과징금부과처분등취소청구의소

【원 고】 주식회사 ○○○ (소송대리인 법무법인 태평양 담당변호사 윤주호 외 1인)<br/>【피 고】 개인정보보호위원회 (소송대리인 법무법인 최선 담당변호사 이준상 외 1인)<br/>【변론종결】2025. 6. 26.<br/>【주 문】<br/>1. 원고의 청구를 기각한다. <br/>2. 소송비용은 원고가 부담한다.<br/><br/>【청구취지】피고가 2024. 3. 27. 원고에 대하여 한 과징금 613,000,000원 부과처분과 공표명령을 모두 취소한다. <br/>【이 유】 1. 처분의 경위<br/> 가. 원고는 인터넷을 통한 교육서비스업을 영위하는 회사로서 인터넷강의 웹사이트[(도메인 주소 생략), 이하 ‘이 사건 사이트’라 한다]를 운영하고 있다. 원고는 개인정보 보호법 제2조 제5호에 따른 개인정보처리자로서 2024. 1. 31. 기준 1,138,816건의 개인정보(이름, ID, 생년월일, 휴대전화번호, 이메일주소 등)를 수집·보유하고 있다. <br/> 나. 해커는 2024. 1. 12. 이 사건 사이트에 크리덴셜 스터핑(Credential Stuffing) 공격을 시도하여 회원계정으로 로그인에 성공하였고, 2024. 1. 15. 그 회원계정으로 이 사건 사이트 중 ‘불법이용신고 게시판’에 크로스 사이트 스크립팅(Cross Site Scripting, 이하 ‘XSS’라 한다) 명령어가 포함된 게시글을 작성하였다. 원고 직원이 2024. 1. 16. 해당 게시글을 열람하면서 해커에게 직원계정의 세션정보 가 탈취당했고, 해커는 탈취한 세션정보를 이용하여 직원 25명의 ID, 이름 및 회원 95,171명의 ID와 일부가 가려진 이름, 휴대전화번호, 이메일주소 정보를 유출하였다. <br/> 다. 원고는 2024. 1. 18. 개인정보 유출 신고를 하였고, 피고는 2024. 2.경 원고의 개인정보 취급·운영실태를 조사하였다. 그 결과 피고는 아래 사유로 원고가 개인정보 보호법 제29조에 따른 안전조치의무를 다하지 않았다고 보아 같은 법 제64조의2 제1항 제9호, 제66조 제2항에 근거하여, 2024. 3. 27. 원고에게 과징금 613,000,000원 부과처분(이하 ‘이 사건 과징금 처분’이라 한다)과 그에 관한 공표명령을 하였다(이하 ‘이 사건 공표명령’이라 한다). <br/> 1) 원고가 침입탐지·차단시스템을 운영하고 있으나, 불법적인 침입탐지·차단 정책관리와 이상행위 대응에 소홀하여 웹방화벽에서 XSS 탐지·차단정책을 기본적으로 제공하고 있는데도 이를 적용하지 않아 XSS 공격을 탐지·차단하지 못하였다. 또한 회원 로그인 페이지에 관한 과도한 접속시도가 있었으나, 이를 탐지·차단하지 못하였다. 이러한 행위는 개인정보 보호법 제29조, 같은 법 시행령 제30조 제1항 제3호 (가)목,「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시, 이하 ‘이 사건 고시’라 한다) 제6조 제1항 제2호를 위반한 것이다. 2) 원고는 불법이용신고 게시판을 운영하면서 2016. 4. 16.부터 2024. 1. 16.까지 XSS 공격을 방지하기 위한 입력값 검증 조치를 취하지 않았다. 이러한 행위는 개인정보 보호법 제29조, 같은 법 시행령 제30조 제1항 제8호, 이 사건 고시 제6조 제3항을 위반한 것이다. <br/> [인정 근거] 갑 제1호증, 을 제1호증, 변론 전체의 취지<br/> 2. 관계 법령: 별지와 같다. <br/> 3. 이 사건 과징금 처분의 위법 여부<br/> 가. 처분사유의 인정 여부<br/> 1) 원고 주장의 요지<br/> 원고는 개인정보의 안전성을 확보하기 충분한 침입탐지·차단시스템을 설치·운영하여 이 사건 고시 제6조 제1항 제2호를 준수하였고, 다만 다수의 학생들에게 인터넷강의 서비스를 제공해야 하는 이 사건 사이트의 특성상 정상적인 서비스 제공을 위해 XSS 자동차단 정책을 적용하지 않거나 로그인 접속시도 횟수 제한을 완화하였다. 또한 원고는 이 사건 사이트를 개발하는 과정에서 XSS 공격 대응을 위해 입력값 검증의 조치가 이루어지도록 하였고, 그 외에도 꾸준히 안전성 확보조치를 다하여 이 사건 고시 제6조 제3항을 준수하였다. 