2023구합81091 과징금부과처분취소 일반행정 서울행정법원 2025.03.28

국내외 직업정보제공사업을 하는 甲 주식회사가 채용정보를 제공하는 온라인 사이트를 운영하면서 수집·보관하던 이용자의 이력서 등 개인정보를 해커의 공격으로 열람당한 사고에 대하여, 개인정보보호위원회가 법 위반 여부를 조사한 다음 구 개인정보 보호법 등을 위반하였다고 보아 과징금을 부과한 사안에서, 甲 회사는 구 개인정보 보호법 제29조, 구 개인정보 보호법 시행령 제48조의2 제1항 제2호 등에서 정한 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 및 침입탐지시스템의 운영 및 기타 접근 통제 조치를 이행하지 않았음이 인정되고, 과징금 산정에서 재량권을 일탈·남용하였다고 보기 어려워 위 처분이 적법하다고 한 사례

구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 제29조, 제39조의15 제1항 제5호, 구 개인정보 보호법 시행령(2023. 9. 12. 대통령령 제33723호로 개정되기 전의 것) 제48조의2 제1항 제2호, 제48조의11 제1항, 제4항 [별표 1의5]

국내외 직업정보제공사업을 하는 甲 주식회사가 채용정보를 제공하는 온라인 사이트를 운영하면서 수집하여 보관하던 이용자의 이력서 등 개인정보를 해커의 공격으로 열람당한 사고(이하 ‘해킹사고’라 한다)에 대하여, 개인정보보호위원회가 법 위반 여부를 조사한 다음 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 같다) 제29조 등을 위반하였다고 보아 과징금을 부과한 사안이다.
정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 의무를 위반했는지를 판단할 때는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안 기술 수준, 정보통신서비스 제공자의 업종·영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보 내용과 개인정보 누출로 이용자가 입게 되는 피해 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했는지를 기준으로 판단해야 하는데, 위 해킹사고는 甲 회사가 운영한 침입탐지시스템(IDS) 및 침입방지시스템(IPS)이 비정상적인 접속시도에 대하여 충분히 탐지 및 차단 기능을 하지 못하여 발생한 것으로 보이는 점, 甲 회사는 이용자의 이메일을 받고 난 이후에야 위 해킹사고를 인지하였던 것으로 보이는 점, 甲 회사가 위 해킹사고가 발생한 이후 얼마 지나지 않아 동일 IP에서 로그인 시도 횟수를 제한하는 정책 및 휴면계정을 해제하기 위하여 비밀번호 입력 외에 추가적인 인증을 요구하는 정책을 적용하였고, 이러한 조치는 위 해킹사고 이전에도 충분히 가능했던 점 등을 고려하면, 甲 회사가 위 해킹사고 당시 자신이 운영하는 위 온라인 사이트에서 수집·보관하는 개인정보에 대해 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였다고 볼 수 없다는 이유로, 甲 회사는 구 개인정보 보호법 제29조, 구 개인정보 보호법 시행령(2023. 9. 12. 대통령령 제33723호로 개정되기 전의 것) 제48조의2 제1항 제2호, 개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회 고시 제2020-5호) 제4조 제5항, 제9항에서 정한 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 및 침입탐지시스템의 운영 및 기타 접근 통제 조치를 이행하지 않았음이 인정되고, 과징금 산정에서 재량권을 일탈·남용하였다고 보기 어려워 위 처분이 적법하다고 한 사례이다.

【원 고】

○○○ 주식회사 (소송대리인 법무법인(유한) 지평 담당변호사 신용우 외 2인)

【피 고】

개인정보보호위원회 (소송대리인 법무법인 비트 담당변호사 변준석 외 2인)

【변론종결】

2025. 3. 7.

【주 문】

1. 원고의 청구를 기각한다.
2. 소송비용은 원고가 부담한다.

【청구취지】

피고가 2023. 8. 30. 원고에 대하여 한 70,609,000원의 과징금 부과처분을 취소한다.

