[행정 판결문] 서울행정법원 2024구합70753 - 과징금부과처분 등 취소 청구의 소

 

[행정] 서울행정법원 2024구합70753 - 과징금부과처분 등 취소 청구의 소.pdf

0.30MB

[행정] 서울행정법원 2024구합70753 - 과징금부과처분 등 취소 청구의 소.docx

0.03MB

 

 

- 1 -
서 울 행 정 법 원
제 1 4 부
판 결
사 건 2024구합70753 과징금부과처분 등 취소 청구의 소
원 고 주식회사 A
피 고 개인정보보호위원회
변 론 종 결 2025. 6. 26.
판 결 선 고 2025. 8. 14.
주 문
1. 원고의 청구를 기각한다. 
2. 소송비용은 원고가 부담한다.
청 구 취 지
피고가 2024. 3. 27. 원고에 대하여 한 과징금 613,000,000원 부과처분과 공표명령을 
모두 취소한다. 
이 유
1. 처분의 경위
- 2 -
가. 원고는 인터넷을 통한 교육서비스업을 영위하는 회사로서 인터넷강의 웹사이트
(비실명화로 생략, 이하 ‘이 사건 사이트’라 한다)를 운영하고 있다. 원고는 개인정보 
보호법 제2조 제5호에 따른 개인정보처리자로서 2024. 1. 31. 기준 1,138,816건의 개인
정보(이름, ID, 생년월일, 휴대전화번호, 이메일주소 등)를 수집․보유하고 있다. 
나. 해커는 2024. 1. 12. 이 사건 사이트에 크리덴셜 스터핑(Credential Stuffing)1) 공
격을 시도하여 회원계정으로 로그인에 성공하였고, 2024. 1. 15. 그 회원계정으로 이 
사건 사이트 중 ‘불법이용신고 게시판’에 크로스 사이트 스크립팅(Cross Site Scripting, 
이하 ‘XSS’라 한다)2) 명령어가 포함된 게시글을 작성하였다. 원고 직원이 2024. 1. 16. 
해당 게시글을 열람하면서 해커에게 직원계정의 세션정보3)가 탈취당했고, 해커는 탈취
한 세션정보를 이용하여 직원 25명의 ID, 이름 및 회원 95,171명의 ID와 일부가 가려
진 이름․휴대전화번호․이메일주소 정보를 유출하였다. 
다. 원고는 2024. 1. 18. 개인정보 유출 신고를 하였고, 피고는 2024. 2.경 원고의 개
인정보 취급․운영실태를 조사하였다. 그 결과 피고는 아래 사유로 원고가 개인정보 
보호법 제29조에 따른 안전조치의무를 다하지 않았다고 보아 같은 법 제64조의2 제1
항 제9호, 제66조 제2항에 근거하여, 2024. 3. 27. 원고에게 과징금 613,000,000원 부
과처분(이하 ‘이 사건 과징금 처분’이라 한다)과 그에 관한 공표명령을 하였다(이하 ‘이 
사건 공표명령’이라 한다). 
1) 다른 웹사이트에서 이미 유출된 대량의 아이디와 비밀번호 목록을 입수하여 자동화된 프로그램 등으
로 목표 사이트에 무차별 대입하는 공격기법.
2) 웹사이트에 악의적인 명령어(스크립트)를 삽입한 후 이용자가 이를 열람하면 악의적인 명령어가 실행
되어 이용자의 세션정보 등을 탈취하는 공격기법.
3) 웹사이트에서 이용자에 대한 상태 정보를 유지하기 위하여 일시적으로 저장되는 이용자 식별정보.
1) 원고가 침입탐지·차단시스템을 운영하고 있으나, 불법적인 침입탐지·차단 정책관리와 이
- 3 -
[인정근거] 갑 제1호증, 을 제1호증, 변론 전체의 취지
2. 관계 법령: 별지와 같다. 