이처럼 원고는 사회통념상 합리적으로 기대 가능한 정도의 안전조치를 모두 이행하였으므로, 개인정보 보호법 제29조에 따른 안전성 확보에 필요한 조치를 다하였다. <br/> 2) 관련 규정 및 법리<br/> 가) 개인정보 보호법령에 의하면, 개인정보처리자는 개인정보가 유출되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 하고(법 제29조), 개인정보처리자가 처리하는 개인정보가 유출된 경우 피고는 해당 개인정보처리자에게 과징금을 부과할 수 있으며, 다만 개인정보가 유출되지 아니하도록 개인정보처리자가 법 제29조에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다(법 제64조의2 제1항 제9호). 법 제29조에 따른 안전성 확보 조치로는 개인정보에 대한 접근통제를 목적으로 개인정보처리시스템에 대한 침입을 탐지하고 차단하기 위하여 필요한 조치[시행령 제30조 제1항 제3호 (가)목], 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치(시행령 제30조 제1항 제8호) 등이 있고, 안전성 확보조치에 관한 세부기준은 피고가 정하여 고시하게 된다(시행령 제30조 제3항). 이러한 위임에 따른 이 사건 고시에 의하면, 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도를 탐지 및 대응해야 하고(제6조 제1항 제2호), 처리하는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자의 컴퓨터 및 모바일 기기 등에 조치를 하여야 한다(제6조 제3항). <br/> 나) 개인정보처리자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 의무를 위반하였는지 여부를 판단할 때는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 개인정보처리자의 업종·영업규모와 개인정보처리자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 개인정보처리자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해 정도 등의 사정을 종합적으로 고려하여 개인정보처리자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 안전성 확보조치를 다하였는지 여부를 기준으로 판단하여야 한다(대법원 2018. 1. 25. 선고 2015다24904, 24911, 24928, 24935 판결 등 참조).<br/> 3) 인정 사실<br/> 가) XSS 공격은 정보통신망에서 빈번하게 발생하는 해킹방식으로서, 해커는 게시판에 악의적인 명령어를 삽입하여 게시글을 열람한 이용자의 세션정보 등을 탈취하므로, 입력값에 악의적인 명령어가 포함되어 있는지 여부를 검증하는 방식으로 XSS 공격을 일정 부분 차단할 수 있다. <br/> 나) 원고는 이 사건 사이트에 Anti-DDoS, 네트워크 방화벽(UTM), 웹방화벽, DB접근제어 솔루션 등을 설치·운영하였고, SK브로드밴드 주식회사로부터 보안관제서비스를 제공받았으며, 한국인터넷진흥원으로부터 정보보호 관리체계(ISMS) 인증을 취득하였다. 또한 원고는 안랩(AhnLab)을 통해 XSS 공격을 탐지한 후 공격자의 IP를 차단하는 등의 조치를 취해왔다. <br/> 다) 그러나 원고가 XSS 공격을 받은 무렵 이 사건 사이트의 ‘불법이용신고 게시판’에는 입력값 검증과 같은 XSS 공격을 자동차단할 수 있는 정책이 적용되지 않았다. 그에 따라 해커가 2024. 1. 15. 17:05 XSS 명령어가 포함된 게시글을 작성하였는데도, 원고는 이를 인지하지 못하였고, 원고 직원이 2024. 1. 16. 09:04 해당 게시글을 열람하여 직원계정의 세션정보가 탈취당한 이후 같은 날 12:42에야 XSS 공격을 탐지하고 XSS 명령어가 포함된 게시글을 삭제하였다.<br/> 라) 또한 원고는 IP 주소당 로그인 접속횟수를 제한하는 등의 과도한 접속시도와 관련한 탐지·차단정책을 시행하지 않았고, 다만 로그인 시 전체 패킷이 초당 5만 회를 초과하는 경우 접속시도를 차단하는 정책을 시행하였다. 해커가 XSS 공격을 실시하기 전 크리덴셜 스터핑 공격을 통해 XSS 명령어가 담긴 게시글을 작성하기 위한 회원계정을 확보하였는데, 그 과정에서 해커는 5분간 총 4,026회의 로그인 시도(실패 4,024회, 성공 2회)를 하였으나 원고는 이를 탐지·차단하지 못하였다. <br/> 마) 「개인정보의 기술적·관리적 보호조치 기준」(개인정보보호위원회 고시) 의 해설을 목적으로 피고와 한국인터넷진흥원이 2022. 