【이 유】

1. 처분의 경위
가. 원고는 국내외 직업정보제공사업 등을 목적으로 하는 회사로서 채용정보를 제공하는 온라인 사이트[(사이트 주소 생략), 이하 ‘이 사건 사이트’라 한다]를 운영하고 있으며, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 제1항 제3호의 정보통신서비스 제공자이자, 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 ‘법’이라 한다) 제2조 제5호의 개인정보처리자이다.
나. 원고는 이 사건 사이트를 운영하면서 2020. 9. 30. 기준 아래 〈표 1〉 기재와 같은 이용자 8,896,862명의 개인정보를 수집하여 보관하였다.
〈표 1〉구분항목수집일건수회원정보(필수) 이메일(아이디), 비밀번호, 이름, 생년월일, 성별, 휴대전화번호, 소셜계정의 경우 동일인식별번호?(유효)(선택) 사진, 취업우대 및 특이사항(병역사항, 보훈대상, 장애여부, 고용지원금대상여부), 어학능력(어학시험명 등급, 취득일자), 학력사항(학교명, 재학기간, 전공, 계열, 수행프로젝트), 자격사항(자격명, 발행처, 취득일자), 교육수료사항(과정명, 교육기관), 수상경력(수상내역, 수여기관, 수상날짜), 봉사활동 및 주요활동내용, 포트폴리오 및 기타 첨부서류1998. 6. 1.부터 계속1,951,423(분리보관)?6,945,439합계8,896,862
다. 신원미상의 자(이하 ‘해커’라 한다)는 2020. 9. 29.경부터 같은 달 30일경까지 이 사건 사이트의 로그인 페이지에 크리덴셜 스터핑 공격을 시도하였고, 36,458명의 계정에 대하여 로그인에 성공하였으며, 35,076명(중복 열람된 정보주체의 수 제외)에 대한 이력서 등 개인정보를 열람하였다(이하 ‘이 사건 사고’라 한다).
라. 피고는 이 사건 사고에 대해 2020. 9. 30. 원고의 신고를 받은 후 2022. 3. 29.부터 2022. 3. 30.까지 원고에 대하여 법 위반 여부를 조사한 다음, 원고가 아래 〈표 2〉 기재와 같이 법 및 구 개인정보 보호법 시행령(2023. 9. 12. 대통령령 제33723호로 개정되기 전의 것, 이하 ‘시행령’이라 한다), 개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회 고시 제2020-5호, 이하 ‘보호조치 기준’이라 한다)을 위반하였다(이하 ‘이 사건 위반행위’라 한다)고 보아, 2023. 7. 12. 심의를 거쳐 2023. 8. 30. 원고에게 과징금 70,609,000원을 부과하는 처분(이하 ‘이 사건 처분’이라 한다)을 하였다.
〈표 2〉위반행위근거 법령세부내용안전조치의무 위반법 제29조, 시행령 제48조의2 제1항 제2호○ 개인정보처리시스템에 대한 접근제한 및 유출탐지 등 정보통신망을 통한 불법적인 접근 및 침해사고 방지 시스템 운영을 소홀히 한 행위(보호조치 기준 제4조 제5항)○ 열람 권한이 없는 자에게 공개되거나 유출되지 않도록 필요한 조치를 소홀히 한 행위(보호조치 기준 제4조 제9항)
[인정 근거] 다툼 없는 사실, 갑 제1 내지 3호증, 을 제1, 4호증의 각 기재, 변론 전체의 취지
2. 관련 법령
별지 관련 법령 기재와 같다.
3. 이 사건 처분의 위법 여부
가. 원고 주장의 요지
이 사건 처분에는 아래와 같은 사유가 있어 위법하므로 취소되어야 한다.
1) 처분사유 부존재
원고는 침입탐지시스템 및 침입방지시스템을 설치·운영하고 있었고, 자체 모니터링 시스템도 구축하여 운영하고 있었는바, 보호조치 기준 제4조 제5항의 의무를 준수하였다. 또한 원고는 보호조치 기준의 해설서로서 개인정보보호위원회와 한국인터넷진흥원이 발간한 ‘개인정보의 기술적·관리적 보호조치 기준 해설서’(이하 ‘이 사건 해설서’라 한다)에서 제시한 보호조치 기준 제4조 제9항의 의무 준수를 위한 구체적인 방안을 모두 이행하였는바, 보호조치 기준 제4조 제9항의 의무도 준수하였다.