3. 이 사건 과징금 처분의 위법 여부
가. 처분사유의 인정 여부
1) 원고 주장의 요지
원고는 개인정보의 안전성을 확보하기 충분한 침입탐지․차단시스템을 설치․운영하
여 이 사건 고시 제6조 제1항 제2호를 준수하였고, 다만 다수의 학생들에게 인터넷강
의 서비스를 제공해야 하는 이 사건 사이트의 특성상 정상적인 서비스 제공을 위해 
XSS 자동차단 정책을 적용하지 않거나 로그인 접속시도 횟수 제한을 완화하였다. 또한 
원고는 이 사건 사이트를 개발하는 과정에서 XSS 공격 대응을 위해 입력값 검증의 조
치가 이루어지도록 하였고, 그 외에도 꾸준히 안전성 확보조치를 다하여 이 사건 고시 
제6조 제3항을 준수하였다. 이처럼 원고는 사회통념상 합리적으로 기대 가능한 정도의 
안전조치를 모두 이행하였으므로, 개인정보 보호법 제29조에 따른 안전성 확보에 필요
한 조치를 다하였다. 
2) 관련 규정 및 법리
상행위 대응에 소홀하여 웹방화벽에서 XSS 탐지·차단정책을 기본적으로 제공하고 있는
데도 이를 적용하지 않아 XSS 공격을 탐지·차단하지 못하였다. 또한 회원 로그인 페이
지에 관한 과도한 접속시도가 있었으나, 이를 탐지·차단하지 못하였다. 이러한 행위는 
개인정보 보호법 제29조, 시행령 제30조 제1항 제3호 가.목, ｢개인정보의 안전성 확보조
치 기준｣(개인정보보호위원회 고시, 이하 ‘이 사건 고시’라 한다) 제6조 제1항 제2호를 
위반한 것이다. 
2) 원고는 불법이용신고 게시판을 운영하면서 2016. 4. 16.부터 2024. 1. 16.까지 XSS 공
격을 방지하기 위한 입력값 검증 조치를 취하지 않았다. 이러한 행위는 개인정보 보호법 
제29조, 시행령 제30조 제1항 제8호, 이 사건 고시 제6조 제3항을 위반한 것이다. 
- 4 -
가) 개인정보 보호법령에 의하면, 개인정보처리자는 개인정보가 유출되지 아니하도록 
내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 
필요한 기술적ㆍ관리적 및 물리적 조치를 해야 하고(법 제29조), 개인정보처리자가 처
리하는 개인정보가 유출된 경우 피고는 해당 개인정보처리자에게 과징금을 부과할 수 
있으며, 다만 개인정보가 유출되지 아니하도록 개인정보처리자가 법 제29조에 따른 안
전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다(법 제64조의2 제1항 제9
호). 법 제29조에 따른 안전성 확보 조치로는 개인정보에 대한 접근통제를 목적으로 
개인정보처리시스템에 대한 침입을 탐지하고 차단하기 위하여 필요한 조치(시행령 제
30조 제1항 제3호 가.목), 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치(시행
령 제30조 제1항 제8호) 등이 있고, 안전성 확보조치에 관한 세부기준은 피고가 정하
여 고시하게 된다(시행령 제30조 제3항). 이러한 위임에 따른 이 사건 고시에 의하면, 
개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정
보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도를 
탐지 및 대응해야 하고(제6조 제1항 제2호), 처리하는 개인정보가 인터넷 홈페이지, 
P2P, 공유설정 등을 통하여 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보
처리시스템, 개인정보취급자의 컴퓨터 및 모바일 기기 등에 조치를 하여야 한다(제6조 
제3항). 
나) 개인정보처리자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법
률상 의무를 위반하였는지 여부를 판단할 때는 해킹 등 침해사고 당시 보편적으로 알
려져 있는 정보보안의 기술 수준, 개인정보처리자의 업종․영업규모와 개인정보처리자
가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 
- 5 -
정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 
개인정보처리자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 
되는 피해 정도 등의 사정을 종합적으로 고려하여 개인정보처리자가 해킹 등 침해사고 
당시 사회통념상 합리적으로 기대 가능한 정도의 안전성 확보조치를 다하였는지 여부
를 기준으로 판단하여야 한다(대법원 2018. 1. 25. 선고 2015다24904, 24911, 24928, 
24935 판결 등 참조).
