thinkpool

해킹으로 11만 명이 넘는 쇼핑몰 회원 개인정보가 유출된 에스엘바이오텍에 대해 법원이 과징금 4억원은 정당하다고 판단했다. (사진=DB)

[서울 = 뉴스핌] 메디컬투데이 = 해킹으로 11만 명이 넘는 쇼핑몰 회원 개인정보가 유출된 에스엘바이오텍에 대해 법원이 과징금 4억원은 정당하다고 판단했다.

법조계에 따르면 서울행정법원 행정2부(고은설 부장판사)는 건강기능식품 제조사 에스엘바이오텍이 개인정보보호위원회를 상대로 제기한 과징금 부과 처분 취소 소송을 원고 패소로 판결했다.

에스엘바이오텍이 운영하던 뉴트리(270870)코어 쇼핑몰은 2022년 9월 해킹으로 전체 회원 64만여명의 약 5분의 1에 달하는 11만9856명의 이름과 생년월일·주소·아이디·비밀번호 등 개인정보가 유출됐다.

이에 개인정보보호위원회는 지난해 3월 에스엘바이오텍에 개인정보처리시스템에 대한 접근권한을 제한하지 않고 악성코드 파일이 업로드되고 실행되도록 하는 등 접근통제를 소홀히 했다는 사유를 근거로 과징금 4억6457만 원과 과태료 720만 원을 부과했다.

개인정보 보호법 제29조(안전조치의무)에 따르면 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다.

회사 측은 이에 불복해 행정소송에 나섰다.

에스엘바이오텍은 업종이나 규모에 상응하는 주의의무를 다했음에도 다른 클라우드 업체의 문제로 해킹이 발생했다고 주장했다. 또한 과징금을 산출하는 기준인 '위반행위와 관련한 매출액'이 모호해 명확성의 원칙에 위반되고, 직접 매출뿐 아니라 간접 매출까지 포함해 과잉금지원칙에도 반한다고 했다.

재판부는 "원고는 사회 통념상 합리적으로 기대할 수 있는 정도의 보호조치를 다했다고 할 수 없다"며 "부과된 과징금이 지나치게 가혹해 비례의 원칙이나 평등의 원칙에 반해 재량권을 일탈·남용했다고 보기 어렵다"고 판시했다.

또 "쇼핑몰에 대용량 파일 업·다운로드 제한을 설정하지 않아 악성코드 파일이 업로드되는 등 접근통제를 소홀히 한 점이 인정된다"고 판단했다.

재판부는 "위반행위 관련 매출액은 위반행위로 인해 얻은 이익만을 의미하는 것이 아니라 그로 인한 직접 또는 간접적으로 영향을 받는 서비스의 매출액을 의미해 명확성 원칙에 어긋나지 않는다"며 "유출된 개인정보 활용 가능성 등을 고려하면 간접 매출을 포함하는 것이 과중한 제재라고 할 수 없다"고 봤다.

이 기사는 메디컬투데이가 제공하는 기사입니다