[판결] 해커 공격으로 11만명 개인정보 유출…법원 "정보보호 보호조치 기준 위반 과징금 처분 정당"
페이지 정보
본문
해커의 공격으로 인해 11만 명의 개인정보를 유출한 온라인 쇼핑몰이 사회 통념상 기대 가능한 정도의 정보보호 노력을 하지 않았다면 과징금 부과 처분을 받는 것은 타당하다는 법원 판단이 나왔다.
서울행정법원 행정2부(재판장 고은설 부장판사)는 4월 18일 A 사가 개인정보보호위원회를 상대로 제기한 과징금부과처분 취소소송(2022구합66443)에서 원고패소 판결했다.
건강기능식품을 제조·판매하는 A 사는 B 온라인 쇼핑몰을 운영했다. 해당 쇼핑몰은 2022년 9월경 해커의 공격으로 11만9000여명의 개인정보가 유출되는 사고가 발생했다. A 사는 개인정보가 유출된 회원들에게 6번에 걸쳐 유출통지를 했고, 개인정보보호위원회에 유출 사실에 대해 신고했다. 개보위는 4개월가량 A 사의 개인정보 취급·운영 실태 및 법 위반 여부를 조사한 뒤 A 사가 개인정보의 기술적·관리적 보호조치 기준을 위반했다고 판단해 4억6457만 원의 과징금을 부과했다.
A 사는 "사고 당시 보편적 정보기술 수준에 비춰 업종·영업 규모에 상응하는 통상적인 주의의무를 다했고, 직접 관리하는 대표 도메인이 아니라 다른 회사가 관리하는 쇼핑몰 관리용 도메인의 문제로 발생한 사고다. 과징금 처분은 너무 과하다"며 취소 소송을 제기했다.
하지만 법원은 A 사의 주장을 받아들이지 않고, 개보위의 처분이 타당하다고 봤다.
재판부는 "A 사가 운영한 침입방지시스템(IPS)에는 암호화된 트래픽을 탐지, 차단할 수 있는 인증서가 설치되지 않아 암호화돼 송수신되는 유해 트래픽을 탐지할 수 없었고, 해커의 관리용 도메인 접속이 탐지되지 않았다"며 "A 사가 사고 당시 쇼핑몰에서 수집·보관하는 개인정보에 대해 사회 통념상 합리적으로 기대할 수 있는 정도의 보호조치를 다했다고 할 수 없다"고 밝혔다.
출처:법률신문 한수현기자