원고는 위와 같이 이 사건 사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 모두 이행하였는바, 이 사건 사고는 원고의 안전조치의무 위반이 아니라 여러 사이트에 동일한 아이디와 비밀번호를 사용한 이용자의 부주의로 인하여 발생하였다.
2) 재량권 일탈·남용
가) 필수적 가중에 대한 주장
피고는 구 개인정보보호 법규 위반에 대한 과징금 부과기준(개인정보보호위원회 고시 제2022-3호, 개인정보보호위원회 고시 ‘개인정보 보호법 위반에 대한 과징금 부과기준’ 제2023-3호가 2023. 9. 15. 제정됨에 따라 폐지된 것, 이하 ‘과징금 부과기준’이라 한다) 제6조에 따른 위반기간 산정 시 위반기간의 개시일을 ‘원고가 설립된 날인 2018. 8.경’으로, 위반기간의 종료일을 ‘이 사건 사고가 발생한 2023. 9. 30.’로 보아 이 사건 위반행위가 ‘장기 위반행위(2년 초과)’에 해당한다고 판단하였다.
그러나 2018. 8.경을 기준으로 HTTPS 복호화 기능을 갖춘 IDS 및 IPS를 설치·운영하는 것이 사회통념상 합리적으로 기대 가능한 보호조치에 해당한다고 볼 수 없고, 이 사건 해설서에서도 휴면계정 해제 시 비밀번호 인증 외에 추가인증을 할 것을 요구하고 있지 않으므로, 원고는 2018. 8.경 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 모두 이행하였다. 따라서 피고가 위반기간의 개시일을 2018. 8.경으로 보아 위반기간을 산정한 것은 타당하지 않다.
나) 임의적 감경 내지 면제에 대한 주장
원고의 이 사건 위반행위는 그 내용과 정도가 매우 경미하므로, 시행령 [별표 1의5] 2의 라.2)항에 따라 시행령 과징금 전부를 면제할 수 있다. 또한 해커가 로그인에 성공한 계정의 대부분은 휴면회원으로 전환된 장기 미사용자의 계정으로, 위 계정들에는 대부분 유의미한 정보가 포함되어 있지 않은 점, 이 사건 사고로 인하여 정보주체에 발생한 피해는 없거나 극히 미미한 점 등을 고려하면 원고는 시행령 [별표 1의5] 2의 라.1)항에 따라 과징금을 100분의 90 범위에서 감경할 수 있다.
그럼에도 피고는 이 사건 처분에 적용되어야 하는 시행령이 아니라 구 법 시행령(2022. 7. 19. 대통령령 제32813호로 개정되기 전의 것)을 적용하였다. 이에 따라 피고는 시행령 [별표 1의5] 2의 라.항에서 정한 부과과징금의 임의적 감경 내지 면제사유를 검토조차 하지 않았는바 재량권을 일탈·남용한 위법이 있다.
다) 비례원칙 내지 평등원칙을 위반하였다는 주장
피고가 유사사례에서는 크리덴셜 스터핑이 관련 업계에서 충분히 사이버 공격으로 인식되지 못한 사정, 여러 사이트에서 동일한 아이디 및 비밀번호를 사용한 이용자에게 부주의가 존재한다는 사정을 임의적 감경 사유로 고려하였음에도 이 사건에서는 위와 같은 사정을 고려하지 않은 점, 유사사례에서는 정보통신제공자에게 휴면계정 해제 시 추가인증을 할 것을 요구하지 않았음에도 원고에 대하여만 휴면계정 해제 시 비밀번호 이외에 추가적인 인증을 적용하여야 한다고 판단한 점 등을 종합하여 보면, 이 사건 처분은 비례원칙 내지 평등원칙에 반한다.
나. 처분사유 존부에 관한 판단
1) 인정 사실
가) 원고는 침입탐지시스템(IDS)으로 ‘△△△’를, 침입방지시스템(IPS)으로 ‘□□□’을 각 도입하여 운영하였으나, 암호화된 웹서비스 방식인 HTTPS를 사용하면서도 위 암호화된 통신을 복호화하는 IDS를 설치·운영하지 않았다.
나) 원고는 IDS, IPS의 모니터링을 외부 보안관제업체에 위탁하여 운영하고 있으나, 운영 중인 보안장비에서는 2020. 9. 29. 17:38부터 2020. 9. 30. 9:51까지 발생한 해커의 크리덴셜 스터핑 공격을 탐지하지 못하였다.
