데일리연합 (아이타임즈M 월간한국뉴스신문) 곽중희 기자 | 서울행정법원이 최근 온라인 쇼핑몰 '뉴트리코어'의 개인정보 유출 사건에 대한 과징금 부과 처분이 정당하다는 판결을 내렸다.

 

이번 사건은 11만 명의 고객 개인정보가 유출된 것으로 운영사인 에스엘바이오텍은 개인정보보호위원회(이하 '개인정보위')로부터 4억 원 이상의 과징금을 부과받았다. 이번 판결은 개인정보 보호에 대한 기업들의 책임이 점점 더 커지고 있음을 시사한다

 

법원, "사고 후 조치 판단, 충분한 개인정보 보호 조치 못미쳐" 판단

 

서울행정법원 행정2부(부장판사 고은설)는 에스엘바이오텍이 개인정보위를 상대로 제기한 과징금 부과처분 취소소송에서 원고 패소 판결을 내렸다. 에스엘바이오텍이 운영하는 '뉴트리코어' 쇼핑몰은 2022년 9월 해킹을 당해 11만 9856명의 고객 개인정보가 유출되는 사건이 발생했다. 

 

에스엘바이오텍은 민원을 받은 후 시스템 점검을 통해 이 사실을 확인하고, 개인정보 유출 신고와 함께 유출 통지를 고객들에게 알렸다.

 

이에 개인정보위는 2022년 10월부터 2023년 2월까지 에스엘바이오텍의 개인정보 취급 및 운영 실태를 조사했다. 조사 결과, 에스엘바이오텍이 개인정보의 기술적·관리적 보호조치 기준을 위반했다고 판단해 2023년 3월 4억 6457만 원의 과징금을 부과했다.

 

에스엘바이오텍 측은 해킹 사건 당시 보편적인 정보기술 수준에 맞춰 통상적인 주의 의무를 다했으며, 사고 원인이 자신들이 관리하는 도메인이 아닌 다른 회사의 관리용 도메인에 있다고 주장하며 과징금 부과 취소를 요구했다. 그러나 법원은 에스엘바이오텍의 주장을 받아들이지 않았다.

 

 

재판부는 "사고는 에스엘바이오텍이 운영한 방화벽과 침입방지시스템이 충분한 접근 제한 및 유출 탐지 기능을 하지 못해 발생한 것으로 보인다"며, "사고 이후 불법 접근 차단 설정 변경과 쇼핑몰 게시판 파일 업로드·다운로드 방식 변경 등 조치를 취한 것을 보면, 당시 개인정보 보호 조치가 사회통념상 합리적으로 기대 가능한 수준에 미치지 못했다"고 지적했다. 

 

또한 재판부는 에스엘바이오텍의 재무 상태를 고려했을 때, 과징금을 부담할 능력이 충분하다고 판단했다. "과징금이 지나치게 가혹하거나 비례의 원칙에 반해 재량권을 남용한 것이라 보기 어렵다"고 덧붙였다.

기업 개인정보 보호 조치 책임 강화, 역대급 과징금 연일 갱신

 

최근 개인정보위는 개인정보 유출 사건에 대한 처벌과 과징금을 강화하는 추세다. 기업들의 개인정보 보호 의무를 더욱 철저히 하려는 의도다. 이러한 움직임은 고객의 개인정보를 안전하게 보호하기 위한 기업들의 책임을 더욱 무겁게 만들고 있다.

 

24일, 개인정보위에 따르면, 이용자 정보에 대한 점검 등을 소홀히 해 약 6만 5000건의 개인정보를 유출한 카카오가 국내업체 중 역대 최대 과징금인 151억 원을 부여받았다. 이는 그전까지 최대 과징금이었던 골프존의 75억여원보다 두 배 이상 많은 금액이다.

