'11만명 개인정보 유출' 뉴트리코어…法 "4억대 과징금 정당"

쇼핑몰 업체에 안전조치 의무 있어

사진=게티이미지뱅크

쇼핑몰 관리 부실로 11만 명의 개인정보가 유출된 업체에 4억원대의 과징금을 부과한 당국 처분은 정당하다는 1심 법원 판단이 나왔다.

10일 법조계에 따르면 서울행정법원 행정2부는 에스엘바이오텍이 개인정보보호위원회를 상대로 "4억6457만원의 과징금 부과 처분을 취소해 달라"며 낸 소송에서 원고 패소로 판결했다.

재판부는 "원고에게 부과된 과징금이 지나치게 가혹해 비례의 원칙이나 평등의 원칙에 반해 재량권을 일탈·남용했다고 보고 어렵다"고 밝혔다.

에스엘바이오텍은 건강기능식품을 판매하는 온라인 쇼핑몰 '뉴트리코어'를 운영하고 있다. 이 쇼핑몰의 도메인은 대표 도메인과 웹호스팅 업체인 A사의 관리용 도메인으로 이뤄졌다.

에스엘바이오텍은 온라인 쇼핑몰을 통해 2022년 10월 24일 기준 이용자 64만4431명의 개인정보를 수집해 보관했는데 이로부터 약 한 달 전 해커 공격으로 11만9856명의 개인정보 유출 사태를 빚었다.

신고를 받은 개인정보보호위원회는 같은 해 10월부터 이듬해 2월까지 개인정보 취급·운영 실태 및 법 위반 여부를 조사해 안전조치의무위반 및 개인정보유출 등의 통지 신고에 대한 특례위반을 이유로 과징금을 부과했다.

에스엘바이오텍은 과징금 부과 처분이 부당하다며 취소 소송을 제기했다. 업체 측은 "업종·영업 규모에 상응하는 통상적인 주의의무를 다했고, 원고 관리 대표 도메인이 아니라 A사가 관리하는 관리용 도메인의 문제"라고 주장했다.

업체 측은 또 "과징금 산정에 있어 악화된 원고의 경영실적과 시장·산업 환경에 따른 과징금 부담 능력 및 원고가 취한 피해확산 방지 조치 및 피해구제 조치를 적절히 고려하지 않았고, 유사사례와 비교했을 때 타당성을 잃었다"고도 지적했다.

하지만 재판부는 개보위 처분이 정당하다고 봤다.

재판부는 "이 사건 쇼핑몰은 원고가 운영·관리하는 쇼핑몰로 쇼핑몰에서 수집·보관하는 개인정보에 대해서는 원고에게 개인정보보호 법령상 안전조치 의무가 있다"며 "관리용 도메인이 이 사건 쇼핑몰의 도메인인 이상 그에 대한 개인정보보호 법령상 안전조치 의무는 원고에게 있다고 판단된다"고 설명했다.

재판부는 또 "원고의 2022년 말 기준 재무상태표상 원고가 약 5억8000만원을 한도로 하는 과징금을 부담할 능력이 현저히 부족하다고 보이지 않는다"며 "결제 피해가 발생한 2명에 대해서만 손해배상을 한 것을 두고 과징금의 감경 요소로 고려할 만큼 피해 및 배상을 했다고 볼 수 없다"고 덧붙였다.

민경진 기자 min@hankyung.com