다) 원고는 2020. 9. 30. 7:24경 휴면계정의 이용자로부터 자신이 모르는 사이에 계정의 휴면 상태가 해제되어 아이디 도용이 의심된다는 메일을 받았고, 같은 날 9시경 특정 IP에서 다수의 로그인이 시도된 정황을 확인하였으며, 같은 날 9:45경 다수의 로그인을 시도한 IP를 확인하여 방화벽에서 차단 조치하였다.
라) 원고는 이 사건 사고 이후인 2020. 9. 30. 18:54경 동일 IP에서 1시간 이내에 30회 이상 접속 시 IP를 차단하는 정책을 적용하였고, 2020. 10. 5.부터 2020. 10. 23.까지 휴면회원에 대한 크리덴셜 스터핑 공격을 예방하기 위하여 로그인 페이지를 대상으로 캡챠 인증 방식을 적용하였으며, 2020. 10. 23. 이후 휴면상태를 해제하기 위해서 핸드폰 또는 이메일로 인증하는 방식으로 변경하는 조치를 취하였다.
[인정 근거] 다툼 없는 사실, 앞서 든 증거들, 갑 제4 내지 6호증의 각 기재, 변론 전체의 취지
2) 판단
가) 관련 법리
(1) 법 제29조는 "개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다."라고 규정하고 있다. 그 위임을 받은 시행령 제48조의2 제1항은 정보통신서비스 제공자 등이 이용자의 개인정보를 처리하는 경우 취해야 할 안전성 확보 조치에 관하여 규정하고 있는데, 구체적으로 제2호에서 ‘개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치’를 규정하면서 (나)목에서 ‘개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영’을, (마)목에서 ‘그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치’를 규정하고 있다.
한편 시행령 제48조의2 제3항의 위임을 받아 안전성 확보 조치에 관한 세부 기준을 정하고 있는 보호조치 기준은 제4조 제1항에서 ‘정보통신서비스 제공자 등은 개인정보처리시스템에 대한 접근 권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.’고 규정하고 있고, 같은 조 제5항에서 ‘정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각호의 기능을 포함한 시스템을 설치·운영하여야 한다.’고 규정하면서 제1호에서 ‘개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한’을, 제2호에서 ‘개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지’를 규정하고 있다. 또한 보호조치 기준은 제4조 제9항에서 ‘정보통신서비스 제공자 등은 처리 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.’고 규정하고 있다.
(2) 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 의무를 위반하였는지 여부를 판단할 때는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다(대법원 2018. 1. 25. 선고 2015다24904, 24911, 24928, 24935 판결 등 참조).
나) 구체적 판단
위에서 본 사실과 증거에 변론 전체의 취지를 더하여 알 수 있는 아래와 같은 사정들을 종합하여 보면, 원고는 법 제29조, 시행령 제48조의2 제1항 제2호, 보호조치 기준 제4조 제5항, 제9항이 정한 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 및 침입탐지시스템의 운영 및 기타 접근 통제 조치를 이행하지 않았음이 인정되므로, 원고의 이 부분 주장은 받아들이지 아니한다.
(1) 원고는 HTTPS 방식의 웹에서 서비스를 제공하면서도, 복호화 기능이 없거나 복호화 설정이 되어 있지 않은 IDS를 설치 운영하였다. 복호화설정이 되어 있지 않은 IDS는 이 사건 사이트에 대한 암호화된 통신을 통한 공격을 탐지하기 어렵다.
