X

11만명 개인정보 유출한 온라인 쇼핑몰에 과징금...法 “정당”

박정수 기자I 2024.06.10 07:00:00

쇼핑몰 대표 도메인과 관리용 도메인 이용
관리용 도메인서 11만9856명 개인정보 유출
접근제한·유출탐지 실행되도록 방화벽 운영하지 않아
法 “합리적 기대 가능한 보호조치 다했다 볼 수 없어”

[이데일리 박정수 기자] 11만명의 개인정보 유출한 온라인 쇼핑몰에 과징금 부과는 정당하다는 법원 판단이 나왔다.

사진=이데일리DB
10일 법조계에 따르면 서울행정법원 행정2부(고은설 부장판사)는 온라인 쇼핑몰을 운영하고 있는 A사가 개인정보보호위원회를 상대로 제기한 과징금부과처분취소 소송에서 최근 원고 패소판결했다.

A사는 건강기능식품 제조 및 판매업 등을 목적으로 하는 회사로 건강기능식품을 판매하는 온라인 쇼핑몰 B를 운영하고 있다. 이 사건 쇼핑몰의 도메인은 대표 도메인과 C사가 쇼핑몰 관리를 위해 통신하기 위한 관리용 도메인으로 이뤄져 있다.

A사는 이 사건 쇼핑몰을 운영하면서 2022년 10월 24일 기준 이용자 64만4431명의 개인정보를 수집해 보관했다. 그 가운데 2022년 9월 16일부터 같은 달 23일까지 해커 공격으로 11만9856명의 개인정보가 유출됐다.

A사는 2022년 9월 21일 쇼핑몰에서 모바일 결제 오류가 발생한다는 민원을 받고 시스템을 점검한 결과 변조 사실을 확인했고, 개인정보종합포털에 3회 유출 신고를 하고, 회원들에게 6회의 유출통지를 했다.

신고를 받은 개인정보보호위원회는 2022년 10월 12일부터 2023년 2월 8일까지 개인정보 취급·운영 실태 및 법 위반 여부를 조사한 뒤 안전조치의무위반 및 개인정보유출 등의 통지 신고에 대한 특례위반을 이유로 과징금 4억6457만원을 부과하는 처분을 내렸다.

A사는 과징금 부과 처분이 위법하다며 취소소송을 제기했다. A사는 업종·영업규모에 상응하는 통상적인 주의의무를 다했고, 원고 관리 대표 도메인이 아니라 C사가 관리하는 관리용 도메인의 문제라며 처분 사유가 없다고 주장했다.

또 과징금 산정에서 악화된 A사의 경영실적과 시장·산업 환경에 따른 과징금 부담능력 및 A사가 취한 피해확산 방지조치 및 피해구제 조치를 적절히 고려하지 않았고, 유사사례와 비교했을 때 타당성을 잃었다고 강조했다.

하지만 재판부는 과징금 부과가 위법하지 않다고 A사 청구를 기각했다.

재판부는 “이 사건 쇼핑몰은 원고가 운영·관리하는 쇼핑몰로 이 사건 쇼핑몰에서 수집·보관하는 개인정보에 대해서는 원고에게 개인정보보호법령상 안전조치의무가 있다”며 “관리용 도메인이 이 사건 쇼핑몰의 도메인인 이상 그에 대한 개인정보보호법령상 안전조치의무는 원고에게 있다고 판단된다”고 판시했다.

특히 “이 사건 사고는 원고가 운영한 방화벽과 침입방지시스템이 충분한 접근제한 및 유출탐지 기능을 하지 못해 발생한 것으로 보이는 점 등 고려하면 쇼핑몰에서 수집·보관하는 개인정보에 대해 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했다고 볼 수 없다”고 지적했다.

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지