천재교과서 개인정보 유출 사건 정리

20 May 2024 Self-study Writeup

2021년 4월 발생한 23,624건의 개인정보 유출
-> 시정명령, 9억여원의 과징금, 1740만원의 과태료 부과처분
아래 더보기는 사건 자세히 정리

초등 이용자의 개인정보 유출 흔적 감지(2021.4.8) 피심인(심의,의결서에서 칭함, 재판에 대해서는 원고,항소인)에 대한 개인정보 취급, 운영 실태 및 보호법 위반 여부 조사(2021.4.9~2021.9.1) 아래는 조사하며 얻은 행위 사실 가. 개인정보 수집 현황 ![개인정보 수집 현황](https://blog.kakaocdn.net/dna/cw8fbt/btsHumUE5Bx/AAAAAAAAAAAAAAAAAAAAAD2_Y6mp_QmSa3212yrOiadDIb4SsuvmaDBLATDpbdkl/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=%2BsCI7Y5RrHnFWVuHyEZWUqI1W%2Fw%3D) 나. 개인정보 유출 경위 21.4.7 17:30 DB관리자가 비정상 쿼리 발견 21.4.7 23:00 백과 웹서버에 웹셸 및 터널링 프로그램 존재 확인 21.4.8 13:50 한국인터넷진흥원에 개인정보 유출 신고 21.4.8 17:20 유출 대상자들에게 이메일, 문자로 유출 가능성 통지, 홈페이지 공지사항 게시

제1심 판결 서울행정법원 2023.1.13 선고 2022구합61564 판결
제2심 판결 서울고등법원 2023.11.2 선고 2023누34486 판결

제2심에 관해서.. 과징금부과처분 취소청구의 소

원고, 항소인: 주식회사 A, 천재교과서
피고, 피항소인: 개인정보보호위원회

청구 취지 및 항소 취지

제 1심 판결 취소
2021.10.27 의결 B로, 한 별지 1 처분내역 기재 각 처분 중 제2의 가,다,라.항 과징금납부명령 부분을 취소

아래 더보기는 2021.10.27 개인정보보호위원회 심의,의결 정리

안건번호 제2021 - 017 - 265호 주문 정리 1. 피심인에 대하여 다음과 같이 시정조치를 명한다. 2. 피심인에 대하여 다음과 같이 과징금과 과태료를 부과한다. 3. 피심인의 법 위반행위 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다. [의결서(제2021-017-264~272호).pdf](https://blog.kakaocdn.net/dna/LzrqN/btsHuO4cvM7/AAAAAAAAAAAAAAAAAAAAABTzQR_o6MX14c78UIBliviJbUE7AR0puINfkUIzbP6i/%EC%9D%98%EA%B2%B0%EC%84%9C(%EC%A0%9C2021-017-264~272%ED%98%B8).pdf?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=7BeVwVyC%2BUprxUNdJYVl5Fic%2B6M%3D&attach=1&knm=tfile.pdf)

피고의 원고에 대한 처분 사유

  1. 개인정보처리시스템에 대한 접근통제를 소홀히 한 행위
  2. 개인정보처리시스템의 접속기록 보관 및 점검을 소홀히 한 행위
  3. 개인정보의 유출 사실을 추가 통지하지 않은 행위

과징금의 산정 근거

1) 기준 금액의 산정
가) 관련 매출액의 산정
관련 매출액
나) 중대성의 판단

  • 개인정보 보호법 제29조의 안전조치의무 근거, 피고는 원고에게 중과실 있다고 봄
  • 과징금 부과기준 제5조 제3항 본문 근거, 원고의 위반행위 ‘중대한 위반행위’
    다) 기준금액의 산출
    개인정보 보호법 시행령 및 과징금 부과기준 제3조 제1항 근거,
    관련 매출액(53,771,039,000원) X ‘중대한 위반행위’에 해당하는 부과 기분율 21/1000

2) 필수적 가중 및 감경
가) 과징금 부과기준 제6조, 제7조 근거,
장기 위반행위(2년 초과)로 인해 50% 가산(564,594,000원)
나) 원고가 최근 3년 이내 개인정보 보호법 제39조의15 제1항 행위들로 과징금 부과처분 없음으로 인해
50% 감경(564,594,000원)

3) 추가적 가중 및 감경
과징금 부과기준 제8조에 근거,

  • 원고가 조사에 적극 협력
  • 개인정보유출사실을 자진 신고한 점
    20% 감경(225,839,000원)

원고의 주장

1) 처분 사유의 부존재
가) 제1처분사유의 부존재: Any->Any 허용 규칙만으로 접근 통제 소홀히 운영했다고는 볼 수 없음
나) 제2처분사유의 부존재: 유출사고와 원고의 위반 행위 사이에 관련성 인정될 수 없음

2) 재량권의 일탈, 남용
가) 기준금액 산출 위법: 중대한 위반행위 인정할 수 없음
나) 필수적 가중 위법: 장기 위반행위 인정할 수 없음
다) 비례의 원칙 및 평등의 원칙 위반: 과징금납부명령 지나치다

인정사실

1) 원고와 E의 시스템 운영 현황
원고와 E는 각각 G와의 원격보안관제 서비스 계약, 원고가 운영한 C 서비스는 E이 운영한 F와 일부 인프라 공유
C서비스(원고)의 2차 방화벽에 F서비스(G) 접근 권한을 가진 IP도 C서비스 DB에 접속할 수 있었음 - Any->Any 허용 규칙

2) 유출사고 경위와 과정
F 웹 서버에 웹쉘 업로드 -> 웹쉘에 접속하여 터널링 프로그램 업로드 -> C서비스 DB에 직접 접속 후 개인정보 외부 전송

3) 원고의 후속조치
원고 DB 접근제어 계정 이외에 C의 DB 접근 불가능 - Any->Any 차단 규칙

판단

1) 처분사유의 존재 여부
가) 관련 규정과 법리
(1) 개인정보 보호법 제29조의 위임에 따라
개인정보 보호법 시행령 제48조의2 제1항 :
제2호 (나)목에서 ‘개인정보에 대한 불법적인 접근을 차단하기 위한 조치’
제3호에서 ‘접속기록의 위조 변조 방지를 위한 조치’

(2) 위반 여부 판단 시 고려할 점
… 당시 보편적으로 알려져 있는 정보보안의 기술 수준
… 정보통신서비스 제공자의 업종 영업규모와 정보통신서비스 제공자가 취하고 있던 저체적인 보안조치의 내용
… 정보보안에 필요한 경제적 비용 및 효용의 정도
… 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성
… 정보통신서비스 제공자가 수집한 개인정보의 내용과.. 등등

나) 제1처분사유 존재 여부: 웹셀을 통한 정보유출 충분히 방지할 수 있었음 -> 개인정보 보호법령과 보호조치 기준 제4조 제5항 위반
다) 제2처분사유 존재 여부: 관련성 충분히 인정됨

2) 재량권의 일탈, 남용 여부
가) 기준금액 산출 위법 여부: 중과실이 있다고 봄이 타당
나) 필수적 가중 위법 여부: 장기 위반행위에 해당한다고 봄이 타당
다) 비례의 원칙 및 평등의 원칙 위반 여부: 지나치게 가혹하다 보기 어렵다

소결

과징금납부명령 적법, 원고의 주장 모두 받아들일 수 없다.

 개인정보 유출  천재교과서  과징금  법원 판결