서 울 행 정 법 원
제 1 4 부
판 결
사 건 2024구합70753 과징금부과처분 등 취소 청구의 소
원 고 주식회사 A
피 고 개인정보보호위원회
변 론 종 결 2025. 6. 26.
판 결 선 고 2025. 8. 14.
주 문
1. 원고의 청구를 기각한다.
2. 소송비용은 원고가 부담한다.
청 구 취 지
피고가 2024. 3. 27. 원고에 대하여 한 과징금 613,000,000원 부과처분과 공표명령을 모두 취소한다.
이 유
1. 처분의 경위
가. 원고는 인터넷을 통한 교육서비스업을 영위하는 회사로서 인터넷강의 웹사이트(비실명화로 생략, 이하 ‘이 사건 사이트’라 한다)를 운영하고 있다. 원고는 개인정보보호법 제2조 제5호에 따른 개인정보처리자로서 2024. 1. 31. 기준 1,138,816건의 개인정보(이름, ID, 생년월일, 휴대전화번호, 이메일주소 등)를 수집․보유하고 있다.
나. 해커는 2024. 1. 12. 이 사건 사이트에 크리덴셜 스터핑(Credential Stuffing)1) 공격을 시도하여 회원계정으로 로그인에 성공하였고, 2024. 1. 15. 그 회원계정으로 이사건 사이트 중 ‘불법이용신고 게시판’에 크로스 사이트 스크립팅(Cross Site Scripting, 이하 ‘XSS’라 한다)2) 명령어가 포함된 게시글을 작성하였다. 원고 직원이 2024. 1. 16. 해당 게시글을 열람하면서 해커에게 직원계정의 세션정보3)가 탈취당했고, 해커는 탈취한 세션정보를 이용하여 직원 25명의 ID, 이름 및 회원 95,171명의 ID와 일부가 가려진 이름․휴대전화번호․이메일주소 정보를 유출하였다.
다. 원고는 2024. 1. 18. 개인정보 유출 신고를 하였고, 피고는 2024. 2.경 원고의 개인정보 취급․운영실태를 조사하였다. 그 결과 피고는 아래 사유로 원고가 개인정보보호법 제29조에 따른 안전조치의무를 다하지 않았다고 보아 같은 법 제64조의2 제1항 제9호, 제66조 제2항에 근거하여, 2024. 3. 27. 원고에게 과징금 613,000,000원 부과처분(이하 ‘이 사건 과징금 처분’이라 한다)과 그에 관한 공표명령을 하였다(이하 ‘이사건 공표명령’이라 한다).
1) 원고가 침입탐지·차단시스템을 운영하고 있으나, 불법적인 침입탐지·차단 정책관리와 이상행위 대응에 소홀하여 웹방화벽에서 XSS 탐지·차단정책을 기본적으로 제공하고 있는 데도 이를 적용하지 않아 XSS 공격을 탐지·차단하지 못하였다. 또한 회원 로그인 페이지에 관한 과도한 접속시도가 있었으나, 이를 탐지·차단하지 못하였다. 이러한 행위는 개인정보 보호법 제29조, 시행령 제30조 제1항 제3호 가.목, 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시, 이하 ‘이 사건 고시’라 한다) 제6조 제1항 제2호를 위반한 것이다.
2) 원고는 불법이용신고 게시판을 운영하면서 2016. 4. 16.부터 2024. 1. 16.까지 XSS 공격을 방지하기 위한 입력값 검증 조치를 취하지 않았다. 이러한 행위는 개인정보 보호법제29조, 시행령 제30조 제1항 제8호, 이 사건 고시 제6조 제3항을 위반한 것이다.
[인정근거] 갑 제1호증, 을 제1호증, 변론 전체의 취지
- 이하 자세한 내용은 아래 판결문 참고 바랍니다. -
<서울행정법원>