CONTENTS
- 1. 행정소송 제기한 I사, 과징금 처분 받은 사건 경위
- - 과징금 취소 행정소송 제기한 I사의 주장
- 2. 행정소송 제기한 I사, 기각 판결 내린 법원
- - I사, 2025년에도 개인정보 유출 사고 재발
- 3. 행정소송, 대륜의 전략은?
1. 행정소송 제기한 I사, 과징금 처분 받은 사건 경위
행정소송을 제기한 I사는 2023년 8월 30일 개인정보보호위원회(이하 피고)로부터 약 7천만원의 과징금 부과처분을 받았습니다.
원고 I사는 채용정보 제공 사이트를 운영하는 정보통신서비스 제공자이자 개인정보처리자입니다.
2020년 9월 29~30일 사이, 해커가 다크웹 등을 통해 불법적으로 확보한 아이디·비밀번호를 무작위로 대입하는 크리덴셜 스터핑 공격을 시도했습니다.
이로 인해 2백만 회 이상 시도된 로그인 중 3만 6천여 건이 성공, 35,076명의 이력서 등 개인정보가 열람되었습니다.
I사는 사고 당일 이를 인지하고 관계기관에 신고하였으며, 피고는 2022년 조사를 거쳐 2023년 8월 30일 과징금 70,609,000원과 과탸료 360만원을 부과했습니다.
이에 I사는 처분을 취소해달라는 행정소송을 제기하게 된 것입니다.
과징금 취소 행정소송 제기한 I사의 주장
과징금 취소 🔗행정소송 제기한 I사의 주장은 이렇습니다.
1. 처분사유 부존재
I사는 IDS(침입탐지시스템), IPS(침입방지시스템), 자체 모니터링 시스템을 이미 갖추고 운영하고 있었다고 주장하고 있습니다.
또한 개인정보보호위원회와 한국인터넷진흥원이 발간한 ‘보호조치 해설서’에 따른 조치를 모두 이행했으며, 합리적으로 기대 가능한 수준의 보안조치를 다했다고 밝혔습니다.
즉, 사건은 이용자의 동일 비밀번호 사용 등 부주의에서 비롯된 것으로, 당사의 잘못이 아니라고 강조했습니다.
2. 재량권 일탈∙남용
I사는 위반기간을 2018년부터로 계산한 것은 부당하다고 밝혔습니다.
그 당시에는 HTTPS 복호화 기능을 갖춘 장비가 필수로 요구되던 시점이 아니라는 주장입니다.
I사는 기타 유사 사례들과 비교했을 때 당사에게만 추가인증 적용을 요구했고, 이용자 부주의 고려를 하지 않아 평등원칙과 비례원칙 위반이 있다고 강조했습니다.
2. 행정소송 제기한 I사, 기각 판결 내린 법원
행정소송을 심리한 법원은 I사의 청구를 기각했습니다.
법원은 시스템 운영상 미흡한 점이 있었고, I사의 대응 조치의 시점과 방식에 문제가 있었다고 지적하며 피고의 과징금 산정은 타당하다고 밝혔습니다.
1. 시스템 운영상 미흡한 점
법원은 I사가 HTTPS 복호화 기능이 없는 IDS 사용했다는 점을 지적했습니다. 해당 IDS로는 암호화된 해킹을 탐지할 수 없기 때문입니다.
또한 IPS의 일부 탐지 정책이 ‘Allow’로 설정되어 있어 크리덴셜 스터핑 공격이 탐지되지 않았습니다.
실제로 I사는 2백만 회 이상의 비정상적 로그인 시도를 탐지하지 못했습니다.
법원은 실제로 침해 탐지보다 이용자 신고가 먼저 접수되었다는 점을 지적하며 시스템 운영상 미흡한 점이 분명히 존재했다고 강조했습니다.
2. 대응 조치의 시점과 방식
법원은 해커의 공격이 9월 29일 시작됐으나, I사의 방화벽 차단은 9월 30일 오전에 실시되었다는 점을 지적했습니다.
