판결공감판결공감 · OpenBench
로그인회원가입

본 서비스가 제공하는 판결 데이터·통계·쟁점 트렌드·커뮤니티 내용은 일반적 정보 제공이며, 구체적 사건에 대한 법률 자문이 아닙니다. 사안별 판단은 변호사 상담을 권장합니다.

대여금·채권행정1심기각

과징금부과처분등취소청구의소

서울행법 · 2024구합70753 · 선고 2025.08.14 · 피인용 0회

판결 요지

  1. 1인터넷강의 웹사이트를 운영하며 개인정보처리자로서 113만 건의 개인정보를 수집·보유하고 있던 甲 주식회사가 크로스 사이트 스크립팅(Cross Site Scripting, 이하 ‘XSS’라 한다) 명령어가 포함된 해커의 게시글에 의하여 직원계정의 세션정보를 탈취당한 뒤 직원 및 회원 약 9만 5천 명의 개인정보를 유출당한 사실에 대하여, 甲 회사가 개인정보 보호법 제29조에 따른 안전조치의무를 다하지 않았다는 이유로 개인정보보호위원회가 甲 회사에 과징금 부과처분 등을 한 사안이다.
  2. 2XSS 공격은 대표적인 해킹 기법 중 하나로 이를 예방하기 위한 보안대책들이 널리 알려져 있고, 게시물 작성 단계에서부터 입력값을 검증하여 악의적인 명령어가 등록되지 않도록 차단하는 방식은 개인정보 유출을 막기 위한 대표적인 안전성 확보조치라고 할 수 있는 점, 甲 회사는 불법이용신고 게시판에 관하여 입력값 검증 조치를 시행하지 않아 해커가 게시글 작성 시 악의적인 명령어를 등록했는데도 이를 차단하지 못한 점, 입력값 검증 등의 XSS 자동차단 정책의 경우 당시 기술수준으로 충분히 구현 가능하고, 보편적으로 알려져 있는 XSS 공격에 관한 예방방법일 뿐만 아니라 다수의 인터넷 사이트에서도 이를 적용해 오고 있어 입력값 검증이 甲 회사 인터넷강의 웹사이트의 이용에 막대한 지장을 가져올 정도의 기대하기 어려운 조치라고 보기 어려운 점 등을 종합하면, 甲 회사가 IP 주소 등을 분석하여 개인정보 유출시도를 탐지·대응하거나 개인정보가 유출되지 않도록 개인정보처리시스템에 조치를 취하는 등의 사회통념상 합리적으로 기대 가능한 정도의 안전성 확보조치를 다했다고 보기 어려우므로, 甲 회사는 개인정보 보호법 제29조, 같은 법 시행령 제30조 제3항 등에서 정한 안전성 확보조치를 제대로 이행하지 않았고, 개인정보 보호법의 입법 취지와 목적, 개정연혁과 이유, 법질서 전체와의 조화 등을 고려하면, 개인정보 보호법 제64조의2 제1항 제9호는 개인정보 유출이 발생한 경우 개인정보처리자의 안전조치의무 위반을 제재하기 위한 규정으로서 그 위반기간은 개인정보처리자가 안전조치의무를 위반한 기간을 의미하므로, 개인정보가 유출된 기간이 아니라 甲 회사가 안전조치의무를 위반한 기간을 위반기간으로 하여 산정한 과징금 부과처분이 적법하다고 한 사례이다.

이 판결의 결론에 동의하시나요?

판결(법리·결론)에 대한 의견이며, 재판부 개인에 대한 평가가 아닙니다.

쟁점별 4단 흐름

쟁점(A·B·C·D)별로 원고 주장 → 피고 변론 → 법원 판결 → 결과를 따라가세요(정보 제공이며 자문 아님).

쟁점
A과징금부과처분등취소청구의소

원고 측 주장

처분사유의 인정 여부 1) 원고 주장의 요지 원고는 개인정보의 안전성을 확보하기 충분한 침입탐지·차단시스템을 설치·운영하여 이 사건 고시 제6조 제1항 제2호를 준수하였고, 다만 다수의 학생들에게 인터넷강의 서비스를 제공해야 하는 이 사건 사이트의 특성상 정상적인 서비스 제공을 위해 XSS 자동차단 정책을 적용하지 않거나 로그인 접속시도 횟수 제한을 완화하

피고 측 변론

피고는 이를 다투며 항변함(본문 참조).

법원 판결

인터넷강의 웹사이트를 운영하며 개인정보처리자로서 113만 건의 개인정보를 수집·보유하고 있던 甲 주식회사가 크로스 사이트 스크립팅(Cross Site Scripting, 이하 ‘XSS’라 한다) 명령어가 포함된 해커의 게시글에 의하여 직원계정의 세션정보를 탈취당한 뒤 직원 및 회원 약 9만 5천 명의 개인정보를 유출당한 사실에 대하여, 甲 회사가 개인정보 보호법 제29조에 따른 안전조치의무를 다하지 않았다는 이유로 개인정보보호

결과

원고 패 — 청구가 기각됨 (주문: . 원고의 청구를 기각한다. 2. 소송비용은 원고가 부담한다.…) · 소송비용 원고 부담

소송비용: 원고 부담

본문 (비실명 발췌)

【원 고】 주식회사 ○○○ (소송대리인 법무법인 태평양 담당변호사 윤주호 외 1인) 【피 고】 개인정보보호위원회 (소송대리인 법무법인 최선 담당변호사 이준상 외 1인) 【변론종결】2025. 6. 26. 【주 문】 1. 원고의 청구를 기각한다. 2. 소송비용은 원고가 부담한다. 【청구취지】피고가 2024. 3. 27. 원고에 대하여 한 과징금 613,000,000원 부과처분과 공표명령을 모두 취소한다. 【이 유】 1. 처분의 경위 가. 원고는 인터넷을 통한 교육서비스업을 영위하는 회사로서 인터넷강의 웹사이트[(도메인 주소 생략), 이하 ‘이 사건 사이트’라 한다]를 운영하고 있다. 원고는 개인정보 보호법 제2조 제5호에 따른 개인정보처리자로서 2024. 1. 31.

적용·참조 조문 / 쟁점

개인정보 보호법 제29조제64조의2 제1항 제9호제6항제66조 제2항개인정보 보호법 시행령 제30조 제1항 제3호제8호제3항제60조의2 제6항 [별표 1의5]

사건·법리 리뷰

이 사건·판결에 대한 리뷰 (법리 평가)

평가 대상은 판사 개인이 아니라 이 사건의 판결(법리·논증)입니다. 인신공격·실명·사건번호 원본·재식별·허위사실·금품/유착 의혹은 자동 블라인드됩니다.

⚖️ 작성자 책임 고지 — 게시물은 작성자 본인의 의견이며 법적 책임은 작성자에게 있습니다. 특정인(판사·당사자 등)에 대한 허위사실·모욕은 명예훼손죄(형법 §307·§311)로 처벌될 수 있습니다. 평가는 판결의 내용에 한정해 주세요. 권리침해 게시물은 신고 시 즉시 임시조치(블라인드)되며, 당사자는 반론·정정을 요청할 수 있습니다.
법리 설득력

아직 리뷰가 없습니다. 첫 리뷰를 남겨보세요.