(2) 이 사건 사고 당시 2,179,561회에 달하는 로그인 시도에 이용된 IP 주소는 중국 IP 3개, 국내 IP 4개로 총 7개에 불과하고, 해커는 위 7개의 IP 주소별로 적게는 4,776회, 많게는 1,222,845회 로그인을 시도하였으며, 이를 분당 크리덴셜 스터핑 공격 건수로 계산하면 1회에서 많게는 5,062회까지, 분당 평균 2,555회 로그인 시도가 이루어졌다. 그럼에도 원고가 이 사건 사고 당시 운영한 침입탐지시스템(IDS)은 위와 같은 비정상적인 로그인 시도를 탐지하지 못하였다. 원고는 해커의 공격이 시작된 2020. 9. 29. 17:38경으로부터 상당한 시간이 지난 후인 2020. 9. 30. 7:24경 휴면계정의 이용자로부터 자신이 모르는 사이에 계정의 휴면 상태가 해제되어 아이디 도용이 의심된다는 내용의 이메일을 받았고, 같은 날 9시경에 이르러서야 특정 IP에서 다수의 로그인이 시도된 정황을 확인하였다.
이에 대하여 원고는 2020. 9. 30. 7시경 이 사건 사고에 관한 이상 징후를 최초로 탐지하고, 로그기록을 통해 그 원인을 분석하던 중 같은 날 7:24경 휴면 상태가 해제되었다는 이용자의 이메일을 받았다는 취지로 주장한다. 그러나 원고는 같은 날 9:45경에야 다수의 로그인을 시도한 IP를 확인하여 방화벽에서 차단 조치를 하였는데, 이와 같이 관련 조치가 이루어진 시점 등에 비추어 보면, 원고 주장과 같이 이용자의 이메일을 받기 이전에 원고가 이 사건 사고를 인지하였다거나 이용자의 개인정보 보호를 위하여 IP 차단 등의 조치를 취하였다고 인정할 구체적인 자료가 없으므로, 원고의 위 주장은 받아들이기 어렵다.
(3) 원고가 이 사건 사고 당시 운영한 침입방지시스템(IPS)은 무차별 대입공격에 대한 탐지 기준이 만족되어야 이를 차단할 수 있는데, 위 시스템은 이 사건 사고 당시 해커의 공격을 탐지 또는 차단하지 못하였다. 이 사건 사고 당시 원고의 침입방지시스템이 운영하고 있던 크리덴셜 스터핑 방식과 유사한 무차별 대입 방식 공격을 탐지할 수 있는 정책 146개 중 43개는 이 사건 사이트에 대한 공격을 탐지하여도 접속을 허용하고, 그에 대한 로그를 남기지 않는 ‘Allow’로 설정되어 있었다. 즉, 원고의 침입방지시스템은 이 사건 사고 당시 크리덴셜 스터핑 방식을 포함한 무차별 대입 방식의 공격을 사실상 허용하는 형태로 운영되었다.
(4) 원고는 이 사건 사고를 인지한 당일인 2020. 9. 30. 18:54경 동일 IP에서 1시간 이내에 30회 이상 로그인 시도 시 IP를 차단하는 정책을 적용하였고, 그로부터 5일 후인 2020. 10. 5.부터 2020. 10. 23.까지 휴면회원에 대한 크리덴셜 스터핑 공격을 예방하기 위하여 로그인 페이지를 대상으로 캡챠 인증 방식을 적용하였으며, 2020. 10. 23. 이후 휴면 상태를 해제하기 위해서 핸드폰 또는 이메일로 인증하는 방식으로 변경하는 조치를 취하였다. 이 사건 사고 이후 위와 같은 조치가 이루어진 시점, 위와 같은 조치의 내용 등에 비추어 볼 때, 이러한 조치는 당시 기술수준으로 구현이 가능하고 보편적으로 알려져 있는 정보보안 기술수준에 속하며, 원고는 이 사건 사고 이전에도 추가적인 비용을 거의 들이지 않고 충분히 위와 같은 조치를 취할 수 있었을 것으로 보인다.
(5) 이 사건 사고는 위와 같이 원고가 운영한 침입탐지시스템 및 침입방지시스템이 비정상적인 접속시도에 대하여 충분히 탐지 및 차단 기능을 하지 못하여 발생한 것으로 보이는 점, 원고는 이용자의 이메일을 받고 난 이후에야 이 사건 사고를 인지하였던 것으로 보이는 점, 원고가 이 사건 사고가 발생한 이후 얼마 지나지 않아 동일 IP에서 로그인 시도 횟수를 제한하는 정책 및 휴면계정을 해제하기 위하여 비밀번호 입력 외에 추가적인 인증을 요구하는 정책을 적용하였고, 이러한 조치는 이 사건 사고 이전에도 충분히 가능하였던 점 등을 고려하면, 원고가 이 사건 사고 당시 이 사건 사이트에서 수집·보관하는 개인정보에 대해 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였다고 할 수 없다.
