법원 "12만명 개인정보 유출된 온라인쇼핑몰, 4억 과징금 정당"

온라인 쇼핑몰 관리부실로 고객 약 12만 명의 개인정보가 유출된 업체에 4억원 대의 과징금을 부과한 것은 정당하다는 법원 판단이 나왔다. 

10일 법조계에 따르면 서울행정법원 행정2부(부장판사 고은설)은 A사가 개인정보보호위원회를 상대로 낸 과징금 부과처분 취소소송에서 원고 패소 판결했다. 

건강기능식품 제조·판매사인 A사는 온라인 쇼핑물을 운영하던 중 2022년 9월 해킹으로 11만9856명의 개인정보가 유출됐다. 전체 회원(64만4431명)의 5분의 1에 가까운 규모다. 유출된 개인정보는 이름과 생년월일, 주소, 아이디, 비밀번호 등이다. 개인정보보호위원회는 A사로부터 신고를 받은 뒤 개인정보 취급·운영 실태 및 법 위반 여부를 조사했다. 이후 A사가 기술적·관리적 보호조치 기준을 위반했다고 판단하고 지난해 3월 과징금 4억6457만원을 부과했다. 

이에 A사는 “업종이나 영업규모에 상응하는 통상적인 주의의무를 다했음에도 다른 클라우드 업체의 문제로 해킹이 발생했고 과징금 산정도 타당하지 않다”며 과징금 부과처분 취소소송을 제기했다. 

재판부는 "원고가 운영한 방화벽과 침입 방지 시스템이 충분한 접근 제한, 유출 탐지 기능을 하지 못해 발생한 것으로 보인다"고 지적했다.

이어 "해킹 이후 불법 접근을 차단하도록 설정을 변경하고 쇼핑몰 게시판에 대한 파일 업로드·다운로드 방식 변경 등 조치를 취한 점을 고려하면 해킹사고 당시 개인정보에 대해 사회 통념상 합리적으로 기대 가능한 정도의 보호조치를 다했다고 할 수 없다"고 판단했다. 아울러 "이 쇼핑몰은 원고가 운영·관리하는 쇼핑몰로 관리용 도메인이 이 사건 쇼핑몰의 도메인인 이상 그에 대한 개인정보 보호 법령상 안전조치 의무는 원고에게 있다"고 설명했다. 

과징금 산정이 타당하지 않다는 주장에 대해서도 "원고의 현금 및 예금 당좌자산 등을 살펴보면 과징금을 부담할 능력이 현저히 부족하다고 보이지 않는다"며 "과징금이 지나치게 가혹해 비례의 원칙이나 평등의 원칙에 반해 재량권을 일탈·남용했다고 보기 어렵다"고 판시했다.