 

이처럼 개인정보 보호에 대한 기업들의 책임이 커지면서, 개인정보위 내부와 IT업계에서도 의견이 다분히 갈리고 있는 상황이다. 그동안 개인정보 유출 사고에 대한 조치가 솜밤망이 처벌이라는 비판도 있었지만, 갑작스레 높아진 과징금에 기업들의 부담은 더욱 커지고 있기 때문이다.

지난 22일 열린 개인정보위의 제9회 전체회의에서도 카카오의 과징금 액수를 두고 위원들 사이에서 의견이 갈린 것으로 알려졌다. 이 때문에 회의가 길어지면서 관련 자료가 예정 시간을 넘겨서 배포되기도 했다.

IT업계의 한 관계자는 이번 카카오의 과징금에 대해 "가볍게 여길 것은 아닌 것 같다"며 "개인정보 유출 사고를 대비하는 것은 당연하지만 그 책임이 갑자기 예상 이상으로 커지고 있어 부담이 되는 건 사실"이라고 말했다.

 

이어 "지나치게 높은 과징금 처분이 계속되면 기업들의 사업이 위축될 수도 있다. 처벌에 초점을 맞추지 말고, 사고 원인을 분석해 기업들이 더 건전한 비즈니스를 할 수 있도록 방지를 지원하는 제도와 노력이 중요하다"고 강조했다.

 

실제로 개인정보 유출의 경우 단순한 시스템 오류, 내부적인 시스템 결함과 사랑믜 실수, 고도화된 해커의 공격 등 다양한 경로를 통해 발생한다.경우의 수가 너무 많아서 개인정보 유출 사고를 모두 막아내는 것은 쉽지 않다.

 

전문가들은 이용자와 기업의 입장을 고려해서 적절한 처분 수준을 찾을 필요가 있다고 제언했다.

 

24일 개인정보위에 따르면, 이용자 정보에 대한 점검 등을 소홀히 해 약 6만 5000건의 개인정보를 유출한 카카오가 국내업체 중 역대 최대 과징금인 151억 원을 부여받았다. 이는 그전까지 최대 과징금이었던 골프존의 75억여원보다 두 배 이상 많은 금액이다.

ESG 경영 내 개인정보 보호 중요성 증가... 10명중 9명은 개인정보 중시

 

한편, 개인정보 보호의 중요성은 점점 더 강조되고 있다. 디지털화가 가속화되는 현대 사회에서 개인정보 유출 사고는 개인과 사회에 심각한 피해를 초래할 수 있다. 따라서 기업들은 개인정보 보호를 위해 보다 적극적인 투자와 노력을 기울여야 할 필요가 있다.

 

최장혁 개인정보위 부위원장은 한국경제 기고를 통해 "지속 가능 경영에 관심이 커지고 국제 자본시장에서 기업의 사회적 책임이 중요한 투자의사 결정 요소가 됨에 따라 개인정보 보호에 관한 인식도 높아졌다. 2023년 개인정보 보호 및 활용 조사에 따르면 국민 10명 중 9명이 개인정보 보호의 중요성을 인식하고 있다. 최근 휴대폰 제조사의 신제품 광고에서도 성능 외에 개인정보 보호 기능을 강조하고 있다"고 설명헀다. 

 

이어 "개인정보위는 기업이 ESG 경영으로 고객 만족도를 높이고 경쟁력을 강화할 수 있도록 하기 위해 개인정보보호 책임자(CPO)가 독립적으로 업무를 보는 전문 CPO제도를 도입했다. 또 신기술이나 신서비스를 개발하는 과정에서 개인정보보호법 준수 여부의 불확실성 해소를 위해 사전적정성 검토제를 운영하고 있다"고 말한 바 있다. 

 

카카오와 뉴트리코어 사건은 기업들이 개인정보 보호의 중요성을 재인식하고, 이를 위해 더욱 강화된 조치를 취해야 함을 시사한다. 앞으로도 개인정보 보호를 위한 기업들의 책임과 역할은 더욱 강조될 전망이다.