개인정보보호 법규 위반행위에 대한 시정조치에 관한 건

결정문 요약

주문

1. 피심인에 대하여 다음과 같이 과태료를 부과한다. 가. 과 징 금 : 1,131,786,000원 나. 과 태 료 : 10,200,000원 다. 납부기한 : 고지서에 명시된 납부기한 이내 라. 납부장소 : 한국은행 국고수납 대리점 2. 피심인 에 대한 과태료 부과의 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다.

이유

Ⅰ. 기초 사실 등의 서비스를 제공하는 피심인은 「개인정보 보호법」(2020. 8. 5. 시행, 법률 제16930호, 이하 '보호법’이라 한다.)에 따른 정보통신서비스 제공자이며, 피심인의 일반현황은 다음과 같다. <img src="/LSW/flDownload.do?flSeq=135155249" alt="1번째 이미지"></img> Ⅱ. 사실조사 결과 1. 조사 배경 개인정보보호위원회는 개인정보포털(privacy.go.kr)에 유출 신고(1차:’22.6.10., 2차:6.15.)한 피심인에 대하여 개인정보 취급ㆍ운영 실태 및 보호법 위반 여부를 조사(’22.10.13. ~ 11.23.)하였으며, 다음과 같은 사실을 확인하였다. 2. 행위 사실 가. 개인정보 수집현황 피심인은 서비스를 운영하면서 ’23. 6. 14. 기준으로 이용자 명의 개인정보를 수집하여 보관하고 있다. <img src="/LSW/flDownload.do?flSeq=135155253" alt="2번째 이미지"></img> 나. 개인정보 유출 경위 1) 유출 경과 및 대응 <img src="/LSW/flDownload.do?flSeq=135155255" alt="3번째 이미지"></img> 2) 유출 항목 및 규모 홈페이지( ) 및 홈페이지( ) 내 1:1 상담문의 게시판 이용자 46,134명의 이름, 이메일, ID, IP, 질문내용, 전화번호가 유출되었다. 3) 유출 경위 피심인은 홈페이지( )에 서비스 관련 1:1 상담문의 게시판을 운영하면서, 개인정보처리시스템에 대한 접근 제한 및 유출 탐지, 취약점 점검 및 그에 따른 조치, 안전한 세션 관리 등 접근통제 등의 보호조치를 소홀히하여 해커가 관리자 페이지의 로그인 세션을 탈취하였고, 이를 통해 관리자 페이지에 접속 및 대량의 개인정보를 조회하면서 유출 사고가 발생하였다. 3. 개인정보의 취급ㆍ운영 관련 사실관계 가. 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위 피심인은 홈페이지 내 이벤트 진행 시, 보안장비에서 트래픽 수용이 불가하여 장애가 발생한다는 이유로 ’21. 7. 5.부터 일부 보안정책을 적용하지 않는 등 침입차단 및 침입탐지 시스템 등이 접근제한 기능과 유출탐지 기능을 적합하게 수행되도록 운영하지 않았으며, 또한 1:1 상담문의 게시판의 웹 취약점 점검 및 그에 따른 조치, 안전한 세션 관리 등을 소홀히 하였다. 나. 개인정보 유출 통지를 지연한 행위

피심인은 ’22. 6. 9. 유출 사실을 인지하고 ’22. 6. 10. 및 '22. 6. 15. 유출 신고를 하였으나, ’22. 6. 15. 이용자에게 유출 사실을 통지하였다. 4. 처분의 사전통지 및 의견 수렴 개인정보보호위원회는 ’22. 11. 29. 피심인에게 예정된 처분에 대한 사전통지서를 송부하고 이에 대한 의견을 요청하였으며, 피심인은 ’22. 12. 21. 개인정보보호위원회에 의견을 제출하였다. Ⅲ. 위법성 판단 1. 관련법 규정 가. 보호법 제29조는 “개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.”고 규정하고 있다. 같은 법 시행령 제48조의2제1항제2호는 “개인정보에 대한 불법적인 접근을 차단하기 위해 ’개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영(나목)’, '그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치(마목)’ 등의 조치를 하여야 한다.”라고 규정하고 있다. 같은 법 시행령 제48조의2제3항은 “제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.”라고 규정하고 있다. 같은 법 시행령 제48조의2제3항에 따라 위 기준 수립ㆍ시행의 내용을 구체적으로 정하고 있는 「개인정보의 기술적ㆍ관리적 보호조치 기준」(개인정보보호위원회 고시 제2021-3호, 이하 '고시’) 제4조제5항은 “정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 '개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한(제1호)’, '개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지(제2호)’ 등의 기능을 포함한 시스템을 설치ㆍ운영하여야 한다.”라고 규정하고 있고, 고시 제4조제9항은 “정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.”라고 규정하고 있다.

