과징금 부과처분 취소청구

1. 사건개요 가. 청구인은 전자상거래업(구매대행, 건강기능식품, 명품, 의류) 등을 하는 회사인데, 방송통신위원회는 2020. 6. 24 청구인이 운영 중인 홈페이지의 이용자 개인정보가 유출되었고, 그 과정에서 청구인이 개인정보의 안전성 확보를 위한 기술적ㆍ관리적 조치를 하지 않았음이 확인되었다는 이○로 청구인에게 과징금 11,800,000원을 부과(이하 ‘이 사건 처분’이라 한다)하였다. 나. 2020. 2. 4. 법률 제16955호로 개정된「정보통신망 이용촉진 및 정보호호 등에 관한 법률」이 같은 해 8. 5. 시행되면서 이 사건 처분을 포함하여 방송통신위원회가 관장하던 개인정보 보호에 관한 사무를 「개인정보 보호법」(2020. 2. 4. 법률 제16930호로 일부개정되어 같은 해 8. 5. 시행된 것)에 따른 피청구인이 승계하였다. 2. 청구인 주장 가. 피청구인은 독일, 네덜란드, 중국에서 청구인의 홈페이지 관리자 페이지에 접속하는 등으로 신원 미상의 자에 의하여 개인정보가 유출되었다고 추정하였으나, 이 사건 당시 독일 및 네덜란드에 출장 간 청구인 소속 직원이 업무를 위해 홈페이지에 접속한 것일 뿐이고, 중국에서 접속되었다는 IP주소는 한국의 IP주소인바, 피청구인이 추정한 개인정보 유출 경위는 잘못된 것이다. 나. ○○○로는 청구인이 운영하는 홈페이지(@@@@@@@.com)와 별개로 운영되는 싸이트이고, 회원정보가 통합된 적도 없어 이 사건과는 무관하다. 다. 청구인은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 항상 DB에 저장하고 있고, 2012년경부터 서버관리업체를 통해 보안장비(방화벽)를 구축하여 유지하고 있다. 라. 청구인은 이 사건 당시 전 직원을 동원되어 해커의 협박에 따른 피해 확산을 방지하기 위해 노력하여 2차 피해가 전혀 발생하지 않았고, 동시에 추가적인 인증수단이 적용되도록 보완하는 등 개인정보 보호를 위한 조치를 마련하였는바, 이 사건 처분은 청구인에게 지나치게 가혹하여 위법ㆍ부당하다. 3. 관계법령 등 구 정보통신망 이용촉진 및 정보호보 등에 관한 법률(2020. 2. 4. 법률 제16955호로 일부개정되어 같은 해 8. 5. 시행되기 전의 것. 이하 같다) 제28조, 제64조의3 구 정보통신망 이용촉진 및 정보호보 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 일부개정되어 같은 달 5일 시행되기 전의 것. 이하 같다) 제69조의2, 별표 8 구 개인정보의 기술적·관리적 보호조치 기준(2020. 12. 10. 방송통신위원회고시 제2020-8호로 폐지되기 전의 것. 이하 같다) 제4조, 제5조, 제6조 구 개인정보보호 법규 위반에 대한 과징금 부과기준(2020. 12. 10. 방송통신위원회고시 제2020-9호로 폐지되기 전의 것. 이하 같다) 제5조, 제6조, 제7조, 제8조, 별표 4. 인정사실 청구인과 피청구인이 제출한 현장조사서, 방송통신위원회 심의ㆍ의결서, 표준재무제표증명 등 각 사본의 기재내용을 종합하면 다음과 같은 사실을 인정할 수 있다. 가. 방송통신위원회가 2020. 3. 26.부터 같은 달 27일까지 청구인에 대한 현장조사를 실시하고 청구인의 개인정보관리책임자(강○○)가 참여하여 확인한 가운데 작성한 현장조사서의 주요 내용은 다음과 같다. 다 음 - <img src="/LSA/flDownload.do?flSeq=102474273"></img> <img src="/LSA/flDownload.do?flSeq=102474275"> </img> 나. 이 사건 처분서에 기재된 처분사유 및 과징금 산정 내역의 주요 내용은 별지와 같다. 다. 우리 위원회가 직권으로 조사한 바에 따르면 ○○○로(@@@@@ro.co.kr)는 독일 유기농 제품 등의 구매대행 홈페이지로서 청구인이 해당 홈페이지를 운영하고 있고, 청구인의 개인정보관리책임자(강○○)가 해당 홈페이지의 개인정보관리책임자로 되어 있다. 5. 이 사건 처분의 위법·부당 여부 가. 관계법령의 내용 등 1) 구 「정보통신망 이용촉진 및 정보호보 등에 관한 법률」(이하 ‘구 정보통신망법 ’이라 한다) 제28조제1항에 따르면 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ㆍ운영(제2호), 접속기록의 위조ㆍ변조 방지를 위한 조치(제3호), 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화기술 등을 이용한 보안조치(제4호)의 기술적ㆍ관리적 조치를 하여야 한다고 되어 있고, 같은 법 제64조의3제1항제6호에 따르면 방송통신위원회는 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 