개인정보행정1심기각
과징금부과처분취소
서울행법 · 2023구합81091 · 선고 2025.03.28
판결 요지
- 1국내외 직업정보제공사업을 하는 甲 주식회사가 채용정보를 제공하는 온라인 사이트를 운영하면서 수집하여 보관하던 이용자의 이력서 등 개인정보를 해커의 공격으로 열람당한 사고(이하 ‘해킹사고’라 한다)에 대하여, 개인정보보호위원회가 법 위반 여부를 조사한 다음 구 개인정보 보호법(2023.
- 214. 법률 제19234호로 개정되기 전의 것, 이하 같다) 제29조 등을 위반하였다고 보아 과징금을 부과한 사안이다. 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 의무를 위반했는지를 판단할 때는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안 기술 수준, 정보통신서비스 제공자의 업종·영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보 내용과 개인정보 누출로 이용자가 입게 되는 피해 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했는지를 기준으로 판단해야 하는데, 위 해킹사고는 甲 회사가 운영한 침입탐지시스템(IDS) 및 침입방지시스템(IPS)이 비정상적인 접속시도에 대하여 충분히 탐지 및 차단 기능을 하지 못하여 발생한 것으로 보이는 점, 甲 회사는 이용자의 이메일을 받고 난 이후에야 위 해킹사고를 인지하였던 것으로 보이는 점, 甲 회사가 위 해킹사고가 발생한 이후 얼마 지나지 않아 동일 IP에서 로그인 시도 횟수를 제한하는 정책 및 휴면계정을 해제하기 위하여 비밀번호 입력 외에 추가적인 인증을 요구하는 정책을 적용하였고, 이러한 조치는 위 해킹사고 이전에도 충분히 가능했던 점 등을 고려하면, 甲 회사가 위 해킹사고 당시 자신이 운영하는 위 온라인 사이트에서 수집·보관하는 개인정보에 대해 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였다고 볼 수 없다는 이유로, 甲 회사는 구 개인정보 보호법 제29조, 구 개인정보 보호법 시행령(2023.
- 312. 대통령령 제33723호로 개정되기 전의 것) 제48조의2 제1항 제2호, 개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회 고시 제2020-5호) 제4조 제5항, 제9항에서 정한 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 및 침입탐지시스템의 운영 및 기타 접근 통제 조치를 이행하지 않았음이 인정되고, 과징금 산정에서 재량권을 일탈·남용하였다고 보기 어려워 위 처분이 적법하다고 한 사례이다.
이 판결의 결론에 동의하시나요?
판결(법리·결론)에 대한 의견이며, 재판부 개인에 대한 평가가 아닙니다.
결과 기각|소송비용 원고 부담
본문 (비실명 발췌)
【원 고】 ○○○ 주식회사 (소송대리인 법무법인(유한) 지평 담당변호사 신용우 외 2인) 【피 고】 개인정보보호위원회 (소송대리인 법무법인 비트 담당변호사 변준석 외 2인) 【변론종결】2025. 3. 7. 【주 문】 1. 원고의 청구를 기각한다. 2. 소송비용은 원고가 부담한다. 【청구취지】 피고가 2023. 8. 30. 원고에 대하여 한 70,609,000원의 과징금 부과처분을 취소한다. 【이 유】 1. 처분의 경위 가. …
적용·참조 조문 / 쟁점
구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 제29조제39조의15 제1항 제5호구 개인정보 보호법 시행령(2023. 9. 12. 대통령령 제33723호로 개정되기 전의 것) 제48조의2 제1항 제2호제48조의11 제1항제4항 [별표 1의5]
사건·법리 리뷰
아직 리뷰가 없습니다. 첫 리뷰를 남겨보세요.