나. 보호법 제39조의4제1항은 “정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ유출(이하 “유출등”이라 한다) 사실을 안 때에는 지체 없이 유출등이 된 개인정보 항목(제1호), 유출등이 발생한 시점(제2호), 이용자가 취할 수 있는 조치(제3호), 정보통신서비스 제공자등의 대응 조치(제4호), 이용자가 상담 등을 접수할 수 있는 부서 및 연락처(제5호)를 해당 이용자에게 알리고 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.”라고 규정하고 있다. 같은 법 시행령 제48조의4제2항은 “정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ유출의 사실을 안 때에는 지체 없이 법 제39조의4제1항 각 호의 모든 사항을 서면등의 방법으로 이용자에게 알리고 보호위원회 또는 한국인터넷진흥원에 신고해야 한다.”라고 규정하고 있으며, 제3항은 “정보통신서비스 제공자등은 제2항에 따른 통지ㆍ신고를 하려는 경우에는 법 제39조의4제1항제1호 또는 제2호의 사항에 관한 구체적인 내용이 확인되지 않았으면 그때까지 확인된 내용과 같은 항 제3호부터 제5호까지의 사항을 우선 통지ㆍ신고한 후 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지ㆍ신고해야 한다.”라고 규정하고 있다. 2. 위법성 판단 가. 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위 [보호법 제29조(안전조치의무)] 피심인이 개인정보처리시스템에 대한 접근 제한 및 유출 탐지, 취약점 점검 및 그에 따른 조치, 안전한 세션 관리 등 접근통제 등의 보호조치를 소홀히 하여 개인정보가 유출되도록 한 행위는 보호법 제29조, 같은 법 시행령 제48조의2제1항제2호, 고시 제4조제5항 및 제4조제9항을 위반한 것이다. 나. 개인정보 유출 통지를 지연한 행위 [보호법 제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례)제1항] 피심인이 정당한 사유 없이 유출 사실을 안 때부터 24시간을 경과하여 이용자에게 통지한 행위는 보호법 제39조의4제1항을 위반한 것이다. <img src="/LSW/flDownload.do?flSeq=135155257" alt="4번째 이미지"></img> Ⅳ. 처분 및 결정 1. 과징금 부과

피심인의 보호법 제29조 위반에 대한 과징금은 같은 법 제39조의15제1항제5호, 같은 법 시행령 제48조의11제1항과 제4항, [별표 1의5] (과징금의 산정기준과 산정절차) 및 '개인정보보호 법규 위반에 대한 과징금 부과기준(개인정보보호위원회 고시 제2022-3호, 이하 ’과징금 부과기준'이라 한다)’에 따라 다음과 같이 부과한다. 가. 과징금 상한액 피심인의 보호법 제29조 위반에 대한 과징금 상한액은 같은 법 제39조의15, 같은 법 시행령 제48조의11에 따라 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도 연평균 매출액의 100분의 3 이하에 해당하는 금액으로 한다. 나. 기준금액 1) 고의ㆍ중과실 여부 과징금 부과기준 제5조제1항은, 보호법 시행령 [별표 1의5] 2. 가. 1)에 따른 위반행위의 중대성의 판단기준 중 고의ㆍ중과실 여부는 영리 목적의 유무, 같은 법 시행령 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단하도록 규정하고 있다. 이에 따를 때, 보호법 제29조의 안전조치의무를 소홀히 한 피심인에게 이용자 개인정보 유출에 대한 중과실이 있다고 판단한다. 2) 중대성의 판단 과징금 부과기준 제5조제3항은, 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 있으면 위반행위의 중대성을 '매우 중대한 위반행위’로 판단하도록 규정하고 있다. 다만, 과징금 부과기준 제5조제3항 단서에서 위반행위의 결과가 ▲위반 정보통신서비스 제공자등이 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우(제1호), ▲위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 개인정보의 100분의 5 이내인 경우(제2호), ▲이용자의 개인정보가 공중에 노출되지 않은 경우(제3호) 중 모두에 해당하는 경우 '보통 위반행위’로, 1개 이상 2개 이하에 해당하는 경우 '중대한 위반행위’로 감경하도록 규정하고 있다. 피심인의 경우, '위반행위로 인해 직접적으로 이득을 취하지 않은 경우’, '위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 개인정보의 100분의 5 이내인 경우’ 및 '이용자의 개인정보가 공중에 노출되지 않은 경우’에 해당하여 '보통 위반행위’로 감경한다. 3) 기준금액 산출