3) 인정사실
가) XSS 공격은 정보통신망에서 빈번하게 발생하는 해킹방식으로서, 해커는 게시판
에 악의적인 명령어를 삽입하여 게시글을 열람한 이용자의 세션정보 등을 탈취하므로, 
입력값에 악의적인 명령어가 포함되어 있는지 여부를 검증하는 방식으로 XSS 공격을 
일정 부분 차단할 수 있다. 
나) 원고는 이 사건 사이트에 Anti-DDoS, 네트워크 방화벽(UTM), 웹방화벽, DB접근
제어 솔루션 등을 설치․운영하였고, B㈜로부터 보안관제서비스를 제공받았으며, 한국
인터넷진흥원으로부터 정보보호 관리체계(ISMS) 인증을 취득하였다. 또한 원고는 안랩
(AhnLab)을 통해 XSS 공격을 탐지한 후 공격자의 IP를 차단하는 등의 조치를 취해왔
다. 
다) 그러나 원고가 XSS 공격을 받은 무렵 이 사건 사이트의 ‘불법이용신고 게시판’에
는 입력값 검증과 같은 XSS 공격을 자동차단할 수 있는 정책이 적용되지 않았다. 그에 
따라 해커가 2024. 1. 15. 17:05 XSS 명령어가 포함된 게시글을 작성하였는데도, 원고
는 이를 인지하지 못하였고, 원고 직원이 2024. 1. 16. 09:04 해당 게시글을 열람하여 
직원계정의 세션정보가 탈취당한 이후 같은 날 12:42에야 XSS 공격을 탐지하고 XSS 
- 6 -
명령어가 포함된 게시글을 삭제하였다.
라) 또한 원고는 IP 주소당 로그인 접속횟수를 제한하는 등의 과도한 접속시도와 관
련한 탐지․차단정책을 시행하지 않았고, 다만 로그인시 전체 패킷이 초당 5만회를 초
과하는 경우 접속시도를 차단하는 정책을 시행하였다. 해커가 XSS 공격을 실시하기 전 
크리덴셜 스터핑 공격을 통해 XSS 명령어가 담긴 게시글을 작성하기 위한 회원계정을 
확보하였는데, 그 과정에서 해커는 5분간 총 4,026회의 로그인 시도(실패 4,024회, 성
공 2회)를 하였으나 원고는 이를 탐지․차단하지 못하였다. 
마) ｢개인정보의 기술적․관리적 보호조치 기준｣(개인정보보호위원회 고시)4)의 해설
을 목적으로 피고와 한국인터넷진흥원이 2022. 10. 발간한 해설서에 의하면, 이 사건 
고시 제6조 제1항 제2호, 제3항에 따른 안전조치의 주요내용은 아래와 같다. 
4) 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 및 시행령의 위임에 따라 정보
통신서비스 제공자에게 적용된 안전성 확보기준으로서 그 내용은 이 사건 고시의 내용과 다르지 않다. 
1. 제4조 제5항 제2호(= 이 사건 고시 제6조 제1항 제2호)
○ 접근제한 기능 및 유출탐지 기능의 충족을 위해서는 단순히 시스템을 설치하는 것만으
로는 부족하고, 신규위협 대응 및 정책의 관리를 위하여 다음과 같은 방법 등을 활용하
여 체계적으로 운영·관리하여야 한다.
- 정책설정 운영: 신규위협 대응 등을 위하여 접근제한 정책 및 유출탐지 정책을 설정하
고 지속적인 업테이트 적용 및 운영·관리
- 이상행위 대응: 모니터링 등을 통해 인가받지 않은 접근을 제한하거나 인가자의 비정
상적 행동에 대응. 예시) 동일 IP 주소에서의 과도한 또는 비정상적인 접속시도 탐지 
및 차단조치 등
- 로그 분석: 로그 등의 대조·분석을 통하여 이상행위를 탐지·차단
○ IP 주소 등에는 IP 주소 그 자체뿐만 아니라, 해당 IP 주소의 행위(과도한 접속성공 및 
실패, 부적절한 명령어 등 이상행위 관련 패킷)를 포함한다. 