(6) 원고는, 원고가 이 사건 해설서에서 제시한 보호조치 기준 제4조 제9항의 의무 준수를 위한 구체적인 방안을 모두 이행하였으므로, 원고가 휴면계정 해제 시 비밀번호 인증 외에 추가인증을 하지 않았다고 해서 보호조치 기준 제4조 제9항의 의무를 위반하였다고 볼 수 없다는 취지로 주장한다.
그러나 보호조치 기준 제4조 제9항의 의무에 관하여 이 사건 해설서는 ‘정보통신서비스 제공자 등은 규모, 여건 등을 고려하여 스스로의 환경에 맞는 보호조치를 하되, 보안대책 마련, 보안 기술 마련, 운영 및 관리 측면에서 개인정보 유·노출 방지 조치를 하여야 한다.’며, 구체적인 보안대책의 예시로서 ‘인증, 접근 통제 등의 보호조치 적용’을 들고 있는바, 원고가 이 사건 해설서에서 제시한 모든 보호조치를 취하였다고 보기는 어려운 점, 원고는 이 사건 사고가 발생한 때로부터 5일이 지난 때에 휴면계정 해제 시 비밀번호 인증 외에 추가인증을 요구하는 정책을 적용하였는바, 이러한 보호조치는 이 사건 사고 당시 보편적으로 알려져 있는 정보보안의 기술수준으로 보이는 점, 위와 같은 보호조치는 비용이 발생하지 않거나 적게 드는 점 등에 비추어 볼 때 원고의 위 주장은 받아들이지 않는다.
다. 재량권 일탈·남용에 관한 판단
1) 인정 사실
피고는 법 제39조의15 제1항 제5호, 시행령 제48조의11 제1항, 제4항 및 [별표 1의5], 과징금 부과기준에 따라 원고에 대한 과징금 액수를 산정하였는데, 이 사건 처분의 구체적인 산정 근거는 다음과 같다.
가) 기준금액의 산정
(1) 관련 매출액의 산정
법 제39조의15 제1항, 시행령 제48조의11 제1항, 과징금 부과기준 제1항은 법 제29조 위반에 따른 과징금의 관련 매출액을 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업연도의 연평균 매출액으로 한다고 정하면서, 다만 해당 사업연도 첫날 현재 사업을 개시한 지 3년이 되지 않은 경우에는 그 사업개시일부터 직전 사업연도 말일까지의 매출액을 연평균 매출액으로 환산한 금액으로 한다고 정하고 있다. 이에 피고는 원고가 해당 사업연도 첫날 현재 사업을 개시한 지 3년이 되지 않은 경우에 해당하므로, 사업개시일부터 직전 사업연도 말일까지의 매출액을 연평균 매출액으로 환산한 금액인 5,884,046,000원을 관련 매출액으로 산정하였다.
(2) 중대성의 판단
과징금 부과기준 제5조 제1항은 ‘시행령 [별표 1의5] 2. 가. 1)에 따른 위반행위의 중대성 판단 기준 중 고의·중과실 여부는 영리 목적의 유무, 위 시행령 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단한다.’고 규정하고 있는데, 피고는 원고가 법 제29조의 안전조치의무를 소홀히 함으로써 이용자 개인정보 유출에 대한 중과실이 있다고 보았다.
한편 과징금 부과기준 제5조 제3항 본문에 따르면, 위반 정보통신서비스 제공자 등에게 고의·중과실이 있으면 위반행위의 중대성을 ‘매우 중대한 위반행위’로 판단하게 된다. 다만 같은 항 단서에 따르면, ‘위반 정보통신서비스 제공자 등이 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우’(제1호), ‘위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자 등이 보유하고 있는 개인정보의 100분의 5 이내인 경우’(제2호), ‘이용자의 개인정보가 공중에 노출되지 않은 경우’(제3호) 중 모두에 해당할 때에는 ‘일반 위반행위’로, 1개 이상 2개 이하에 해당하는 경우에는 ‘중대한 위반행위’로 감경하는데, 피고는 원고가 개인정보 유출로 직접적인 이득을 취하지 않은 점, 위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자 등이 보유하고 있는 개인정보의 100분의 5 이내인 점, 이용자의 개인정보가 공중에 노출되지 않은 점을 고려하여 원고의 위반행위를 ‘일반 위반행위’로 판단하였다.