10. 발간한 해설서에 의하면, 이 사건 고시 제6조 제1항 제2호, 제3항에 따른 안전조치의 주요내용은 아래와 같다. <br/> 1. 제4조 제5항 제2호(= 이 사건 고시 제6조 제1항 제2호) ○ 접근제한 기능 및 유출탐지 기능의 충족을 위해서는 단순히 시스템을 설치하는 것만으로는 부족하고, 신규위협 대응 및 정책의 관리를 위하여 다음과 같은 방법 등을 활용하여 체계적으로 운영·관리하여야 한다. - 정책설정 운영: 신규위협 대응 등을 위하여 접근제한 정책 및 유출탐지 정책을 설정하고 지속적인 업테이트 적용 및 운영·관리 - 이상행위 대응: 모니터링 등을 통해 인가받지 않은 접근을 제한하거나 인가자의 비정상적 행동에 대응. 예시) 동일 IP 주소에서의 과도한 또는 비정상적인 접속시도 탐지 및 차단조치 등 - 로그 분석: 로그 등의 대조·분석을 통하여 이상행위를 탐지·차단 ○ IP 주소 등에는 IP 주소 그 자체뿐만 아니라, 해당 IP 주소의 행위(과도한 접속성공 및 실패, 부적절한 명령어 등 이상행위 관련 패킷)를 포함한다. 2. 제4조 제9항(= 이 사건 고시 제6조 제3항) ○ (보안대책 마련) 인터넷 홈페이지 설계 시 개인정보 유·노출에 영향을 미칠 수 있는 위험요소를 분석하여 필요한 보안대책을 마련하여야 한다. 예시) 입력 데이터의 유효성 검증 등 ○ (운영 및 관리) 인터넷 홈페이지 운영·관리 시 개인정보 유·노출 방지를 위한 보안대책 및 기술적용에 따른 적정성을 검증하고 개선조치를 하여야 한다. 예시) 취약점을 점검하고 그 결과에 따른 적절한 개선조치 등 - 취약점 점검항목: XSS 취약점 등 <br/> [인정 근거] 갑 제1∼4, 7, 12호증, 을 제3∼5, 8호증, 변론 전체의 취지<br/> 4) 구체적 판단<br/> 위 인정 사실과 앞서 든 증거 및 변론 전체의 취지에 의하여 알 수 있는 아래 사정들을 종합하면, 원고가 IP 주소 등을 분석하여 개인정보 유출시도를 탐지·대응하거나 개인정보가 유출되지 않도록 개인정보처리시스템에 조치를 취하는 등의 사회통념상 합리적으로 기대 가능한 정도의 안전성 확보조치를 다하였다고 보기 어려우므로, 원고는 개인정보 보호법 제29조, 같은 법 시행령 제30조 제3항, 이 사건 고시 제6조 제1항 제2호, 제3항이 정한 안전성 확보조치를 제대로 이행하지 않았다고 볼 수 있다. <br/> ① XSS 공격은 대표적인 해킹 기법 중 하나로, 이를 예방하기 위한 보안대책들이 널리 알려져 있고, 그중에서도 다수의 인터넷 보안관련 자료에서 공통적으로 강조하는 예방조치는 게시물 작성 단계에서부터 입력값을 검증하여 악의적인 명령어가 등록되지 않도록 차단하는 방식이다. 이 사건 고시 제6조 제1항 제2호, 제3항에 관하여 피고가 발간한 해설서에 의하면, ‘IP 주소 등을 분석하여 개인정보 유출시도를 탐지·대응하기 위한 조치’에는 특정 IP 주소에서 부적절한 명령어를 입력하는 등의 이상행위를 탐지·차단하는 조치가 포함되고, ‘개인정보가 유출되지 않기 위한 개인정보처리시스템 조치’에는 입력 데이터의 유효성 검증, XSS 취약점 점검 및 개선 등의 조치가 포함되므로, 입력값 검증 정책은 바로 개인정보 유출을 막기 위한 안전성 확보조치의 대표적인 사례라고 할 수 있다. <br/> ② 그러나 원고는 불법이용신고 게시판에 관하여 입력값 검증 조치를 시행하지 않아 해커가 게시글 작성 시 악의적인 명령어를 등록했는데도, 이를 차단하지 못하였다. 만약 원고가 입력값 검증과 같은 XSS 공격을 자동차단할 수 있는 정책을 적용하였다면, 해커가 게시글을 작성하는 단계에서 해당 악의적인 명령어를 차단했을 가능성이 크다. 비록 원고가 사후적으로 XSS 공격을 탐지한 후 공격자의 IP를 차단하는 등의 조치를 취해왔다고 하더라도, 이는 이미 발생한 해킹에 관한 사후적 수습에 불과할 뿐, XSS 공격 자체를 예방하거나 차단하기 위한 충분한 안전성 확보조치로 볼 수는 없다. 실제로도 해커는 별다른 제한 없이 악의적인 명령어가 포함된 게시글을 등록할 수 있었고, 원고는 직원의 세션정보가 탈취된 이후에야 XSS 공격을 탐지하여 해당 게시글을 삭제하는 등 사후적 조치를 하였다. <br/> ③ 원고는 직원 및 회원들의 이름, 생년월일, 휴대전화번호, 이메일주소 등 약 113만 건의 개인정보를 수집·보유하는 개인정보처리자로서, 원고가 취급하는 개인정보의 민감성과 중요성을 고려할 때 이 사건 사이트 이용의 편의만을 위해 안전성 확보조치를 완화하거나 소홀히 해서는 안 된다. 