개인정보 과징금 첫 시험대…'1호' 대성마이맥 불복소송

디지털대성, 개인정보위에 행정소송
전체 매출 기반 과징금 도입 후 처음

고학수 개인정보보호위원장이 지난 4월24일 서울 종로구 정부서울청사에서 열린 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다./사진=뉴스1

개인정보보호법 위반에 대한 과징금 산정기준이 법 개정 이후 '전체 매출액'에 기반하도록 대폭 강화된 가운데, 개정된 법에 따라 억대 과징금 처분이 내려진 첫 사건이 행정소송에 돌입했다.

13일 관계부처와 법조계에 따르면 국내 유명 온라인 강의 서비스 '대성마이맥'의 운영사 디지털대성은 개인정보위로부터 받은 과징금 6억1300만원 등 제재처분에 대해 최근 취소소송을 제기했다. 심리는 서울행정법원 행정14부(부장판사 송각엽)가 맡는다.

대성마이맥에선 지난 1월 회원 9만5000여명의 개인정보가 해킹으로 유출됐다. 개인정보위 의결서에 따르면 해커는 다른 곳에서 입수한 아이디·비밀번호를 대성마이맥 로그인창에 입력하는 '크리덴셜 스터핑' 공격으로 일부 회원의 계정정보를 간파한 데 이어 웹사이트의 취약점을 이용해 직원의 로그인 세션(상태)을 탈취하는 수법으로 개인정보를 빼돌렸다.

개인정보위는 사고조사에 착수, 대성마이맥의 웹방화벽 등 각종 보안장비가 관리자의 미비한 설정으로 비정상적인 로그인 시도를 차단하지 못한 점을 파악했다. 웹사이트 취약점 사전검증이 부족했던 점도 발견했다. 개인정보 보호를 위한 기술적 안전조치가 개인정보보호법상 의무사항인 탓에 디지털대성은 법정의무를 위반했다는 이유로 과징금 처분대상에 올랐다.

과징금 최종 부과금액은 개인정보위가 '기준금액'을 기반으로 중대성·감경사항 등 세부요소를 종합해 산정한다. 상한선은 기준금액의 3%다. 개정 전 개인정보보호법에선 기준금액이 '위반행위 관련 매출액'으로 규정된 탓에 개인정보위는 과거 민간기업 조사과정에서 위반행위와 관련 있는 매출액을 골라내느라 어려움을 겪었다.

하지만 지난해 9월 시행된 개정 개인정보보호법에 따라 기준금액은 '전체 매출액에서 위반행위와 관련 없는 매출액을 제외한 금액'으로 변경됐다. 이 기준금액 규정은 이론상 부과 가능한 과징금 액수를 크게 늘리는 한편 '관련 없는 매출액'을 제외하도록 예외를 둔 탓에 적용범위를 놓고 해석이 분분했는데, 개정법이 처음으로 적용된 디지털대성이 소송을 제기하면서 법원의 판단이 나올 가능성이 커졌다.

디지털대성은 지난 3월 과징금 처분을 앞두고 개인정보위 전체회의에서 '모의고사 문제를 사들여 학생들에게 되판 매출액', '강사의 교재를 대신 판매해 발생한 매출액' 등이 과징금 기준금액에서 제외돼야 한다고 주장했다. 실제 매출이 판매수수료에 불과하다는 이유에서다. 개인정보위는 모의고사 매출 중 오프라인에서 발생한 금액을 기준금액에서 제외하는 한편 디지털대성의 나머지 주장을 받아들이지 않았다. 각종 교재는 온라인 강의 서비스와 관련성이 있다는 취지다.

개인정보위는 앞으로 개정법이 적용된 사건에 대해선 원칙적으로 전체 매출액을 과징금 기준금액으로 반영한다는 입장이다. 고학수 개인정보보호위원장은 지난해 3월 "개인정보위가 위반행위 관련 매출액을 제시해야 하는 게 과거의 법이었다면, 개정법은 거꾸로 조사 대상자가 관련이 없는 매출액을 밝혀야 하는 입증책임 전환효과가 있다"고 말했다.

한편 개정법에 따라 제재처분이 내려진 '2호 사건'은 골프존이 이름을 올렸다. 지난해 11월 발생한 개인정보 유출사고로 조사를 받은 골프존은 스크린골프장 점주들에게 골프 시뮬레이터를 판매한 매출액 등이 과징금 기준금액에서 제외돼야 한다고 주장했지만, 개인정보위는 대부분의 주장을 받아들이지 않고 지난 5월 과징금 75억400만원을 의결했다.

성시호 기자 shsung@mt.co.kr