2. 제4조 제9항(= 이 사건 고시 제6조 제3항)
○ (보안대책 마련) 인터넷 홈페이지 설계 시 개인정보 유·노출에 영향을 미칠 수 있는 위
- 7 -
[인정근거] 갑 제1∼4, 7, 12호증, 을 제3∼5, 8호증, 변론 전체의 취지
4) 구체적 판단
위 인정사실과 앞서 든 증거 및 변론 전체의 취지에 의하여 알 수 있는 아래 사정들
을 종합하면, 원고가 IP 주소 등을 분석하여 개인정보 유출시도를 탐지․대응하거나 개
인정보가 유출되지 않도록 개인정보처리시스템에 조치를 취하는 등의 사회통념상 합리
적으로 기대 가능한 정도의 안전성 확보조치 다하였다고 보기 어려우므로, 원고는 개
인정보 보호법 제29조, 시행령 제30조 제3항, 이 사건 고시 제6조 제1항 제2호, 제3항
이 정한 안전성 확보조치를 제대로 이행하지 않았다고 볼 수 있다. 
① XSS 공격은 대표적인 해킹 기법 중 하나로, 이를 예방하기 위한 보안대책들이 
널리 알려져 있고, 그중에서도 다수의 인터넷 보안관련 자료에서 공통적으로 강조하는 
예방조치는 게시물 작성 단계에서부터 입력값을 검증하여 악의적인 명령어가 등록되지 
않도록 차단하는 방식이다. 이 사건 고시 제6조 제1항 제2호, 제3항에 관하여 피고가 
발간한 해설서에 의하면, ‘IP 주소 등을 분석하여 개인정보 유출시도를 탐지․대응하기 
위한 조치’에는 특정 IP 주소에서 부적절한 명령어를 입력하는 등의 이상행위를 탐지․
차단하는 조치가 포함되고, ‘개인정보가 유출되지 않기 위한 개인정보처리시스템 조치’
에는 입력 데이터의 유효성 검증, XSS 취약점 점검 및 개선 등의 조치가 포함되므로, 
험요소를 분석하여 필요한 보안대책을 마련하여야 한다. 예시) 입력 데이터의 유효성 검
증 등
○ (운영 및 관리) 인터넷 홈페이지 운영·관리 시 개인정보 유·노출 방지를 위한 보안대책 
및 기술적용에 따른 적정성을 검증하고 개선조치를 하여야 한다. 예시) 취약점을 점검하
고 그 결과에 따른 적절한 개선조치 등
- 취약점 점검항목: XSS 취약점 등
- 8 -
입력값 검증 정책은 바로 개인정보 유출을 막기 위한 안전성 확보조치의 대표적인 사
례라고 할 수 있다. 
② 그러나 원고는 불법이용신고 게시판에 관하여 입력값 검증 조치를 시행하지 않
아 해커가 게시글 작성 시 악의적인 명령어를 등록했는데도, 이를 차단하지 못하였다. 
만약 원고가 입력값 검증과 같은 XSS 공격을 자동차단할 수 있는 정책을 적용하였다
면, 해커가 게시글을 작성하는 단계에서 해당 악의적인 명령어를 차단했을 가능성이 
크다. 비록 원고가 사후적으로 XSS 공격을 탐지한 후 공격자의 IP를 차단하는 등의 조
치를 취해왔다고 하더라도, 이는 이미 발생한 해킹에 관한 사후적 수습에 불과할 뿐, 
XSS 공격 자체를 예방하거나 차단하기 위한 충분한 안전성 확보조치로 볼 수는 없다. 
실제로도 해커는 별다른 제한 없이 악의적인 명령어가 포함된 게시글을 등록할 수 있
었고, 원고는 직원의 세션정보가 탈취된 이후에야 XSS 공격을 탐지하여 해당 게시글을 
삭제하는 등 사후적 조치를 하였다. 
