개인정보 유출 에스엘바이오텍에 4억원대 과징금 처분, 법원도 “정당한 처벌”
개인정보 유출 건 처벌 수위↑, 에스엘바이오텍은 4억원대 과징금 받기도
카카오도 151억원대 과징금 처분, 정작 공공기관은 '최대 20억원' 수준
지나친 과징금 부과에 영세 사업장 부담 확대, "대기업과 단순 비교해선 안 돼"
법원 1심이 관리 부실로 11만 명의 개인정보를 유출한 업체에 부과된 4억원대 규모의 과징금이 정당하다는 판단을 내놨다. 민간 기업에 대한 과징금 규모가 상상 이상으로 커지면서, 업계에선 “중소 사업장에 대한 부담이 커질 수 있다”는 우려가 쏟아진다.
법원 “개인정보 유출 에스엘바이오텍, 과징금 정당”
10일 법조계에 따르면 서울행정법원 행정2부는 에스엘바이오텍이 개인정보보호위원회(개보위)를 상대로 “4억6,457만원의 과징금 부과 처분을 취소해 달라”며 낸 소송에서 원고 패소 판결을 내렸다. 재판부는 “원고에게 부과된 과징금이 지나치게 가혹해 비례의 원칙이나 평등의 원칙에 반해 재량권을 일탈·남용했다고 보고 어렵다”고 밝혔다.
에스엘바이오텍은 건강기능식품을 판매하는 온라인 쇼핑몰 ‘뉴트리코어’를 운영하고 있다. 에스엘바이오텍은 온라인 쇼핑몰을 통해 2022년 10월 24일 기준 이용자 64만4,431명의 개인정보를 수집해 보관하고 있었는데, 이로부터 약 한 달 전 해커 공격으로 11만9,856명의 개인정보를 탈취당했다. 당시 쇼핑몰의 도메인은 대표 도메인과 웹호스팅 업체인 A사의 관리용 도메인으로 이뤄져 있었던 것으로 알려졌다.
이후 개인정보 유출 신고를 받은 개보위는 같은 해 10월부터 이듬해 2월까지 개인정보 취급·운영 실태 및 법 위반 여부를 조사해 안전조치의무위반 및 개인정보유출 등의 통지 신고에 대한 특례 위반을 이유로 과징금을 부과했고, 에스엘바이오텍 측은 과징금 부과 처분이 부당하다며 취소 소송을 제기했다.
업체 측은 “업종·영업 규모에 상응하는 통상적인 주의의무를 다했고, 원고 관리 대표 도메인이 아니라 A사가 관리하는 관리용 도메인의 문제”라고 주장했다. 그러면서 “과징금 산정에 있어 악화된 원고의 경영실적과 시장·산업 환경에 따른 과징금 부담 능력 및 원고가 취한 피해확산 방지 조치 및 피해구제 조치를 적절히 고려하지 않았고, 유사사례와 비교했을 때 타당성을 잃었다”고 역설했다.
그러나 재판부는 개보위의 처분이 정당하다고 봤다. 재판부는 “이 사건 쇼핑몰은 원고가 운영·관리하는 쇼핑몰로 쇼핑몰에서 수집·보관하는 개인정보에 대해서는 원고에게 개인정보보호 법령상 안전조치 의무가 있다”며 “관리용 도메인이 이 사건 쇼핑몰의 도메인인 이상 그에 대한 개인정보보호 법령상 안전조치 의무는 원고에게 있다고 판단된다”고 설명했다. 그러면서 “원고의 2022년 말 기준 재무상태표상 원고가 약 5억8,000만원을 한도로 하는 과징금을 부담할 능력이 현저히 부족하다고 보이지 않는다”며 “결제 피해가 발생한 2명에 대해서만 손해배상을 한 것을 두고 과징금의 감경 요소로 고려할 만큼 피해 및 배상을 했다고 볼 수 없다”고 덧붙였다.