또한 이후 1시간 내 30회 이상 로그인 시 차단, 캡챠(CAPTCHA) 도입, 2차 인증 적용 등의 보완조치는 모두 사고 이후에야 시행되었습니다.
법원은 위의 보완 조치는 당시 기술로도 가능한 조치였으며, 비용도 크지 않아 사고 이전부터 도입할 수 있었다는 점을 지적하며 I사의 대응 조치가 적극적이지 않았다는 점을 강조했습니다.
3. 과징금 산정의 타당성
법원은 I사의 위반기간은 설립 시점(2018년경)부터 2020년 사고까지로 2년 초과, 장기 위반행위로 간주된다고 판단했습니다.
또한 피고는 기준금액 88,261,000원에서 자진 신고 및 협조 등을 이유로 20% 감경, 최종 70,609,000원 산정했습니다.
법원은 감경·면제 사유는 고시에 따라 임의적 사항이며, 재량 일탈이 아니라고 말하며, 피고의 해당 과징금 산정은 타당하다고 밝혔습니다.
I사, 2025년에도 개인정보 유출 사고 재발
그러나 I사는 지난 2025년 3월에도 또 다시 개인정보 유출 사고가 재발한 것으로 알려졌습니다.
외부 공격으로 인한 일부 고객 정보가 유출된 정황이 확인됐다는 것입니다.
I사는 사고 발생 이후 관련 IP 차단, 시스템 취약점 점검 및 보완, 시스템 모니터링 강화 등을 완료했다고 설명했으나, 반복된 개인정보 유출 사고에 대해 개인정보위의 과징금 부과 및 시정명령 처분이 보다 엄격해질 것으로 보입니다.
3. 행정소송, 대륜의 전략은?
행정소송에 대해 법원은 I사가 법령상 요구되는 기술적·관리적 조치를 완비하지 못했고, 실효성 있는 운영이 부족했다고 판단했습니다.
이번 행정소송의 경우 형식적인 보안 시스템 설치만으로는 법적 의무를 다 했다고 볼 수 없으며, 보안사고 발생 후 대처 속도, 방식, 사전 조치 유무 등이 모두 과징금 판단 요소에 반영된다는 것을 다시금 확인할 수 있었던 사례였습니다.
개인정보보호법 제29조에 따르면, 개인정보처리자는 개인정보가 분실∙도난∙유출∙위조∙변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적∙관리적 및 물리적 조치를 취해야 합니다.
또한 대법원 판례는 “해킹 당시 기술 수준, 기업의 영업규모, 보안비용, 피해 가능성 등을 종합해 사회통념상 합리적으로 기대되는 보호조치를 다 했는지 여부”로 판단한다고 명시하고 있습니다.
따라서 기업은 자사의 영업 규모와 보유한 개인정보의 민감도를 고려해, 현실적으로 구현 가능한 수준에서 보안 시스템을 적극적으로 구축하고, 정기적인 점검과 보완 조치를 취해야 합니다.
기술적 조치가 충분했는지 여부는 단순한 IT 문제를 넘어 당시 사회통념상 기대 가능한 수준의 보호조치를 다 했는지를 법적으로 증명해야 하는 문제입니다.
지난 4월, 통신사 S사 역시 유심 개인정보가 유출돼 해킹 피해 신고를 접수해 서울경찰청 사이버수사대가 수사에 착수했습니다.
개인정보위 측은 개인정보가 유출된 것만으로 처분을 하지는 않습니다.
악성 코드 공격으로 인한 정보 유출에 대해 안전조치를 제대로 했는지 하지 않았는지가 중요한 쟁점이 됩니다.
법무법인 대륜은 개인정보 관련 다수의 사건을 경험한 전문 변호사가 팀을 이루어 보안 시스템의 실효성, 운영 방식, 사고 대응의 적절성 등을 종합적으로 분석해 솔루션을 제안하고 있습니다.