(3) 소결론
피고는 원고의 관련 매출액 5,884,046,000원에 시행령 [별표 1의5] 2. 가. 1)의 ‘일반 위반행위’의 부과기준율 1천분의 15를 적용하여 기준금액을 88,261,000원(= 5,884,046,000원 × 15/1,000, 천 원 미만 버림, 이하 같다)으로 하였다.
나) 필수적 가중 및 감경
피고는 과징금 부과기준 제6조, 제7조에 따라 원고의 위반행위 기간이 2년을 초과하는 ‘장기 위반행위’에 해당한다는 이유로 기준금액의 100분의 50에 해당하는 금액을 가산하고, 원고가 최근 3년 이내에 이 사건 조항 각호에 해당하는 행위로 과징금 부과처분을 받은 사실이 없다는 이유로 기준금액의 100분의 50에 해당하는 금액을 감경하여, 기준금액을 유지하였다.
다) 추가적 가중 및 감경
피고는 과징금 부과기준 제8조에 따라 원고가 조사에 적극 협력한 점, 개인정보 유출사실을 자진 신고한 점 등을 종합적으로 고려하여 필수적 가중·감경을 거친 금액의 100분의 20에 해당하는 금액인 17,652,000원(= 88,261,000원 × 0.2)을 감경하였다.
라) 과징금의 결정
피고는 위와 같이 단계별로 산출한 금액인 70,609,000원(= 88,261,000원 － 17,652,000원)을 원고에 대한 최종 과징금으로 결정하였다.
[인정 근거] 다툼 없는 사실, 앞서 든 증거들, 변론 전체의 취지
2) 판단
가) 필수적 가중의 위법 여부
(1) 과징금 부과기준 제6조 제1항은 ‘위반기간을 고려하여 다음 각호와 같이 과징금을 조정한다.’고 규정하고 있는데, 제1호에서 ‘위반기간이 1년 이내인 단기 위반행위의 경우에는 기준금액 유지’, 제2호에서 ‘위반기간이 1년 초과 2년 이내인 중기 위반행위의 경우에는 기준금액의 100분의 25에 해당하는 금액 가산’, 제3호에서 ‘위반기간이 2년을 초과하는 장기 위반행위의 경우에는 기준금액의 100분의 50에 해당하는 금액 가산’으로 각 규정하고 있다. 한편 과징금 부과기준 제7조 제1항은 ‘제6조 제1항에 따른 위반기간은 위반행위의 개시일부터 종료일까지의 기간을 말한다. 다만 위반행위가 과징금 부과처분을 명하는 개인정보보호위원회의 심의종결일까지 종료되지 아니한 경우에는 해당 사건에 대한 심의종결일을 위반행위의 종료일로 본다.’고 규정하고 있고, 같은 조 제2항은 ‘제1항에 따른 위반기간을 산정하면서 위반행위의 개시일 또는 종료일이 불분명한 경우에는 위반 정보통신서비스 제공자 등의 영업·재무관련 자료, 임직원·이용자 등의 진술, 동종 유사 정보통신서비스 제공자 등의 영업 및 거래실태·관행 등을 고려하여 이를 산정할 수 있다.’고 규정하고 있다.
(2) 위에서 본 사실과 증거에 변론 전체의 취지를 더하여 알 수 있는 아래와 같은 사정들을 위 규정에 비추어 보면, 원고의 위반행위는 원고가 설립된 2018. 8.경부터 개시된 것이므로, 이 사건 위반행위는 위반기간 2년을 초과하는 장기 위반행위에 해당한다고 봄이 타당하다. 따라서 원고의 이 부분 주장은 이유 없다.
① 원고는 2018. 8. 1. ◇◇◇ 주식회사를 분할하여 설립되었으나, 분할 전 회사인 ◇◇◇ 주식회사는 1998. 6. 1.부터 이 사건 사이트를 통하여 이용자 개인정보를 수집하여 왔고, 원고는 2020. 9. 30.을 기준으로 이용자 8,896,862명의 개인정보를 수집하여 보관하고 있었다.