입력값 검증 등의 XSS 자동차단 정책의 경우 당시 기술수준으로 충분히 구현 가능하고, 보편적으로 알려져 있는 XSS 공격에 관한 예방방법일 뿐만 아니라 다수의 인터넷 사이트에서도 이를 적용해 오고 있다는 점에서 입력값 검증이 이 사건 사이트의 이용에 막대한 지장을 가져올 정도의 기대하기 어려운 조치라고 보기 어렵다. 나아가 설령 입력값 검증 정책을 도입할 경우 오탐지로 인하여 이 사건 사이트 이용에 일부 지장이 발생할 우려가 있다고 하더라도, 원고로서는 입력값 검증 정책을 도입하되 실제로 정상적인 이용까지 XSS 공격으로 잘못 탐지할 경우 담당자가 신속하게 차단의 예외를 설정하는 등의 방식으로 XSS 자동차단 정책을 적절하게 운용할 수 있는 절충적 방안도 상정할 수 있다. <br/> ④ 원고는 IP 주소당 로그인 접속횟수를 제한하는 등의 과도한 접속시도와 관련한 탐지·차단정책을 시행하지 않았고, 그 결과 해커는 5분간 4,000건이 넘는 로그인 시도를 통해 크리덴셜 스터핑 공격을 성공하였다. 해커의 크리덴셜 스터핑 공격은 개인정보가 유출된 직접적 원인은 아니지만 그로 인해 해커가 손쉽게 회원계정을 확보할 수 있었고 곧 이어 그 회원계정을 통해 XSS 공격을 실시하였다는 점에서, 원고는 IP 주소 등의 분석을 통해 크리덴셜 스터핑 공격을 탐지·대응할 필요성이 있었는데도 제대로 된 안전성 확보조치를 취하지 않았다. 이에 관하여 원고는 인터넷강의 웹사이트의 특성상 학원과 같은 특정 공간에서 학생들이 동시에 로그인을 하는 경우가 많아 IP 주소당 로그인 접속횟수를 제한할 수 없다고 주장하나, 단기간에 특정 IP 주소에서 다량의 접속시도가 관찰되더라도 로그인 성공/실패 비율을 통해 그것이 비정상적 로그인인지 여부를 기술적으로 충분히 파악할 수 있을 것으로 보이므로, IP 주소당 로그인 접속횟수를 제한하는 탐지·차단정책이 원고가 도저히 이행하기 어려운 안전성 확보조치라고 보기는 어렵다. <br/> 나. 과징금 산정의 위법 여부<br/> 1) 과징금 산정 근거<br/> 피고는 개인정보 보호법 제64조의2 제1항, 제2항에 따라 원고의 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액(관련 매출액)을 기준으로 아래와 같은 방법을 통해 과징금을 613,000,000원으로 산정하였다. <br/> 가) 기준금액의 산정<br/> ① 관련 매출액: 개인정보 보호법 제64조의2 제6항, 같은 법 시행령 제60조의2 제1항, 제3항에 의하면, ‘전체 매출액’은 위반행위가 있었던 사업연도 직전 3개 사업연도의 해당 개인정보처리자의 연평균 매출액으로 하고, ‘위반행위와 관련이 없는 매출액’은 전체 매출액 중 ㉠ 개인정보의 처리와 관련이 없는 재화 또는 서비스의 매출액 및 ㉡ 피고가 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 재화 또는 서비스의 매출액이 아닌 것으로 인정하는 매출액으로 한다. 이에 따라 피고는 아래와 같이 원고의 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외하여 관련 매출액을 107,463,279,000원으로 산정하였고, 그 관련 매출액은 인터넷강의 매출, 입시정보 매출, 강사 교재 매출, 기타 상품판매 매출, 결합상품 매출로 이루어져 있다. <br/> 〈피심인의 위반행위 관련 매출액〉 (단위: 천 원) 구 분2020년2021년2022년평 균 ①전체 매출액176,345,994188,128,734182,385,946182,286,891 ②관련 없는 매출액68,429,72478,561,99177,479,12174,823,612 ①에서 ②를 제외한 매출액104,916,270109,566,743104,906,825107,463,279 <br/> ② 중대성 판단: 개인정보 보호법 제64조의2 제6항, 같은 법 시행령 [별표 1의5] 제3호의 위임에 따라 피고가 고시한 「개인정보 보호법 위반에 대한 과징금 부과기준」(이하 ‘과징금 부과기준’이라 한다) [별표]에 의하면, 위반행위의 중대성은 고의·과실, 위반행위의 방법, 위반행위자가 처리하는 개인정보의 유형, 정보주체의 피해 규모 및 정보주체에게 미치는 영향을 고려하여 결정하는데, 피고는 이를 종합적으로 고려하여 원고의 위반행위의 중대성을 ‘약한 위반행위’로 평가하였다. <br/> ③ 기준금액의 결정: 개인정보 보호법 시행령 [별표 1의5] 제2호 (가)목 1)에 의하면 위반행위의 중대성이 ‘약한 위반행위’인 경우 과징금 산정비율(부과기준율)은 0.03%∼0.9%이고, 과징금 부과기준 제6조 제1항에 의하면 기준금액은 관련 매출액에 부과기준율을 곱한 금액으로 정한다. 