피심인의 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스를 통해 발생한 매출을 위반행위 관련 매출로 하고, 직전 3개 사업연도의 연평균 매출액 천원에 보호법 시행령 [별표 1의5] 2. 가. 1)에 따른 '보통 위반행위’의 부과기준율 1천분의 15를 적용하여 기준금액을 천원으로 한다. < 피심인의 위반행위 관련 매출액 > (단위 : 천원) <img src="/LSW/flDownload.do?flSeq=135155259" alt="5번째 이미지"></img> * 사업자가 제출한 재무제표 등 회계자료를 토대로 작성 < 보호법 시행령 [별표 1의5] 2. 가. 1)에 따른 부과기준율 > <img src="/LSW/flDownload.do?flSeq=135155261" alt="6번째 이미지"></img> 다. 필수적 가중 및 감경 과징금 부과기준 제6조와 제7조에 따라 피심인 위반행위의 기간이 1년 이내(’21.7.5.~’22.6.20.)이므로 '단기 위반행위’에 해당하여 기준금액을 유지하고, 최근 3년 이내 보호법 제39조의15제1항 각 호에 해당하는 행위로 과징금 처분을 받은 적이 없으므로 기준금액의 100분의 50에 해당하는 천원을 감경한다. 라. 추가적 가중 및 감경 과징금 부과기준 제8조는 사업자의 위반행위의 주도 여부, 조사 협력 여부 등을 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위 내에서 가중ㆍ감경할 수 있다고 규정하고 있다. 이에 따를 때, 피심인이 ▲조사에 적극 협력한 점, ▲개인정보 유출사실을 자진 신고한 점 등을 종합적으로 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 에 해당하는 천원을 감경한다. 마. 과징금의 결정 피심인의 보호법 제29조(안전조치의무) 위반행위에 대한 과징금은 같은 법 제39조의15제1항제5호, 같은 법 시행령 제48조의11, [별표 1의5] 2. 가. 1)(과징금의 산정기준과 산정절차) 및 과징금 부과기준에 따라 위와 같이 단계별로 산출한 금액인 천원을 최종 과징금으로 결정한다. < 과징금 산출내역 > <img src="/LSW/flDownload.do?flSeq=135155263" alt="7번째 이미지"></img> 2. 과태료 부과

