행정
온라인 쇼핑몰 운영사인 주식회사 A가 모바일 이벤트 페이지에서 발생한 개인정보 유출 사고로 인해 개인정보보호위원회로부터 시정명령과 과징금 18억 5,200만 원을 부과받았으나, 법원은 시정명령은 적법하다고 보면서도 과징금 처분은 위반 행위와 관련된 매출액 산정의 부당성, 유출 규모, 피해 정도 등에 비추어 비례의 원칙에 위배되어 재량권을 일탈·남용했다며 취소한 사건입니다.
온라인 쇼핑몰 'B'를 운영하는 주식회사 A는 2018년 11월 1일 'C' 이벤트를 진행했습니다. 이 이벤트는 특정 상품 10만 원 이상 구매 시 50% 적립이용권을 제공하는 행사로, 모바일 웹으로 접속 가능한 별도의 '이벤트 페이지'를 통해 운영되었습니다. 이 과정에서 이벤트 페이지에만 적용되는 새로운 '캐시 정책'이 배포되었는데, 이 정책 설정 오류와 내부 직원의 영향도 미확인으로 인해 다른 사람의 계정으로 로그인되는 사고가 발생했습니다. 이 사고로 인해 총 20명의 쇼핑몰 이용자 개인정보(이름, 연락처, 주소, 이메일 주소)가 노출되는 결과가 초래되었습니다. 주식회사 A는 다음 날인 2018년 11월 2일 방송통신위원회에 사고를 신고하였고, 방송통신위원회(현 개인정보보호위원회)는 현장 조사를 거쳐 2019년 12월 27일 주식회사 A에게 시정명령과 함께 18억 5,200만 원의 과징금을 부과했습니다. 이에 주식회사 A는 시정명령 및 과징금 부과 처분의 취소를 구하는 소송을 제기했습니다.
법원은 '웹서버' 또한 개인정보처리시스템에 해당하므로 개인정보 보호조치 의무 대상임을 인정했으며, 해당 보호조치 의무 규정 또한 구체성이 부족하다고 보기 어렵다고 판단하여 시정명령 처분은 적법하다고 보았습니다. 그러나 과징금 처분에 대해서는 사고가 발생한 이벤트 페이지의 한시적 성격, 사고 원인의 단순 실수, 노출된 개인정보 이용자 수가 20명에 불과한 점, 그리고 다른 유사 사고 사례들과 비교했을 때 과징금액이 지나치게 과도하다는 점 등을 종합적으로 고려하여 피고가 재량권을 일탈·남용했다고 판단, 과징금 처분을 취소했습니다.
이 사건은 '구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 구 정보통신망법)'과 그 하위 법령 및 고시가 적용됩니다.
개인정보 보호 의무 및 대상 (구 정보통신망법 제28조 제1항, 구 정보통신망법 시행령 제15조, 구 보호조치 기준 제4조 제9항) • 개인정보처리시스템의 정의: 구 정보통신망법 시행령 제15조 제2항 제1호 및 구 보호조치 기준 제2조 제4호는 '개인정보처리시스템'을 '개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템'으로 정의합니다. 법원은 이 사건에서 개인정보의 생성, 기록, 저장, 검색, 이용 등 전반적인 과정에 관여하는 데이터베이스 관리 시스템(DBMS) 및 응용프로그램 전체를 의미하며, 데이터베이스(DB)와 연결되어 개인정보 처리 과정에 관여하는 '웹서버' 또한 이에 포함된다고 판단했습니다. • 개인정보 보호조치 의무: 구 정보통신망법 제28조 제1항은 정보통신서비스 제공자가 개인정보의 분실, 도난, 유출 등을 방지하기 위해 대통령령으로 정하는 기술적·관리적 조치를 취하도록 의무화합니다. 구 보호조치 기준 제4조 제9항은 정보통신서비스 제공자가 취급 중인 개인정보가 인터넷 홈페이지, 공유설정 등을 통해 열람 권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취해야 한다고 규정합니다. 법원은 이러한 규정이 추상적이라고 볼 수 없으며, 일반적인 보호조치 의무 위반 사례에 해당한다고 보았습니다.