피고는 원고의 부과기준율을 0.68%로 정한 뒤 관련 매출액 107,463,279,000원을 곱하여 기준금액을 730,750,000원으로 정하였다. <br/> 나) 1차 조정<br/> 개인정보 보호법 시행령 [별표 1의5] 제2호 (나)목, 과징금 부과기준 제9조 제1항 제1호, 제2항 제1호에 의하면, 위반기간이 1년 초과 2년 이내인 경우 기준금액의 25%에 해당하는 금액을, 위반기간이 2년을 초과하는 경우 기준금액의 50%에 해당하는 금액을 가산하고, 위반행위로 인하여 경제적·비경제적 이득을 취하지 아니하였거나 취할 가능성이 현저히 낮은 경우 기준금액의 30% 이하에 해당하는 금액을 감경한다. 피고는 원고가 안전성 확보조치를 다하지 않은 위반기간이 2년을 초과(2016. 4. 16.부터 2024. 3. 27.까지)한다고 보아 기준금액의 50%를 가중하고, 위반행위로 인하여 경제적·비경제적 이득을 취하지 아니하였거나 취할 가능성이 현저히 낮다고 보아 기준금액의 30%를 감경하였다. 이러한 1차 조정 결과 결과적으로 피고는 146,150,000원을 기준금액에 가산하였다. <br/> 다) 2차 조정<br/> 개인정보 보호법 시행령 [별표 1의5] 제2호 (다)목, 과징금 부과기준 제10조 제2항 제1호 (나)목에 의하면, 피고의 조사에 적극 협력한 경우 1차 조정을 거친 금액의 30% 이하에 해당하는 금액을 감경할 수 있다. 피고는 원고가 조사에 적극 협력하였다고 보아 1차 조정을 거친 금액의 30%인 263,070,000원을 감경하였다. <br/> 라) 과징금의 결정<br/> 기준금액 730,750,000원 + 1차 조정 146,150,000원 － 2차 조정 263,070,000원 = 613,000,000원(100만 원 미만 버림) <br/> 2) 관련 매출액 산정의 위법 여부<br/> 가) 원고 주장의 요지<br/> 피고는 관련 매출액에 강사 교재 매출, 기타 상품판매 매출, 결합상품 매출을 포함시켰다. 그러나 ① 강사 교재 매출 중 강사에게 지급된 부분과 배송매출, ② 기타 상품판매 매출 중 외부 교재 매출과 오프라인 모의고사 매출, ③ 결합상품 매출 중 갤럭시버즈 라이브의 매입원가 부분은 위반행위와 관련이 없는 매출액에 해당하므로, 관련 매출액에서 제외해야 한다. <br/> 나) 관련 법리<br/> 과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 개인정보 보호법 제64조의2 제1항 각 호에서 정한 행위에 관하여 부과하는 과징금의 경우도 마찬가지이다. 그런데 개인정보처리자가 관련 법령을 위반하여 개인정보의 안전조치를 하지 아니함으로써 이용자의 개인정보가 유출된 위반행의의 경우 개인정보처리자가 개인정보 안전조치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 개인정보 보호법 제64조의2 제1항 제9호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은, 문제 된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 개인정보처리자가 적절한 안전조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 과징금 부과를 위한 관련 매출액의 범위는 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단해야 한다(대법원 2023. 10. 12. 선고 2022두68923 판결 참조). <br/> 다) 구체적 판단<br/> 갑 제15∼17호증 및 변론 전체의 취지에 의하면, 강사 교재 매출, 기타 상품판매 매출, 결합상품 매출은 모두 원고가 적절한 안전조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 볼 수 있으므로, 이를 관련 매출액에 포함시킨 피고의 과징금 산정은 적법하다. <br/> ① 강사 교재 매출은 소속 강사가 집필한 교재를 원고가 판매한 매출을 의미하고, 원고는 회원들의 개인정보를 수집·보유하며 인터넷강의 서비스와 함께 교재 판매 서비스를 제공하였으므로, 강사 교재 판매는 위반행위로 인해 직접적으로 영향을 받는 서비스에 해당한다. 