대규모 개인정보 유출 쇼핑몰 시정명령 및 과징금 부과 사건

주식회사 A는 인터넷 쇼핑몰을 운영하는 법인으로, 2016년 5월경 인적 사항을 알 수 없는 해커에 의해 회원 2,051만 명의 개인정보가 유출되는 사고가 발생했습니다. 방송통신위원회는 A사가 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제28조 제1항 제2호(접근 통제장치 설치·운영) 및 제4호(암호화 기술 등 이용한 보안조치)를 위반했다고 판단하여, 시정명령, 위반 사실 공표, 교육 및 대책 수립 후 보고, 과징금 44억 8천만 원, 과태료 2,500만 원 등의 처분을 내렸습니다. 이에 A사는 처분사유가 존재하지 않고 과징금 산정이 위법하다며 처분 취소 소송을 제기했으나, 법원은 개인정보 유출 사실과 A사의 보호조치 위반을 인정하고, 과징금 산정도 적법하다고 보아 A사의 청구를 기각했습니다.

관련 당사자

• 원고: 주식회사 A (인터넷 쇼핑몰 A(B)를 운영하는 법인으로, 대규모 개인정보 유출 사고의 당사자)
• 피고: 방송통신위원회 (정보통신망법에 따라 개인정보 유출 관련 시정명령 및 과징금을 부과한 행정기관)
• 이 사건 해커: 주식회사 A의 회원 개인정보를 유출한 인적 사항 미상의 공격자

분쟁 상황

인터넷 쇼핑몰 주식회사 A는 운영 중인 A(B) 사이트의 회원 개인정보가 인적 사항 미상의 해커에 의해 2016년 5월 3일부터 5월 6일까지 '지능형 지속가능 위협(APT)' 공격 방식으로 유출되는 심각한 보안 사고를 겪었습니다. 이 사고로 약 2,051만 명의 회원 정보(아이디, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등)가 외부로 유출되었습니다. 이에 방송통신위원회는 민관합동조사단을 구성하여 A사의 개인정보 처리·운영 실태를 조사했고, A사가 정보통신망법 제28조 제1항에서 정한 기술적·관리적 보호조치를 소홀히 했다고 결론 내렸습니다. 특히 개인정보취급자의 최대 접속시간 제한 조치 미흡과 비밀번호 일방향 암호화 저장 의무 위반이 지적되었습니다. 방송통신위원회는 이러한 위반을 근거로 A사에 시정명령, 위반 사실 공표, 교육 이수, 대책 수립 보고, 그리고 44억 8천만 원의 과징금과 2,500만 원의 과태료를 부과했습니다. A사는 이에 불복하여 해당 처분들의 취소를 구하는 행정소송을 제기하며 분쟁이 시작되었습니다. A사는 개인정보 유출이 없었거나, 있었더라도 일부에 불과하며, 보호조치 위반 사실도 없고, 과징금 산정도 부당하다고 주장했습니다.

핵심 쟁점

이 사건의 주요 쟁점은 다음과 같습니다. 첫째, 주식회사 A의 회원 개인정보가 실제로 유출되었는지 여부입니다. 둘째, A사가 정보통신망법상 요구되는 개인정보 보호를 위한 기술적·관리적 조치(최대 접속시간 제한 조치 및 비밀번호 일방향 암호화 저장)를 제대로 이행했는지 여부입니다. 셋째, 개인정보 유출과 보호조치 미흡 간에 인과관계가 과징금 부과의 필수 요건인지 여부입니다. 넷째, 방송통신위원회가 부과한 과징금 44억 8천만 원이 관련 법령과 기준에 따라 적법하게 산정되었는지 여부입니다.

법원의 판단

법원은 원고 주식회사 A의 청구를 모두 기각하며, 소송 비용은 원고가 부담하도록 판결했습니다. 이는 방송통신위원회의 시정명령 및 과징금 부과 처분이 적법하다고 본 것입니다.

결론

법원은 다음과 같은 이유로 주식회사 A의 청구를 기각했습니다. 첫째, 해커가 A사의 HQDB 서버에 저장된 개인정보 파일을 복사하고 웹서버, C PC, E PC를 거쳐 외부 PC방으로 이동시킨 여러 증거(트래픽 기록, PC방 파일 삭제 흔적, 해커가 보낸 동영상 등)를 통해 개인정보 유출 사실이 인정된다고 보았습니다. 둘째, A사가 개인정보처리시스템에 대한 개인정보취급자의 최대 접속시간 제한 조치를 취하지 않았고, 공용관리 계정의 비밀번호와 패스워드 관리대장 문서의 비밀번호를 일방향 암호화하지 않고 평문으로 저장한 사실이 인정되어 정보통신망법상 기술적·관리적 보호조치 의무를 위반했다고 판단했습니다. 셋째, 개정된 정보통신망법은 개인정보 유출과 정보통신서비스 제공자의 보호조치 미흡 사이에 명시적인 인과관계를 요구하지 않으며, 설령 인과관계가 요구된다 하더라도 A사의 조치 미흡이 유출과 상당한 인과관계가 있다고 보았습니다. 넷째, 과징금 산정에 있어서 관련 매출액의 범위, 위반행위의 중대성 판정(A사의 중과실 인정), 위반기간 가중 및 조사 협력 여부에 따른 가중, 개인정보보호 관리체계 인증에 따른 감경 등 모든 과정이 재량권의 일탈·남용 없이 적법하게 이루어졌다고 판단했습니다.

연관 법령 및 법리

이 사건과 관련된 주요 법령과 법리입니다.