제28조제1항제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 조치를 하지 아니한 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다고 되어 있다. 2) 구 「정보통신망 이용촉진 및 정보호보 등에 관한 법률 시행령」(이하 ‘구 정보통신망법 시행령’이라 한다) 제15조제2항에 따르면 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영(제2호)을 하여야 한다고 되어 있고, 같은 조 제3항에 따르면 법 제28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조ㆍ변조 방지를 위하여 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인ㆍ감독(제1호)을 하여야 한다고 되어 있으며, 같은 조 제4항에 따르면 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장ㆍ전송될 수 있도록 비밀번호의 일방향 암호화 저장(제1호), 주민등록번호, 계좌정보 및 바이오정보 등 방송통신위원회가 정하여 고시하는 정보의 암호화 저장(제2호), 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버 구축 등의 조치(제3호) 등 보안조치를 하여야 한다고 되어 있다. 3) 구 정보통신망 시행령 제69조의2제1항에 따르면 법 제64조의3제1항 각 호 외의 부분 본문에서 "위반행위와 관련한 매출액"이란 해당 정보통신서비스 제공자등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액을 말한다고 되어 있고, 같은 조 제4항 및 같은 영 별표 8 제1호에 따르면 과징금은 법 제64조의3제3항 각 호에 따른 고려 사항과 이에 영향을 미치는 행위를 종합적으로 고려하여 기준금액에 필수적 가중ㆍ감경, 추가적 가중ㆍ감경을 거쳐 과징금을 산정한다고 되어 있으며, 같은 별표 제2호가목1)에 따르면 기준금액은 제69조의2제1항에 따른 위반행위와 관련한 매출액에 위반행위의 중대성에 따라 매우 중대한 위반행위인 경우 1천분의 27, 중대한 위반행위인 경우 1천분의 21, 보통 위반행위인 경우 1천분의 15로 구분된 과징금의 산정비율(부과기준율)을 곱하여 산출한 금액으로 하고, 같은 목 3)에 따르면 위반행위의 중대성은 고의ㆍ중과실 여부, 영리 목적의 유무, 위반행위로 인한 개인정보의 피해규모, 개인정보의 공중에 노출 여부 및 위반행위로 인하여 취득한 이익의 규모 등을 종합적으로 고려하여 판단하며, 같은 호 나목에 따르면 위반행위의 기간과 횟수 등을 고려하여 기준금액의 100분의 50의 범위에서 가중하거나 감경해야 하고, 같은 호 다목에 따르면 개인정보 보호를 위한 노력 정도, 위반행위에 대한 조사의 협조 여부, 위반행위의 주도 여부 등을 종합적으로 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위에서 가중하거나 감경할 수 있다고 되어 있다. 4) 구 「개인정보의 기술적·관리적 보호조치 기준」(이하 ‘구 보호조치 기준’이라 한다) 제4조제4항에 따르면 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다고 되어 있고, 같은 조 제5항에 따르면 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한(제1호), 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지(제2호)하는 기능을 포함한 시스템을 설치·운영하여야 한다고 되어 있으며, 같은 기준 제5조제1항에 따르면 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존·관리하여야 한다고 되어 있고, 같은 기준 제6조제1항에 따르면 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다고 되어 있으며, 같은 조 제2항에 따르면 정보통신서비스 제공자등은 주민등록번호 등의 정보에 대해서는 안전한 암호 알고리즘으로 암호화하여 저장한다고 되어 있고, 같은 조 제3항에 따르면 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화하되, 보안서버는 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능(제1호), 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능(제2호) 중 하나의 기능을 갖추어야 한다고 되어 있다. 5) 구 「개인정보보호 법규 위반에 대한 과징금 부과기준」(이하 ‘구 과징금 부과기준’이라 한다) 제5조에 따르면 위반 정보통신서비스 제공자등에게 고의·중과실이 