② 원고는 설립된 2018. 8. 1.부터 이 사건 사이트를 운영하면서 동일 IP에서 단시간 내에 다수의 로그인을 시도할 경우 IP를 차단하는 정책 및 휴면상태를 해제하기 위하여 비밀번호 입력 이외에 추가인증을 요구하는 정책 등 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 및 침입탐지시스템의 운영 및 기타 접근 통제 조치를 이행하지 않았다. 위와 같은 보안조치를 취하기 위하여 필요한 정보기술 수준, 보안조치에 필요한 경제적 비용 및 효용의 정도 등을 종합적으로 고려하여 보면, 위와 같은 보안조치는 2018. 8. 당시 사회통념상 합리적으로 기대가능한 정도의 보호조치에 해당한다고 보인다.
나) 임의적 감경 내지 면제를 하지 않아 위법한지 여부
(1) 시행령 부칙 제2조는 ‘[별표 1], [별표 1의3] 및 [별표 1의5]의 개정규정은 이 영 시행 전의 위반행위에 대해서도 적용한다.’고 정하고 있고, 이러한 부칙 규정에 의하면 2018. 8.경부터 2020. 9.경까지 이루어진 이 사건 위반행위에 대하여 시행령 [별표 1의5]의 개정규정이 적용된다.
(2) 원고는 이에 대하여 피고가 시행령으로 개정되기 전의 구 개인정보 보호법 시행령(2022. 7. 19. 대통령령 제32813호로 개정되기 전의 것)을 적용하여, 시행령 [별표 1의5] 2의 라.항에서 정하고 있는 임의적 감경 내지 면제 사유에 대하여는 검토하지 않은 위법이 있다는 취지로 주장한다.
그러나 피고가 원고에게 송부한 이 사건 처분에 대한 사전통지서에는 부과과징금의 결정 과정에서 90% 범위 내에서의 임의적 감경 또는 임의적 면제가 있을 수 있다는 내용이 포함되어 있는 점, 피고는 원고에 대하여 시행령 [별표 1의5] 2의 라.항에서 정하고 있는 임의적 감면 사유가 존재하지 않아 이 사건 처분 의결서에 임의적 감면에 대하여 기재하지 않았다는 취지로 주장하고 있는 점, 시행령 [별표 1의5] 2의 라.항은 필요적 감면규정이 아니라 임의적 감면규정에 불과한 점 등을 종합하여 보면, 원고 주장과 같이 피고가 적용법령을 오인하여 임의적 감면사유에 대하여 검토하지 않은 위법이 있다고 보기 어려운바, 원고의 이 부분 주장은 이유 없다.
다) 비례원칙 내지 평등원칙을 위반하였는지 여부
위에서 본 사실과 증거에 변론 전체의 취지를 더하여 알 수 있는 다음과 같은 사정들을 종합하여 보면, 원고에게 부과된 과징금이 지나치게 가혹하여 비례의 원칙이나 평등의 원칙에 반하여 재량권을 일탈·남용하였다고 보기 어렵다. 따라서 원고의 이 부분 주장 역시 이유 없다.
(1) 원고의 2020년 기준 전체 매출액은 약 200억 원, 당기순이익은 약 23억 원인 사실이 인정되는바, 원고가 약 7,000만 원의 과징금을 부담할 능력이 현저히 부족하다고 보이지 않는다.
(2) 이 사건 사고로 인해 원고가 이 사건 사이트를 통하여 보유·관리하던 35,076명의 개인정보가 유출되었다. 이 사건 사고로 인하여 유출된 개인정보는 이 사건 사이트 이용자들의 이력서 내용으로, 구체적으로 사진, 이름, 생년월일, 성별, 연락처, 이메일, 주소, 학력사항 등 중요한 개인정보를 포함하고 있다.
(3) 피고는 원고가 조사에 적극 협력한 점, 개인정보 유출사실을 자진 신고한 점 등을 이미 고려하여 필수적 가중·감경을 거친 금액의 20%에 해당하는 금액을 감경하였다.
(4) 한편 원고는 개인정보 유출에 따라 과징금을 부과한 유사사례와 비교할 때, 피고가 원고에 대하여만 휴면계정 해제 시 비밀번호 이외에 추가적인 인증을 적용하여야 한다고 판단하고, 여러 사이트에서 동일한 아이디 및 비밀번호를 사용한 이용자에게 부주의가 존재한다는 사정 등을 임의적 감경사유로 고려하지 않은 것은 평등원칙에 반한다는 취지로도 주장한다. 그러나 원고가 비교대상으로 삼은 유사사례는 위반행위의 태양과 성격, 내용과 정도가 이 사건과 상이하므로, 위 유사사례와 이 사건을 동일선상에서 비교하는 것이 합리적이라고 보기 어렵다. 원고의 이 부분 주장도 받아들이지 않는다.
4. 결론
그렇다면 원고의 청구는 이유 없으므로 이를 기각하기로 하여 주문과 같이 판결한다.
[별 지] 관련 법령: 생략

판사 김영민(재판장) 이도훈 전민정