1. 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제28조 제1항 (개인정보의 보호조치)​ 정보통신서비스 제공자는 개인정보의 분실, 도난, 유출, 위조, 변조 또는 훼손을 방지하고 안전성을 확보하기 위해 대통령령으로 정하는 기준에 따라 기술적·관리적 조치를 취해야 합니다.

• 제2호 (접근 통제장치 설치·운영)​: 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치를 설치·운영해야 합니다. 이 사건에서 법원은 정보통신망법 시행령 제15조 제2항 제5호 및 개인정보의 기술적·관리적 보호조치 기준 제4조 제10항을 근거로, 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 조치를 취해야 함에도 불구하고 주식회사 A가 이를 지키지 않았다고 판단했습니다. 이는 서버접근제어 프로그램 및 HQDB 서버의 접속이 장기간 유지된 사실과, PC 자동 잠금만으로는 HQDB 서버 접속 종료로 볼 수 없다는 점이 근거가 되었습니다.
• 제4호 (암호화 기술 등 이용한 보안조치)​: 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 등을 이용한 보안조치를 해야 합니다. 이 사건에서 법원은 정보통신망법 시행령 제15조 제4항 제1호 및 개인정보의 기술적·관리적 보호조치 기준 제6조 제1항을 근거로, 비밀번호는 복호화되지 않도록 일방향 암호화하여 저장해야 함에도 불구하고 A사가 공용관리 계정의 비밀번호와 패스워드 관리대장 문서의 비밀번호를 평문으로 저장한 것이 이 조항을 위반한 것이라고 보았습니다.

2. 정보통신망법 제64조의3 (과징금)​ 방송통신위원회는 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 경우로서 제28조 제1항 제2호부터 제5호까지의 조치를 하지 아니한 경우에는 해당 정보통신서비스 제공자 등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있습니다.

• 인과관계 불필요 법리: 2014년 개정된 정보통신망법은 개정 전 법률과 달리, 개인정보 유출과 제28조 제1항의 보호조치 미흡 사이에 명시적인 인과관계를 요구하지 않는 것으로 해석됩니다. 즉, 개인정보 유출 사실이 있고 보호조치 의무를 다하지 않았다면 과징금 부과 대상이 될 수 있습니다.
• 정보통신망법 시행령 제69조의2 (과징금 부과기준)​: 과징금 산정 시 '위반행위와 관련한 매출액'은 해당 정보통신서비스의 직전 3개 사업연도의 연평균 매출액을 기준으로 합니다. 이 매출액에는 개인정보와 직접적 또는 간접적으로 영향을 받는 서비스의 매출액이 포함되며, 이 사건에서는 광고 매출 등도 포함될 수 있다고 보았습니다. 과징금 산정은 위반행위의 중대성(고의·중과실 여부, 영리 목적 유무, 피해 규모 등)을 고려하여 기준금액을 산출하고, 위반기간, 조사 협력 여부, 개인정보보호 인증 여부 등에 따라 가중 또는 감경됩니다. 이 사건에서 A사는 중과실이 인정되어 '매우 중대한 위반행위'로 판단되었으나, 영리 목적이 없었다는 이유로 한 단계 감경되어 '중대한 위반행위'를 기준으로 과징금이 산정되었습니다. 또한, E PC 미제출 및 PC 초기화 권고 미준수는 가중 사유로, 개인정보보호 관리체계 인증은 감경 사유로 작용했습니다.

3. 정보통신망법 제76조 (과태료)​ 정보통신망법 제28조 제1항의 보호조치 의무를 위반한 자에게 과태료를 부과할 수 있습니다.

참고 사항

개인정보를 다루는 기업은 다음과 같은 사항을 유의해야 합니다.

1. 개인정보 보호조치 의무 철저 준수: 정보통신망법에서 요구하는 기술적·관리적 보호조치(접근 통제, 암호화 등)는 단순한 형식적 요건이 아니라 실제 시스템 운영에 적용되어야 합니다. 특히 개인정보처리시스템에 대한 최대 접속시간 제한 조치는 접속이 필요한 동안만 유지되도록 완전한 접속 종료가 이루어져야 하고, 비밀번호는 복호화될 수 없는 일방향 암호화 방식으로 저장되어야 합니다.
2. 보안 체계 전반의 점검: 시스템의 '망분리 프로그램', '서버 접근제어 프로그램', '데이터베이스 관리 시스템' 등 모든 단계에서 개인정보보호 기준을 만족하는지 주기적으로 점검하고 보완해야 합니다.
3. 사고 발생 시 협력 의무: 개인정보 유출 사고 발생 시, 관계 당국의 조사에 적극적으로 협력해야 합니다. 사고 관련 PC 하드디스크 미제출, 전체 PC 초기화와 같은 행위는 증거 인멸로 간주되어 과징금 가중 사유가 될 수 있으므로 신중해야 합니다.
4. 인증의 한계와 지속 관리: 개인정보보호 관리체계 인증(PIMS 등)을 받았더라도, 실제 시스템 운영상의 결함이 발견되면 과징금 감경에 제한을 받을 수 있습니다. 인증 획득 이후에도 지속적인 점검과 보완을 통해 보안 취약점을 제거하는 것이 중요합니다.
5. 과징금 산정 기준 이해: 정보통신망법상 과징금은 개인정보 유출과 보호조치 미흡 간의 직접적인 인과관계가 명확히 입증되지 않더라도, 보호조치 의무를 다하지 않은 사실만으로 부과될 수 있습니다. 과징금 산정 시에는 위반행위 관련 매출액, 위반행위의 중대성, 위반 기간, 조사 협력 여부 등이 종합적으로 고려되므로, 관련 법규와 고시를 숙지하여야 합니다.