③ 원고는 직원 및 회원들의 이름, 생년월일, 휴대전화번호, 이메일주소 등 약 113
만건의 개인정보를 수집․보유하는 개인정보처리자로서, 원고가 취급하는 개인정보의 
민감성과 중요성을 고려할 때 이 사건 사이트 이용의 편의만을 위해 안전성 확보조치
를 완화하거나 소홀히 해서는 안 된다. 입력값 검증 등의 XSS 자동차단 정책의 경우 
당시 기술수준으로 충분히 구현 가능하고, 보편적으로 알려져 있는 XSS 공격에 관한 
예방방법일 뿐만 아니라 다수의 인터넷 사이트에서도 이를 적용해오고 있다는 점에서 
입력값 검증이 이 사건 사이트의 이용에 막대한 지장을 가져올 정도의 기대하기 어려
운 조치라고 보기 어렵다. 나아가 설령 입력값 검증 정책을 도입할 경우 오탐지로 인
하여 이 사건 사이트 이용에 일부 지장이 발생할 우려가 있다고 하더라도, 원고로서는 
- 9 -
입력값 검증 정책을 도입하되 실제로 정상적인 이용까지 XSS 공격으로 잘못 탐지할 
경우 담당자가 신속하게 차단의 예외를 설정하는 등의 방식으로 XSS 자동차단 정책을 
적절하게 운용할 수 있는 절충적 방안도 상정할 수 있다. 
④ 원고는 IP 주소당 로그인 접속횟수를 제한하는 등의 과도한 접속시도와 관련한 
탐지․차단정책을 시행하지 않았고, 그 결과 해커는 5분간 4,000건이 넘는 로그인 시
도를 통해 크리덴셜 스터핑 공격을 성공하였다. 해커의 크리덴셜 스터핑 공격은 개인
정보가 유출된 직접적 원인은 아니지만 그로 인해 해커가 손쉽게 회원계정을 확보할 
수 있었고 곧 이어 그 회원계정을 통해 XSS 공격을 실시하였다는 점에서, 원고는 IP 
주소 등의 분석을 통해 크리덴셜 스터핑 공격을 탐지․대응할 필요성이 있었는데도 제
대로 된 안전성 확보조치를 취하지 않았다. 이에 관하여 원고는 인터넷강의 웹사이트
의 특성상 학원과 같은 특정 공간에서 학생들이 동시에 로그인을 하는 경우가 많아 IP 
주소당 로그인 접속횟수를 제한할 수 없다고 주장하나, 단기간에 특정 IP 주소에서 다
량의 접속시도가 관찰되더라도 로그인 성공/실패 비율을 통해 그것이 비정상적 로그인
인지 여부를 기술적으로 충분히 파악할 수 있을 것으로 보이므로, IP 주소당 로그인 접
속횟수를 제한하는 탐지․차단정책이 원고가 도저히 이행하기 어려운 안전성 확보조치
라고 보기는 어렵다. 
나. 과징금 산정의 위법 여부
1) 과징금 산정 근거
피고는 개인정보 보호법 제64조의2 제1항, 제2항에 따라 원고의 전체 매출액의 100
분의 3을 초과하지 아니하는 범위에서 전체 매출액에서 위반행위와 관련이 없는 매출
액을 제외한 매출액(관련 매출액)을 기준으로 아래와 같은 방법을 통해 과징금을 
- 10 -
613,000,000원으로 산정하였다. 
가) 기준금액의 산정
① 관련 매출액: 개인정보 보호법 제64조의2 제6항, 시행령 제60조의2 제1항, 제3
항에 의하면, ‘전체 매출액’은 위반행위가 있었던 사업연도 직전 3개 사업연도의 해당 
개인정보처리자의 연평균 매출액으로 하고, ‘위반행위와 관련이 없는 매출액’은 전체 
매출액 중 ㉠ 개인정보의 처리와 관련이 없는 재화 또는 서비스의 매출액 및 ㉡ 피고
가 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 재화 또는 서비스의 매출액
이 아닌 것으로 인정하는 매출액으로 한다. 이에 따라 피고는 아래와 같이 원고의 전
체 매출액에서 위반행위와 관련이 없는 매출액을 제외하여 관련 매출액을 
107,463,279,000원으로 산정하였고, 그 관련 매출액은 인터넷강의 매출, 입시정보 매출, 
강사 교재 매출, 기타 상품판매 매출, 결합상품 매출로 이루어져있다. 
