[서울=뉴스핌] 배정원 기자 = 이용자 11만명의 개인정보가 유출되는 사고가 발생한 온라인 쇼핑몰이 4억원대 과징금 처분에 불복해 행정소송을 제기했으나 패소했다.

10일 법조계에 따르면 서울행정법원 행정2부(신명희 부장판사)는 A주식회사가 개인정보보호위원회를 상대로 제기한 과징금 부과처분 취소소송에서 원고 패소 판결했다.

[서울=뉴스핌] 윤창빈 기자 = 서울 서초구 서울행정법원과 서울가정법원. 2022.01.14 pangbin@newspim.com

건강기능식품 제조 및 판매업을 영위하는 A주식회사는 온라인 쇼핑몰을 운영하면서 지난 2022년 10월 기준 이용자 64만4431명의 개인정보를 수집해 보관하고 있었다. 그런데 같은 해 9월 16일~23일 해커의 공격으로 11만9856명의 개인정보가 유출되는 사고가 발생했다.

이후 A주식회사에 대해 개인정보 취급·운영 실태 및 법 위반 여부를 조사한 개인정보보호위원회는 '개인정보의 기술적·관리적 보호조치 기준을 위반했다'는 이유로 A주식회사에 4억6000만원 상당의 과징금을 부과하는 처분을 내렸다.

그러자 A주식회사 측은 "보편적 정보기술 수준에 비춰 통상적인 주의의무를 다했고, 이 사건 사고는 원고가 관리하는 대표 도메인이 아닌 쇼핑몰을 관리하는 B회사의 도메인 문제로 발생한 것이기 때문에 처분사유가 존재하지 않는다"며 행정소송을 제기했다.

그러나 법원은 A주식회사에 대한 과징금 부과처분이 적법하다고 판단했다. 재판부는 "원고가 사고 당시 이 사건 쇼핑몰에서 수집·보관하는 개인정보에 대해 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했다고 할 수 없다"고 판시했다.

구체적으로 "원고는 이 사건 쇼핑몰의 방화벽을 서비스 운영에 필요한 포트를 운영하는 용도로 사용했을 뿐 접근제한 및 유출탐지 기능이 실행되도록 운영하지는 않았다. 또 이 사건 쇼핑몰에 대용량 파일에 대한 업로드·다운로드 제한을 설정하지 않아 악성코드 파일이 업로드되도록 하고 php파일의 실행권한이 제한되지 않아 외부에서 업로드 된 악성코드 파일이 실행되도록 하는 등 접근통제를 소홀히 했다"고 지적했다.

또 B회사의 관리용 도메인에서 사고가 발생했기 때문에 A주식회사에게 책임을 물을 수 없다는 주장에 대해서도 "관리용 도메인이 결국 쇼핑몰의 도메인인 이상 그에 대한 개인정보보호법령상 안전조치의무는 원고에게 있다"고 판단했다.

아울러 "이 사건 사고로 쇼핑몰이 보유·관리하고 있던 11만9856명의 이름, 주소, 성별, 생년월일 등 개인정보가 유출됐다. 그 중 75명은 주민등록번호, 신용카드 비밀번호 등 민감한 결제정보까지 유출됐다"며 "이 사건 처분이 과잉금지원칙에 반하여 원고의 재산권을 침해했다고 할 수 없다"고 판시했다.

재판부는 "법 위반에 따른 과징금은 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지는 점 등을 종합하면 이 사건 처분이 형평에 반하여 위법하다고 할 수도 없다"며 "결국 원고의 청구는 이유 없으므로 이를 기각한다"고 판결했다. 

jeongwon1026@newspim.com