나아가 원고는 교재 매출 중 약 70%를 강사에게 지급하기로 약정하였으나 이는 원고가 교재를 판매한 이후의 내부적인 정산문제에 불과하고 원고 스스로도 강사 교재 매출 전액을 자신의 매출로 회계처리하고 있으므로, 강사에게 사후적으로 지급되는 교재 대금을 관련 매출액에서 제외할 수는 없다. 또한 강사 교재 매출에 포함된 배송매출의 경우 원고가 회원들로부터 교재 배송과정에서 배송비 명목으로 지급받은 매출을 의미하는데, 교재 배송 역시 원고가 제공하는 교재 판매 서비스에 필수적으로 부속된 서비스에 해당하므로 이를 강사 교재 매출과 분리하여 볼 수 없다. <br/> ② 기타 상품판매 매출에는 EBS 교재 매입원가, 모의고사·기타 교재 매입원가, 오프라인 모의고사 매출이 포함되어 있다. 이와 관련된 외부 교재 판매 및 모의고사 서비스는 원고의 회원들에게 인터넷강의 서비스를 위해 제공된 것이고, 인터넷강의 서비스와 관련 없는 교재·모의고사 관련 매출은 이미 관련 매출액에서 공제된 것으로 보이므로, 외부 교재 판매 및 모의고사 서비스를 원고가 개인정보를 수집·보유함으로써 제공하는 인터넷강의 서비스와 달리 보기 어렵다. <br/> ③ 결합상품 매출 중 갤럭시버즈 라이브의 매입원가 부분은 원고가 인터넷강의 수강 시 회원들에게 제공한 상품의 매입원가를 매출로 나타낸 것을 의미한다. 원고는 기본적으로 인터넷강의를 홍보하고 수강을 촉진하기 위한 목적으로 상품을 제공한 것이기 때문에 그 매출은 인터넷강의 서비스의 범위에 포함된다고 할 수 있다. <br/> 3) 위반기간 산정의 위법 여부<br/> 가) 원고 주장의 요지<br/> 피고는 원고가 안전조치를 다하지 않은 기간을 ‘위반기간’으로 보아 그 위반기간이 2년을 초과한다는 이유로 1차 조정에서 기준금액의 50%를 가산하였다. 그러나 개인정보 보호법 제64조의2 제1항 제9호는 위반행위의 대상을 ‘개인정보의 유출행위’도 포함하는 것으로 규정하고 있으므로, 위반기간은 ‘안전조치를 이행하지 않은 기간 중 개인정보가 유출된 기간’이 되어야 한다. 그에 따르면 원고의 위반기간은 5일에 불과하므로 1차 조정에서 기준금액을 가산할 수 없다. <br/> 나) 관련 법리<br/> 법은 원칙적으로 불특정 다수인에 대하여 동일한 구속력을 갖는 사회의 보편타당한 규범이므로 이를 해석함에 있어서는 법의 표준적 의미를 밝혀 객관적 타당성이 있도록 하여야 하고, 가급적 모든 사람이 수긍할 수 있는 일관성을 유지함으로써 법적 안정성이 손상되지 않도록 하여야 한다. 한편 실정법은 보편적이고 전형적인 사안을 염두에 두고 규정되기 마련이므로 사회현실에서 일어나는 다양한 사안에서 그 법을 적용함에 있어서는 구체적 사안에 맞는 가장 타당한 해결이 될 수 있도록 해석할 것도 또한 요구된다. 요컨대 법해석의 목표는 어디까지나 법적 안정성을 저해하지 않는 범위 내에서 구체적 타당성을 찾는 데 두어야 한다. 나아가 그러기 위해서는 가능한 한 법률에 사용된 문언의 통상적인 의미에 충실하게 해석하는 것을 원칙으로 하면서, 법률의 입법 취지와 목적, 그 제·개정연혁, 법질서 전체와의 조화, 다른 법령과의 관계 등을 고려하는 체계적·논리적 해석방법을 추가적으로 동원함으로써, 위와 같은 법해석의 요청에 부응하는 타당한 해석을 하여야 한다(대법원 2023. 4. 13. 선고 2021다271725 판결 등 참조).<br/> 다) 관련 규정의 개정 경과<br/> ① 과거 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(2020. 2. 4. 법률 제16955호로 개정되기 전의 것)은 정보통신서비스 제공자의 개인정보 보호조치의무를, 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것)은 일반 개인정보처리자의 개인정보 안전조치의무를 각각 규정하고 있었으나, 2020. 2. 4. 법률개정으로 인하여 정보통신서비스 제공자의 보호조치의무에 관한 규정이 개인정보 보호법으로 이관되었다. <br/> ② 그에 따라 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것)은 정보통신서비스 제공자 및 일반 개인정보처리자의 안전조치의무 위반과 관련된 과징금 부과에 관하여 아래와 같이 각각 규정하고 있었다. <br/> 제34조의2(과징금의 부과 등) ① 보호위원회는 개인정보처리자가 처리하는 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 5억 원 이하의 과징금을 부과·징수할 수 있다. 