② 중대성 판단: 개인정보 보호법 제64조의2 제6항, 시행령 [별표1의5] 제3호의 위
임에 따라 피고가 고시한 ｢개인정보 보호법 위반에 대한 과징금 부과기준｣(이하 ‘과징
금 부과기준’이라 한다) [별표]에 의하면, 위반행위의 중대성은 고의․과실, 위반행위의 
방법, 위반행위자가 처리하는 개인정보의 유형, 정보주체의 피해 규모 및 정보주체에게 
비실명화로 생략
- 11 -
미치는 영향을 고려하여 결정하는데, 피고는 이를 종합적으로 고려하여 원고의 위반행
위의 중대성을 ‘약한 위반행위’로 평가하였다. 
③ 기준금액의 결정: 개인정보 보호법 시행령 [별표1의5] 제2호 가.목 1)에 의하면 
위반행위의 중대성이 ‘약한 위반행위’인 경우 과징금 산정비율(부과기준율)은 0.03%∼
0.9%이고, 과징금 부과기준 제6조 제1항에 의하면 기준금액은 관련 매출액에 부과기준
을율 곱한 금액으로 정한다. 피고는 원고의 부과기준율을 0.68%로 정한 뒤 관련 매출
액 107,463,279,000원을 곱하여 기준금액을 730,750,000원으로 정하였다. 
나) 1차 조정
개인정보 보호법 시행령 [별표1의5] 제2호 나.목, 과징금 부과기준 제9조 제1항 제1
호, 제2항 제1호에 의하면, 위반기간이 1년 초과 2년 이내인 경우 기준금액의 25%에 
해당하는 금액을, 위반기간이 2년을 초과하는 경우 기준금액의 50%에 해당하는 금액
을 가산하고, 위반행위로 인하여 경제적ㆍ비경제적 이득을 취하지 아니하였거나 취할 
가능성이 현저히 낮은 경우 기준금액의 30% 이하에 해당하는 금액을 감경한다. 피고는 
원고가 안전성 확보조치를 다하지 않은 위반기간이 2년을 초과(2016. 4. 16.부터 2024. 
3. 27.까지)한다고 보아 기준금액의 50%를 가중하고, 위반행위로 인하여 경제적ㆍ비경
제적 이득을 취하지 아니하였거나 취할 가능성이 현저히 낮다고 보아 기준금액의 30%
를 감경하였다. 이러한 1차 조정 결과 결과적으로 피고는 146,150,000원을 기준금액에 
가산하였다. 
다) 2차 조정
개인정보 보호법 시행령 [별표1의5] 제2호 다.목, 과징금 부과기준 제10조 제2항 제1
호 나.목에 의하면, 피고의 조사에 적극 협력한 경우 1차 조정을 거친 금액의 30% 이
- 12 -
하에 해당하는 금액을 감경할 수 있다. 피고는 원고가 조사에 적극 협력하였다고 보아 
1차 조정을 거친 금액의 30%인 263,070,000원을 감경하였다. 
라) 과징금의 결정
기준금액 730,750,000원 + 1차 조정 146,150,000원 – 2차 조정 263,070,000원 = 
613,000,000원(100만원 미만 버림) 
2) 관련 매출액 산정의 위법 여부
가) 원고 주장의 요지
피고는 관련 매출액에 강사 교재 매출, 기타 상품판매 매출, 결합상품 매출을 포함시
켰다. 그러나 ① 강사 교재 매출 중 강사에게 지급된 부분과 배송매출, ② 기타 상품판
매 매출 중 외부 교재 매출과 오프라인 모의고사 매출, ③ 결합상품 매출 중 갤럭시버
즈 라이브의 매입원가 부분은 위반행위와 관련이 없는 매출액에 해당하므로, 관련 매
출액에서 제외해야 한다. 
