|
A사는 건강기능식품 제조 및 판매업 등을 목적으로 하는 회사로 건강기능식품을 판매하는 온라인 쇼핑몰 B를 운영하고 있다. 이 사건 쇼핑몰의 도메인은 대표 도메인과 C사가 쇼핑몰 관리를 위해 통신하기 위한 관리용 도메인으로 이뤄져 있다.
A사는 이 사건 쇼핑몰을 운영하면서 2022년 10월 24일 기준 이용자 64만4431명의 개인정보를 수집해 보관했다. 그 가운데 2022년 9월 16일부터 같은 달 23일까지 해커 공격으로 11만9856명의 개인정보가 유출됐다.
신고를 받은 개인정보보호위원회는 2022년 10월 12일부터 2023년 2월 8일까지 개인정보 취급·운영 실태 및 법 위반 여부를 조사한 뒤 안전조치의무위반 및 개인정보유출 등의 통지 신고에 대한 특례위반을 이유로 과징금 4억6457만원을 부과하는 처분을 내렸다.
A사는 과징금 부과 처분이 위법하다며 취소소송을 제기했다. A사는 업종·영업규모에 상응하는 통상적인 주의의무를 다했고, 원고 관리 대표 도메인이 아니라 C사가 관리하는 관리용 도메인의 문제라며 처분 사유가 없다고 주장했다.
하지만 재판부는 과징금 부과가 위법하지 않다고 A사 청구를 기각했다.
재판부는 “이 사건 쇼핑몰은 원고가 운영·관리하는 쇼핑몰로 이 사건 쇼핑몰에서 수집·보관하는 개인정보에 대해서는 원고에게 개인정보보호법령상 안전조치의무가 있다”며 “관리용 도메인이 이 사건 쇼핑몰의 도메인인 이상 그에 대한 개인정보보호법령상 안전조치의무는 원고에게 있다고 판단된다”고 판시했다.
특히 “이 사건 사고는 원고가 운영한 방화벽과 침입방지시스템이 충분한 접근제한 및 유출탐지 기능을 하지 못해 발생한 것으로 보이는 점 등 고려하면 쇼핑몰에서 수집·보관하는 개인정보에 대해 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했다고 볼 수 없다”고 지적했다.