151억원 과징금 처분 받은 카카오, “4억원대 과도한 것 아냐”
법조계는 에스엘바이오텍에 대한 과징금 처분이 특별히 과도한 건 아니라는 입장이다. 카카오가 개인정보 유출 건으로 국내 기업 중 역대 최대 금액인 151억4,196만원의 과징금을 받은 바 있기 때문이다. 앞서 지난해 3월 언론에선 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 보도가 잇따라 나왔다. 이후 개보위가 조사를 벌인 결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득한 것으로 나타났다.
알려진 바에 따르면 카카오는 2020년 8월 이전에 생성된 오픈채팅방에 대해선 임시 ID를 암호화하지 않았다. 임시 ID만으로 회원 일련번호를 확인해 정보를 빼낼 수 있었던 것이다. 2020년 8월 이후에 생성된 오픈채팅방은 임시 ID를 암호화했지만, 오픈채팅방 게시판에 암호화된 임시 ID를 입력하면 암호화를 해제하고 평문으로 임시 ID를 노출하는 취약점이 발견됐다. 참여자의 암호화된 임시 ID도 쉽게 회원 일련번호를 확인할 수 있었다. 이에 개보위는 “카카오가 개인정보 노출 가능성에 대한 검토와 개선 조치를 소홀히 했다”며 역대 최대 과징금과 함께 780만원의 과태료를 부과하고 시정명령과 처분 결과를 공표했다.
업계선 우려 목소리, “중소 사업장 부담 너무 커”
개보위가 카카오에 대해 최고 과징금을 부과한 건 최근 개인정보 보호 의식이 강화됐기 때문이다. 실제 민간기업에 대한 개인정보 유출 제재는 점차 강력해지는 추세다. 지난달 8일 개보위는 221만여 명의 이름과 전화번호 등을 유출한 골프존에 75억4,00만원의 과징금을 부과했는데, 이는 지난해 LG유플러스에 부과된 68억원을 상회하는 수준의 과징금이다. 결국 에스엘바이오텍에 4억원대의 과징금이 부과된 것 역시 이 같은 추세에 맞물린 결과인 셈이다.
문제는 개인정보 유출 제재가 강화되면서 영세 사업장의 부담이 지나치게 늘어날 수 있단 점이다. 개인정보 보호에 힘을 쏟을 여력이 충분한 대기업과 비교해 중소기업은 상대적으로 사이버 테러에 취약할 수밖에 없다. 카카오와 에스엘바이오텍의 과징금 규모를 단순 비교해선 안 된다는 지적도 나온다. 지난해 연간 매출이 8조원대에 진입한 카카오가 151억원의 과징금을 부과받은 것과 지난해 연간 매출 1,123억원 수준의 에스엘바이오텍이 4억원대의 과징금을 부과받은 건 애초부터 비교 대상이 아니라는 것이다.
민간 기업과 공공기관을 나눠 이중잣대를 들이미는 당국을 지탄하는 의견도 있다. 앞서 경찰은 북한이 한국 법원 전산망에 침입해 1,000GB(기가바이트)가 넘는 법원 자료를 유출했다고 밝혔다. 공격자는 2021년 1월 7일 이전부터 법원 전산망에 침입해 있었으며, 지난해 2월 9일까지 총 1,014GB가량의 법원 자료를 전산망 외부로 유출한 것으로 알려졌다.
민간 기업의 개인정보 유출 사태보다 심각한 사안이지만, 막상 부과되는 과징금은 크지 않을 것으로 전망된다. 2022년부터 지난해 8월까지 공공기관당 평균 과징금 및 과태료가 700만원 선에 불과하기 때문이다. 더욱이 공공기관에 부과되는 최대 과징금도 20억원으로 한정돼 있다. 기업의 개인정보 유출 과징금은 매출액을 기준으로 산정되는데, 공공기관은 매출액이 없거나 매출액을 산정하기 힘들어 적정선에서 과징금을 부과한다는 게 개보위 측의 설명이다. 이에 업계 관계자는 “개인정보 유출 사고가 벌어질 때 공공기관이 처벌받거나 사과하는 모습을 보기가 힘들다”며 “개인정보 보호에 더 강한 책임감을 가져야 할 공공기관이 오히려 책임을 회피하고 있는 셈”이라고 지적했다.