나) 관련 법리
과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 경제적 
이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 개인정보 보호법 제
64조의2 제1항 각 호에서 정한 행위에 관하여 부과하는 과징금의 경우도 마찬가지이
다. 그런데 개인정보처리자가 관련 법령을 위반하여 개인정보의 안전조치를 하지 아니
함으로써 이용자의 개인정보가 유출된 위반행의의 경우 개인정보처리자가 개인정보 안
전조치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 개인정보 
보호법 제64조의2 제1항 제9호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하
고자 하는 이득은, 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히
- 13 -
려 개인정보처리자가 적절한 안전조치를 취하지 않은 개인정보를 자신의 영업을 위해 
보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 과징금 부과를 위한 관련 매출액
의 범위는 유출사고가 발생한 개인정보를 보유․관리하고 있는 서비스의 범위를 기준
으로 판단해야 한다(대법원 2023. 10. 12. 선고 2022두68923 판결 참조). 
다) 구체적 판단
갑 제15∼17호증 및 변론 전체의 취지에 의하면, 강사 교재 매출, 기타 상품판매 매
출, 결합상품 매출은 모두 원고가 적절한 안전조치를 취하지 않은 개인정보를 자신의 
영업을 위해 보유함으로써 얻은 이득이라 볼 수 있으므로, 이를 관련 매출액에 포함시
킨 피고의 과징금 산정은 적법하다. 
① 강사 교재 매출은 소속 강사가 집필한 교재를 원고가 판매한 매출을 의미하고, 
원고는 회원들의 개인정보를 수집․보유하며 인터넷강의 서비스와 함께 교재 판매 서
비스를 제공하였으므로, 강사 교재 판매는 위반행위로 인해 직접적으로 영향을 받는 
서비스에 해당한다. 나아가 원고는 교재 매출 중 약 70%를 강사에게 지급하기로 약정
하였으나 이는 원고가 교재를 판매한 이후의 내부적인 정산문제에 불과하고 원고 스스
로도 강사 교재 매출 전액을 자신의 매출로 회계처리하고 있으므로, 강사에게 사후적
으로 지급되는 교재 대금을 관련 매출액에서 제외할 수는 없다. 또한 강사 교재 매출
에 포함된 배송매출의 경우 원고가 회원들로부터 교재 배송과정에서 배송비 명목으로 
지급받은 매출을 의미하는데, 교재 배송 역시 원고가 제공하는 교재 판매 서비스에 필
수적으로 부속된 서비스에 해당하므로 이를 강사 교재 매출과 분리하여 볼 수 없다. 
② 기타 상품판매 매출에는 EBS 교재 매입원가, 모의고사․기타 교재 매입원가, 
오프라인 모의고사 매출이 포함되어 있다. 이와 관련된 외부 교재 판매 및 모의고사 
- 14 -
서비스는 원고의 회원들에게 인터넷강의 서비스를 위해 제공된 것이고, 인터넷강의 서
비스와 관련 없는 교재․모의고사 관련 매출은 이미 관련 매출액에서 공제된 것으로 
보이므로, 외부 교재 판매 및 모의고사 서비스를 원고가 개인정보를 수집․보유함으로
써 제공하는 인터넷강의 서비스와 달리 보기 어렵다. 
③ 결합상품 매출 중 갤럭시버즈 라이브의 매입원가 부분은 원고가 인터넷강의 수
강 시 회원들에게 제공한 상품의 매입원가를 매출로 나타낸 것을 의미한다. 원고는 기
본적으로 인터넷강의를 홍보하고 수강을 촉진하기 위한 목적으로 상품을 제공한 것이
기 때문에 그 매출은 인터넷강의 서비스의 범위에 포함된다고 할 수 있다. 
3) 위반기간 산정의 위법 여부
가) 원고 주장의 요지
피고는 원고가 안전조치를 다하지 않은 기간을 ‘위반기간’으로 보아 그 위반기간이 2
년을 초과한다는 이유로 1차 조정에서 기준금액의 50%를 가산하였다. 그러나 개인정
보 보호법 제64조의2 제1항 제9호는 위반행위의 대상을 ‘개인정보의 유출행위’도 포함
하는 것으로 규정하고 있으므로, 위반기간은 ‘안전조치를 이행하지 않은 기간 중 개인
정보가 유출된 기간’이 되어야 한다. 그에 따르면 원고의 위반기간은 5일에 불과하므로 
1차 조정에서 기준금액을 가산할 수 없다. 