과징금 부과 기준 및 재량 (구 정보통신망법 제64조의3, 구 정보통신망법 시행령 제69조의2, 구 과징금 부과기준) • 과징금 부과 근거: 구 정보통신망법 제64조의3 제1항은 개인정보 유출 등 안전성 확보 조치를 하지 않은 경우 '위반행위와 관련한 매출액의 100분의 3 이하'에 해당하는 금액을 과징금으로 부과할 수 있다고 규정합니다. 다만, 매출액 산정이 곤란한 경우 4억 원 이하의 과징금을 부과할 수 있습니다 (제2항 단서). • '위반행위와 관련한 매출액'의 의미: 구 정보통신망법 시행령 제69조의2 제1항은 이를 '해당 정보통신서비스 제공자의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액'으로 규정합니다. 그러나 법원은 상위 법률에서 '위반행위와 매출액과의 관련성'을 요구하고 있는 이상, 위반행위와 관련이 없는 매출액 부분은 과징금 부과 시 고려될 수 없다고 해석했습니다. 이 사건의 경우 특정 이벤트 페이지에서 발생한 한시적 사고이므로 쇼핑몰 전체의 연매출액을 관련 매출액으로 보는 것은 과도하다고 보았습니다. • 과징금 산정 시 고려사항: 구 정보통신망법 제64조의3 제3항은 위반행위의 내용 및 정도, 기간 및 횟수, 위반행위로 취득한 이익의 규모를 고려하여 과징금을 부과하도록 합니다. • 재량권 일탈·남용 법리: 피고의 과징금 부과 처분은 재량행위이지만, 법원은 피고가 재량을 행사함에 있어 사실을 오인했거나 비례·평등의 원칙에 위배되는 등의 사유가 있다면 이는 재량권의 일탈·남용으로서 위법하다고 봅니다. 이 사건에서 법원은 유출 규모(20명), 피해 정도, 사고 발생 경위(직원의 단순 실수), 그리고 유사 사례들과의 형평성 등을 종합적으로 고려할 때, 18억 5,200만 원의 과징금은 지나치게 과다하여 비례의 원칙에 위배되고 재량권을 일탈·남용했다고 판단했습니다.
• 개인정보처리시스템의 범위 인식: '웹서버' 또한 개인정보의 생성, 저장, 이용 등 처리 과정에 관여한다면 '개인정보처리시스템'에 해당하므로, 데이터베이스(DB)뿐만 아니라 웹서버 등 모든 관련 시스템에 대해 개인정보 보호조치를 철저히 이행해야 합니다. • 신규 서비스 및 이벤트 도입 시 주의: 새로운 서비스, 이벤트 페이지, 캐시 정책 등을 도입하거나 변경할 때는 기존 시스템과의 연동, 개인정보 보호에 미치는 영향 등을 철저히 검토하고 시험하여 예상치 못한 개인정보 유출 사고를 미연에 방지해야 합니다. 내부 직원의 설계 오류나 영향도 미확인은 기업의 책임으로 귀결될 수 있습니다. • 과징금 산정의 재량권: 행정기관의 과징금 부과 처분은 재량 행위이나, 위반 행위의 내용, 기간, 횟수, 유출된 개인정보의 규모와 피해 정도, 그리고 이로 인해 취득한 이익의 규모 등을 종합적으로 고려했을 때 과징금 액수가 지나치게 과도하면 재량권 일탈·남용으로 취소될 수 있습니다. 과거 유사 사례와 비교하여 과징금액의 형평성도 고려될 수 있습니다. • '위반행위와 관련한 매출액'의 의미: 법률에서 '위반행위와 관련한 매출액'을 과징금 산정 기준으로 삼는 경우, 하위 법령에서 연평균 매출액을 규정하더라도, 위반행위와 직접적인 관련이 없는 매출액 부분은 과징금 부과 시 고려되지 않을 수 있다는 점을 이해해야 합니다. 특히 한시적인 이벤트나 특정 서비스에서 발생한 사고의 경우, 전체 서비스의 연매출액을 일률적으로 적용하는 것이 부당하다고 판단될 여지가 있습니다. • 법률 및 고시 내용 숙지: '구 정보통신망법', '구 정보통신망법 시행령' 및 '구 개인정보의 기술적·관리적 보호조치 기준' 등 관련 법령과 고시의 내용을 정확히 이해하고 준수하는 것이 중요하며, 관련 해설서 등 지침을 참고하여 해석에 어려움이 없도록 해야 합니다.
