 운영했다. 회사는 2022년 10월 기준 이용자 64만 명의 개인정보를 수집해 보관하던 중 해커의 공격으로 11만 9856명의 개인정보가 유출되는 사고가 발생했다. 이에 회사는 개인정보종합포털에 3회 유출 신고를 하고, 회원들에게 6회의 유출 통지를 했다.


신고를 받은 개인정보위는 개인정보 취급·운영실태 및 법 위반 여부를 조사한 뒤 안전조치 의무 위반 및 개인정보유출 등의 통지 신고에 대한 특례 위반을 이유로 과징금 4억 6457만 원을 부과하는 처분을 내렸다. 회사는 “업종·영업 규모에 맞는 통상적인 주의의무를 다했고, 과징금 산정에 있어 회사의 경영실적이나 부담능력 등을 적절히 고려하지 않아 위법하다”며 소송을 제기했다. 하지만 법원은 개인정보위의 과징금 처분이 정당하다는 결론을 내렸다. 회사가 쇼핑몰에서 수집·보관하는 개인정보에 대해 사회통념상 합리적으로 기대 가능한 보호 조치를 다했다고 볼 수 없다는 것이다. 재판부는 “쇼핑몰에서 수집·보관하는 개인정보에 대해 회사 측은 개인정보보호 법령상 안전조치 의무가 있다”고 지적했다. 또한 “과징금 납부로 인해 예상되는 자금 사정의 어려움은 과징금의 감경 고려 요건이 아니다”고 설명했다.


법원은 B회사가 운영하는 관리용 도메인에서 생긴 문제라 처분 사유가 없다는 회사의 주장도 받아들이지 않았다. 재판부는 “관리용 도메인이 이 사건 쇼핑몰의 도메인의 이상 안전조치 의무는 회사에 있다”며 “A회사와 B회사 사이에 체결한 쇼핑몰 구축계약서에 따르면 A회사는 B회사가 개발한 시스템에 대해 수정요구를 할 수 있었다"고 판단했다.


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>