'개인정보 유출' KT·이스트소프트 …개인정보위, 과징금 1.5억원 '철퇴'


안전조치 소홀 일부 인정…대법원 취소 판결로 과징금 재부과

[아이뉴스24 박진영 기자] 법령에 정한 안전조치 의무를 다하지 않아 개인정보가 유출되는 등 개인정보보호 법규를 위반한 KT와 이스트소프트에 총 1억 4천800만원의 과징금을 부과하는 재처분이 내려졌다.

윤종인 개인정보보호위원회 위원장이 24일 오전 서울 종로구 정부청사에서 개최된 제19회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. [사진=개인정보보호위원회]

개인정보보호위원회(위원장 윤종인, 이하 개인정보위)는 24일 제19회 전체회의를 열고, 대법원 확정판결로 과징금 부과 처분이 취소된 2개 사업자에게 법원 판결로 인정된 일부 법 위반사항에 대해 다시 과징금을 부과하는 재처분을 의결했다.

앞서 방통위는 8만 3천246건의 개인정보를 유출한 KT에 지난 2016년 과징금 7천만원을 부과했다. 또 이스트소프트는 16만 6천179명의 개인정보 유출 사고에 대해 1억 1억 1천200만원의 과태료 처분을 받았다.

이에 대해 대법원은 각각 올해 8월과 9월 과징금 취소 확정판결을 내렸다. 대법원은 법 위반이 인정되지 않는 부분이 당초 과징금 산정에 영향을 미쳤을 것으로 보고, 과징금 부과 처분을 전부 취소했다.

대법원은 처분청의 재량이 인정되는 과징금 납부 명령의 경우, 법원은 재량권의 일탈 여부만 판단할 수 있어 전부 취소한다고 판결한다.

개인정보위 관계자는 "일부 법위반을 인정하면서, 과징금 처분 전부를 취소한 대법원의 판결은 처분청(개인정보위)이 과징금을 다시 조정하라는 의미"라면서, "과징금의 액수를 재조정하는 것은 처분청인 개인정보위의 몫"이라고 설명했다.

대법원 판결을 살펴보면, KT 사건에 대해 방통위가 당초 처분사유로 삼은 4가지 중 3가지는 '당시 사회 통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 했다'는 이유로 법 위반을 인정하지 않았다.

앞서 지난 2014년 KT는 상담사의 퇴직으로 해당 계정을 완전히 삭제하진 않아 개인정보 유출 사고를 냈다.

이에 대법원은 퇴직자의 단순한 계정 말소만으로 충분한 안전조치를 했다고 볼 수 없으며, 해당 URL 정보 등 접근권한의 말단까지 완전히 삭제해야 적법한 조치라는 점을 명확히 했다.

이는 계정을 말단까지 완전히 삭제하지 않는 등 부분적 안전조치가 개인정보 유출로 이어질 수 있음을 보여준 사례다.

개인정보위는 대법원 판결로 인정된 법 위반사항에 대해 KT에 원처분(7천만원)보다 2천만원 감액된 5천만원을 과태료 처분을 내렸다.

이스트소프트 사건의 경우, 대법원은 처분사유 중 침입차단·탐지 시스템 '설치의무'와 '운영의무'를 나누어 판단했다. '공개소프트웨어로 개인정보보호시스템을 구축하더라도 객관적으로 품질이 인정된 경우라면 적법하다'는 이유로 '설치의무' 부분은 법 위반을 인정하지 않았다.

다만, 운영의무를 소홀히 한 부분은 법위반으로 인정했으며, '개인정보보호시스템을 설치했더라도 해커로부터 부적절한 접근을 탐지․차단할 수 있도록 제대로 운영되지 않는다면 법 위반에 해당한다'고 판시했다.

이에 개인정보위는 이스트소프트에는 1천 400만원 감액된 9천800만원의 과징금을 다시 부과했다.

개인정보위 관계자는 "이번 대법원 판결은 '부분적인 안전조치나 불완전한 시스템 운영은 법 위반에 해당한다'는 점을 확인한 데 의미가 있다"면서, "안전조치는 사업자별로 다르게 적용되야 한다는 의견에 공감하고, 이번 오픈마켓 공동규제 사례와 같이 업계별 협의를 통해 별도의 개인정보 안전조치 의무사항에 대한 기준이나 방안을 지속적으로 보완해 나갈 것"이라고 밝혔다.

/박진영 기자(sunlight@inews24.com)







포토뉴스