피심인의 보호법 제29조(안전조치의무), 제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례)제1항 위반행위에 대한 과태료는 같은 법 제75조제2항제6호ㆍ제12호의3, 같은 법 시행령 제63조, 같은 법 시행령 [별표2] '과태료의 부과기준’ 및 '개인정보 보호법 위반에 대한 과태료 부과기준’(이하 '과태료 부과지침’)에 따라 다음과 같이 부과한다. 가. 기준금액 보호법 시행령 제63조의 [별표2]는 최근 3년간 같은 위반행위를 한 경우 위반 횟수에 따라 기준금액을 규정하고 있고, 피심인은 최근 3년간 같은 위반행위로 과태료 처분을 받은 사실이 1회 있으므로* 보호법 제29조 위반행위에 대해 기준금액을 2회 위반에 해당하는 1,200만원으로 산정하고, 보호법 제39조의4제1항 위반행위에 대해서는 최근 3년간 같은 위반행위로 과태료 처분을 받은 사실이 없으므로 기준금액을 1회 위반에 해당하는 600만원으로 산정한다. * '22. 4. 13. (舊)정보통신망법 제28조(개인정보의 보호조치) 위반으로 과태료 처분 의결 < 보호법 시행령 [별표2] 2. 개별기준 > <img src="/LSW/flDownload.do?flSeq=135155265" alt="8번째 이미지"></img> 나. 과태료의 가중 및 감경 1) 과태료의 가중 과태료 부과지침 제8조는 '사전통지 및 의견제출 결과와 당사자의 위반행위의 정도, 위반행위의 동기와 그 결과 등을 고려하여 [별표2]의 가중기준(▲조사방해, ▲위반의 정도, ▲위반기간, ▲기타 위반행위의 정도와 동기, 사업규모, 그 결과 등을 고려하여 가중할 필요가 있다고 인정되는 경우)에 따라 기준금액의 100분의 50의 범위 이내에서 가중할 수 있다’라고 규정하고 있다. 피심인의 경우, 보호법 제29조 위반행위는 과태료 부과지침 제8조 및 [별표2] 과태료의 가중기준에 따라 '법 위반상태의 기간이 3개월 이상인 경우’에 해당하여 기준금액의 10%를 가중하고, 같은 법 제39조의4제1항 위반행위는 가중사유가 없으므로 기준금액을 유지한다. 2) 과태료의 감경

과태료 부과지침 제7조는 '사전통지 및 의견제출 결과와 당사자의 위반행위 정도, 위반행위의 동기와 그 결과 등을 고려하여 [별표1]의 감경기준(▲당사자 환경, ▲위반정도, ▲조사협조 및 자진시정 등, ▲개인정보보호 노력정도, ▲사업규모, ▲기타 위반행위의 정도와 동기, 사업 규모, 그 결과 등을 고려하여 감경할 필요가 있다고 인정되는 경우)에 따라 기준금액의 100분의 50의 범위 이내에서 감경할 수 있다.’라고 규정하고 있다. 피심인의 경우, 보호법 제29조 위반행위 및 같은 법 제39조의4제1항 위반행위는 과태료 부과지침 제7조 및 [별표2] 과태료의 감경기준에 따라, '과태료의 사전통지 및 의견제출 기간이 종료되기 이전에 위반행위를 중지하는 등 시정을 완료한 경우’, '조사에 적극 협력한 경우’에 해당하여 기준금액의 50%을 각각 감경한다. 다. 최종 과태료 피심인의 보호법 제29조 및 같은 법 제39조의4제1항을 위반한 행위에 대해 기준금액에서 가중ㆍ감경을 거쳐 총 1,020만원의 과태료를 부과한다. <img src="/LSW/flDownload.do?flSeq=135155267" alt="9번째 이미지"></img> 3. 결과 공표 보호법 제66조제1항 및 '개인정보보호위원회 처분결과 공표기준’(2020. 11. 18. 개인정보보호위원회 의결) 제2조(공표요건)에 따르면 피심인의 위반행위는 '보호법 제75조제2항 각 호에 해당하는 위반행위를 2개 이상 한 경우(제4호)’ 및 '위반행위 시점을 기준으로 위반상태가 6개월 이상 지속된 경우(제5호)’에 해당하므로 피심인이 과태료 부과를 받은 사실에 대해 개인정보보호위원회 홈페이지에 공표한다. <img src="/LSW/flDownload.do?flSeq=135155251" alt="10번째 이미지"></img> Ⅴ. 결론 피심인의 보호법 제29조(안전조치의무) 및 같은 법 제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례)제1항을 위반한 행위에 대하여 같은 법 제39조의15(과징금의 부과 등에 대한 특례)제1항제5호, 제75조(과태료)제2항제6호ㆍ제12호의3, 같은 법 제66조(결과의 공표)제1항에 따라 과징금ㆍ과태료 부과 및 결과 공표를 주문과 같이 의결한다.

결정요지

안건번호 : 제2023-006-056호 안건명 : 개인정보보호 법규 위반행위에 대한 시정조치에 관한 건 신청인 : (사업자등록번호 : )대표자 의결연월일 : 2023. 6. 28.