다만 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 개인정보처리자가 제24조 제3항에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다. 제39조의15(과징금의 부과 등에 대한 특례) ① 보호위원회는 정보통신서비스 제공자 등에게 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자 등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 5. 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 경우로서 제29조의 조치(내부 관리계획 수립에 관한 사항은 제외한다)를 하지 아니한 경우(제39조의14에 따라 준용되는 경우를 포함한다) <br/> ③ 이후 개인정보 보호법이 2023. 3. 14. 개정됨에 따라 정보통신서비스 제공자 및 일반 개인정보처리자의 안전조치의무와 관련된 규정이 일원화되었고, 안전조치의무 위반과 관련된 과징금 부과 규정도 아래와 같이 통합·신설되었다.<br/> 제64조의2(과징금의 부과) ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억 원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 9. 개인정보처리자가 처리하는 개인정보가 분실·도난·유출·위조·변조·훼손된 경우. 다만 개인정보가 분실·도난·유출·위조·변조·훼손되지 아니하도록 개인정보처리자가 제29조(제26조 제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다. <br/> 라) 구체적 판단<br/> 개인정보 보호법의 입법 취지와 목적, 개정연혁과 이유, 법질서 전체와의 조화 등을 고려하면, 개인정보 보호법 제64조의2 제1항 제9호는 개인정보 유출이 발생한 경우 그 개인정보처리자의 안전조치의무 위반을 제재하기 위한 규정으로 봄이 타당하므로, 그 위반기간은 개인정보처리자가 안전조치의무를 위반한 기간을 의미한다고 보아야 한다. 따라서 원고가 2016. 4. 16.부터 2024. 3. 27.까지 안전조치의무를 위반한 이상 피고가 위반기간이 2년을 초과한다고 보아 1차 조정에서 기준금액의 50%를 가중한 것은 적법하다. 그 구체적인 이유는 다음과 같다. <br/> ① 개인정보 보호법 제29조가 개인정보처리자에게 개인정보의 안전조치의무를 부과하고 있으므로, 그 이행을 강제하기 위한 행정제재 수단이 필요하다. 물론 개인정보 보호법 제75조 제2항 제5호는 제29조에 따른 안전조치를 하지 아니한 자에게 과태료를 부과한다고 규정하고 있긴 하나, 그러한 의무 위반이 개인정보 유출이라는 중대한 결과의 원인이 되었을 경우 과태료만으로는 개인정보처리자의 책임을 묻기 부족한 측면이 있다. 이에 개인정보 보호법 제64조의2 제1항 제9호는 개인정보처리자가 제29조에 따른 안전조치를 다하지 않은 상태에서 개인정보가 유출된 경우를 전제로 과징금을 부과하도록 규정하고 있는데, 이는 기본적으로 안전조치의무 위반에 관한 책임을 묻되 개인정보 유출이라는 결과가 발생한 경우 과태료보다 가중한 제재를 하기 위한 것으로 이해된다. <br/> ② 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 제39조의15 제1항 제5호는 ‘이용자의 개인정보를 유출한 경우로서 제29조에 따른 안전조치를 하지 않은 경우 과징금을 부과할 수 있다.’고 규정하여 과거부터 정보통신서비스 제공자의 안전조치의무 위반에 관하여 과징금을 부과하였다. 현행 개인정보 보호법 제64조의2 제1항 제9호는 ‘개인정보처리자가 처리하는 개인정보가 유출된 경우 과징금을 부과하되 제29조에 따른 안전조치를 다한 경우에는 그러하지 아니한다.’고 규정하고 있긴 하다. 그러나 정보통신서비스 제공자와 일반 개인정보처리자에 관한 규제를 일원화하기 위하여 구법 제34조의2 제1항과 제39조의15 제1항 제5호가 현행법 제64조의2 제1항 제9호로 통합·신설되었는데, 법률 개정 당시 논의된 자료들에 의하더라도 이는 단순히 과징금 부과 규정을 구법 제34조의2 제1항의 조문 형식에 맞추어 일원화한 것에 불과하다고 보인다. 