있으면 위반행위의 중대성을 매우 중대한 위반행위로 판단하되, 위반행위의 결과가 위반 정보통신서비스 제공자등이 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우(제1호), 위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 개인정보의 100분의 5 이내인 경우(제2호), 이용자의 개인정보가 공중에 노출되지 않은 경우(제3호) 모두에 해당하는 경우에는 보통 위반행위로, 1개 이상 2개 이하에 해당하는 경우에는 중대한 위반행위로 감경한다고 되어 있고, 같은 기준 제6조제1항제1호 및 같은 조 제2항제1호에 따르면 위반기간 및 위반횟수를 고려하여 단기 위반행위로서 위반기간이 1년 이내인 경우는 기준금액을 유지하고 최초 위반행위로서 위반 정보통신서비스 제공자등이 최근 3년간 법 제64조의3제1항 각 호에 해당하는 행위로 과징금 처분을 받은 적이 없는 경우에는 제1항에 따른 조정을 거친 금액에서 기준금액의 100분의 50에 해당하는 금액을 감경한다고 되어 있으며, 같은 기준 제8조 및 별표 에 따르면 방송통신위원회는 사업자가 방송통신위원회 조사에 적극 협력한 경우 또는 개인정보 유출사실을 자진 신고한 경우에는 필수적 가중·감경을 거친 금액의 100분의 30 이내에서 추가적으로 가중하거나 감경할 수 있다고 되어 있다. 나. 판단 1) 청구인은 피청구인이 추정한 개인정보 유출 경위가 잘못되었다는 취지로 주장하나, 피청구인이 조사한 바에 따르면 2019. 3. 11. 관리자 페이지의 엑셀다운로드 기능을 통해 독일 IP(**.***.***.**, $$.$$$.$$$.$$)에서 회원내역이 포함된 대용량의 데이터가 6회에 걸쳐 다운로드 실행됨으로써 개인정보가 유출되었는데, 당시 독일에 출장 중이던 청구인 소속 직원이 청구인 홈페이지에 접속하였다는 청구인의 주장만으로는 위와 같이 대용량의 데이터가 다운로드된 경위를 달리 설명하기에 부족하고, 그 밖에 청구인의 주장을 인정할만한 자료가 없으므로, 청구인의 주장은 받아들이지 않는다. 2) 청구인은 ○○○로 싸이트의 개인정보는 청구인과 무관하다는 취지로 주장하나, ○○○로 싸이트는 청구인이 운영하고 있고 개인정보관리책임자도 동일하므로 청구인이 해당 싸이트에 대한 개인정보 관리책임을 부담하고 있다고 보아야 하고, ○○○로 싸이트에서 유출된 개인정보를 제외하더라도 청구인에 가입한 이용자 개인정보 175,710건이 유출되어 대규모의 개인정보가 유출되었다는 사실 자체에는 영향을 미칠 수 없으므로, 청구인의 주장은 받아들이지 않는다. 3) 청구인은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 항상 DB에 저장하고 있고, 2012년경부터 서버관리업체를 통해 보안장비(방화벽)를 구축하여 유지하고 있다고 주장하나, 청구인이 개인정보취급자가 개인정보처리시스템에 접속한 기록을 항상 DB에 저장하고 있다고 인정할만한 자료가 없고, 청구인 소속 개인정보관리책임자가 참여하여 확인한 현장조사 결과에 따르더라도 청구인은 개인정보 유출사실을 인지하기 전까지 보안장비(방화벽, 웹방화벽) 없이 웹서버 및 DB서버를 운영한 사실이 확인되었으므로, 청구인의 주장은 받아들이지 않는다. 4) 청구인은 이 사건 처분이 지나치게 가혹하다는 취지로 주장하나, 청구인이 관리하는 이용자 개인정보가 20만건 이상 유출되었고, 이러한 개인정보 유출에 따라 피청구인이 조사한 바에 따르면, 청구인은 홈페이지를 운영하면서 이용자 및 개인정보 취급자의 계정정보 전송 시 아이디 및 비밀번호를 평문으로 전송한 사실, 회원 DB에 개인정보 저장 시 평문으로 저장하고 있고, 비밀번호는 암호화하고 있으나 취약한 암호화 알고리즘을 이용한 사실, 개인정보 유출사실을 인지하기 전까지 보안장비(방화벽, 웹방화벽) 없이 웹서버 및 DB서버를 운영한 사실, 외부에서 관리자 홈페이지 접속 시 아이디 및 비밀번호만으로 접근통제를 하고 있고 추가적인 안전한 인증수단을 적용하지 않은 사실 등이 확인되며, 이는 구 정보통신망법 제28조제1항제2호, 제3호 및 제4호에 따른 기술적ㆍ관리적 조치를 하지 아니한 경우에 해당하는 것으로 보이는바, 피청구인은 개인정보 유출에 따른 피해 여부 등, 위반행위의 기간 및 횟수, 위반행위에 대한 조사 협조 여부 등을 고려하여 구 정보통신망법 시행령 제69조의2, 별표 8 및 구 과징금 부과기준에서 정한 과징금 산정 기준에 따라 이 사건 처분을 한 것으로 보이고, 달리 피청구인이 이 사건 처분을 함에 있어 사실 관계를 오인하는 등 재량권을 현저히 일탈ㆍ남용하였다고 볼 만한 사정도 없으므로, 이 사건 처분이 위법ㆍ부당하다고 할 수 없다. 6. 결 론 그렇다면 청구인의 주장을 인정할 수 없으므로 청구인의 청구를 받아들이지 않기로 하여 주문과 같이 재결한다.