11만명 개인정보 유출 온라인 쇼핑몰 뉴트리코어…법원 “4억대 과징금 정당”

해킹으로 고객 11만명의 개인정보를 유출 당한 온라인 쇼핑몰 운영사에 대한 과징금 처분은 정당하다는 법원 판단이 나왔다.

10일 법조계에 따르면 서울행정법원 행정2부(부장판사 고은설)는 건강기능식품을 제조·판매하는 에스엘바이오텍이 개인정보보호위원회를 상대로 제기한 과징금 부과처분 취소소송에서 원고 패소 판결했다.

이 회사가 운영하던 ‘뉴트리코어’ 쇼핑몰은 2022년 9월께 해킹을 당해 고객 11만9856명의 개인정보가 유출됐다. 에스엘바이오텍은 민원을 받고 시스템을 점검해 확인한 후 개인정보종합포털에 유출 신고를 하고 개인정보가 유출된 회원들에게 유출통지를 했다.

신고를 받은 개인정보보호위원회는 2022년 10월부터 이듬해 2월까지 에스엘바이오텍에 대해 개인정보 취급·운영 실태 및 법 위반 여부를 조사한 후 에스엘바이오텍이 개인정보의 기술적·관리적 보호조치 기준을 위반했다고 판단했다. 이에 개인정보보호위원회는 지난해 3월 에스엘바이오텍에 4억6457만원의 과징금을 부과했다.

에스엘바이오텍 측은 "사고 당시 보편적 정보기술 수준에 비춰 업종·영업 규모에 상응하는 통상적인 주의의무를 다했고, 원고가 관리하는 대표 도메인이 아니라 다른 회사가 관리하는 관리용 도메인의 문제로 인해 발생한 사고"라고 주장하며 취소소송을 제기했다.

하지만 재판부는 에스엘바이오텍의 주장을 받아들이지 않았다.

재판부는 "이 사건 사고는 에스엘바이오텍이 운영한 방화벽과 침입방지시스템이 충분한 접근제한 및 유출탐지 기능을 하지 못해 발생한 것으로 보인다"며 "원고가 불법 접근을 차단하도록 설정을 변경하고 쇼핑몰 게시판에 대한 파일 업로드·다운로드 방식 변경 등 조치를 취한 점을 고려하면 당시 개인정보에 대해 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했다고 할 수 없다"고 판단했다.

또 재판부는 "에스엘바이오텍의 재무상태표상 현금 및 예금, 당좌자산 등을 살펴보면 원고가 과징금을 부담할 능력이 현저히 부족하다고 보이지 않는다"며 "과징금이 지나치게 가혹해 비례의 원칙이나 평등의 원칙에 반해 재량권을 일탈·남용했다고 보기 어렵다"고 덧붙였다.

곽민재 기자 mjkwak@asiae.co.kr