이러한 입법경위를 고려하면, 입법자가 개인정보 보호법 개정을 통하여 종전과 달리 개인정보 유출 자체에 초점을 맞추어 과징금을 부과하겠다는 의사를 나타냈다고 보기 어렵다. <br/> ③ 이처럼 개인정보 보호법 제64조의2 제1항 제9호는 안전조치의무 미이행이라는 위반행위를 제재하려는 규정이므로, 그 위반기간은 개인정보처리자가 안전조치의무를 이행하지 않은 기간이 되어야 한다. 과징금 부과기준 제3조 제2항 역시 이와 같은 취지에서 ‘위반기간을 산정하면서 위반행위의 개시일 또는 종료일이 불분명한 경우에는 위반행위자의 영업·재무 관련 자료, 임직원·정보주체 등의 진술, 동종·유사 업종을 영위하는 다른 개인정보처리자의 영업 및 거래실태·관행 등을 고려하여 이를 산정할 수 있다.’고 규정하고 있는데, 위반기간을 ‘개인정보가 유출된 기간’으로 본다면 그 성질상 이러한 위반기간 추정 규정이 그대로 적용되기 어렵다. <br/> ④ 만약 원고의 주장과 같이 위반기간을 ‘개인정보가 유출된 기간’까지 고려하여 제한적으로 보게 될 경우 개인정보처리자의 안전조치의무 위반과 상관없이 해커의 공격이 얼마 동안 이어지는지, 해커의 공격을 어느 시점에 발견하는지 등과 같은 우연한 요소에 따라 과징금의 액수가 달라지는 불합리한 결과가 초래된다. <br/> 다. 비례원칙 위반 여부<br/> 앞서 든 증거 및 변론 전체의 취지에 의하여 알 수 있는 아래 사정들을 종합하면, 피고가 결정한 과징금이 지나치게 가혹하거나 비례원칙에 반하여 재량권을 일탈·남용하였다고 보기 어려우므로, 이 사건 과징금 처분은 적법하다. <br/> 1) 원고가 이 사건 사이트에 안전조치의무를 제대로 이행하지 않았기 때문에 개인정보 유출이 발생하였고, 그 결과 직원 25명 및 회원 95,171명의 ID와 일부가 가려진 이름, 휴대전화번호, 이메일주소 정보가 유출되었다는 점에서 그 피해규모가 결코 경미하다고 할 수 없다[원고는 ID의 경우 개인정보에 해당하지 않는다고 주장하나 ID와 함께 일부가 가려진 이름, 휴대전화번호, 이메일주소가 함께 유출된 이상 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있으므로 ID 역시 개인정보에 포함된다[(개인정보 보호법 제2조 1호 (나)목)]. <br/> 2) 유출된 이름, 휴대전화번호, 이메일주소가 일부 가려져 있어 정보주체들의 피해가 적었던 점, 원고가 과거부터 이 사건 사이트 보안에 투자해 온 점 등을 고려하여 피고는 위반행위의 방법을 ‘하’, 위반행위자가 처리하는 개인정보의 유형을 ‘하’, 정보주체의 피해 규모를 ‘하’로 평가하였다. 다만 원고가 모의해킹을 통해 XSS 취약점을 알았고 입력값 검증과 같은 XSS 공격을 자동차단할 수 있는 정책을 적용할 수 있었는데도 이를 제대로 이행하지 않았다고 보아 고의·과실을 ‘중’으로 평가한 후, 최종적인 위반행위의 중대성을 가장 경미한 ‘약한 위반행위’로 평가하였는데, 이러한 판단은 충분히 수긍할 수 있고, 피고에게 주어진 재량권을 일탈·남용한 것이라 보기 어렵다.<br/> 3) 원고는 개인정보 유출에 따라 과징금을 부과한 유사사례와 비교할 때 과징금 액수가 지나치게 크다고 주장하나, 원고가 비교대상으로 삼은 유사사례는 위반행위의 태양과 성격, 내용과 정도가 이 사건과 상이하므로, 위 유사사례와 이 사건을 동일선상에서 비교하는 것이 합리적이라고 보기 어렵다. <br/> 4. 이 사건 공표명령의 위법 여부<br/> 개인정보 보호법령에 의하면, 피고는 과징금 부과처분을 한 경우에는 처분을 받은 자에게 해당 처분을 받았다는 사실을 공표할 것을 명할 수 있고(법 제66조 제2항), 이 경우 피고는 위반행위의 내용 및 정도, 위반기간 및 횟수, 위반행위로 인하여 발생한 피해의 범위 및 결과 등을 고려해야 한다(시행령 제61조 제3항). 이 사건 과징금 처분이 적법하다는 점은 앞서 본 바와 같고, 원고의 위반행위로 인하여 다수 정보주체의 개인정보가 유출된 점, 원고의 위반기간이 8년에 달하는 점 등을 고려하면, 이 사건 공표명령이 비례원칙에 반하여 재량권을 일탈·남용하였다고 보기도 어렵다. <br/> 5. 결론<br/> 그렇다면 원고의 청구는 이유 없으므로 기각하고, 소송비용은 패소한 원고가 부담하도록 정하여, 주문과 같이 판결한다.<br/>[별 지] 관계 법령: 생략<br/><br/>판사 이상덕(재판장) 오민관 방민우