나) 관련 법리
법은 원칙적으로 불특정 다수인에 대하여 동일한 구속력을 갖는 사회의 보편타당한 
규범이므로 이를 해석함에 있어서는 법의 표준적 의미를 밝혀 객관적 타당성이 있도록 
하여야 하고, 가급적 모든 사람이 수긍할 수 있는 일관성을 유지함으로써 법적 안정성
이 손상되지 않도록 하여야 한다. 한편 실정법은 보편적이고 전형적인 사안을 염두에 
- 15 -
두고 규정되기 마련이므로 사회현실에서 일어나는 다양한 사안에서 그 법을 적용함에 
있어서는 구체적 사안에 맞는 가장 타당한 해결이 될 수 있도록 해석할 것도 또한 요
구된다. 요컨대 법해석의 목표는 어디까지나 법적 안정성을 저해하지 않는 범위 내에
서 구체적 타당성을 찾는 데 두어야 한다. 나아가 그러기 위해서는 가능한 한 법률에 
사용된 문언의 통상적인 의미에 충실하게 해석하는 것을 원칙으로 하면서, 법률의 입
법취지와 목적, 그 제․개정연혁, 법질서 전체와의 조화, 다른 법령과의 관계 등을 고
려하는 체계적․논리적 해석방법을 추가적으로 동원함으로써, 위와 같은 법해석의 요
청에 부응하는 타당한 해석을 하여야 한다(대법원 2023. 4. 13. 선고 2021다271725 판
결 등 참조).
다) 관련 규정의 개정 경과
① 과거 구 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣(2020. 2. 4. 법률 
제16955호로 개정되기 전의 것)은 정보통신서비스 제공자의 개인정보 보호조치의무를, 
구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것)은 일반 개인정보
처리자의 개인정보 안전조치의무를 각각 규정하고 있었으나, 2020. 2. 4. 법률개정으로 
인하여 정보통신서비스 제공자의 보호조치의무에 관한 규정이 개인정보 보호법으로 이
관되었다. 
② 그에 따라 구 개인정보 보호법(2023. 9. 15. 법률 제19234호로 개정되기 전의 
것)은 정보통신서비스 제공자 및 일반 개인정보처리자의 안전조치의무 위반과 관련된 
과징금 부과에 관하여 아래와 같이 각각 규정하고 있었다. 
제34조의2(과징금의 부과 등) ① 보호위원회는 개인정보처리자가 처리하는 주민등록번호가 
분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과ㆍ징수할 
- 16 -
③ 이후 개인정보 보호법이 2023. 9. 15. 개정됨에 따라 정보통신서비스 제공자 및 
일반 개인정보처리자의 안전조치의무와 관련된 규정이 일원화 되었고, 안전조치의무 
위반과 관련된 과징금 부과 규정도 아래와 같이 통합․신설되었다. 
라) 구체적 판단
개인정보 보호법의 입법취지와 목적, 개정연혁과 이유, 법질서 전체와의 조화 등을 
고려하면, 개인정보 보호법 제64조의2 제1항 제9호는 개인정보 유출이 발생한 경우 그 
개인정보처리자의 안전조치의무 위반을 제재하기 위한 규정으로 봄이 타당하므로, 그 
위반기간은 개인정보처리자가 안전조치의무를 위반한 기간을 의미한다고 보아야 한다. 
수 있다. 다만, 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 
개인정보처리자가 제24조 제3항에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러
하지 아니하다.
제39조의15(과징금의 부과 등에 대한 특례) ① 보호위원회는 정보통신서비스 제공자등에게 
다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등
에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 
수 있다.
5. 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 제29조의 
조치(내부 관리계획 수립에 관한 사항은 제외한다)를 하지 아니한 경우(제39조의14에 
따라 준용되는 경우를 포함한다)
제64조의2(과징금의 부과) ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 
해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금
을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 
정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
9. 개인정보처리자가 처리하는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우. 
다만, 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손되지 아니하도록 개인정보처리자
가 제29조(제26조 제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필
요한 조치를 다한 경우에는 그러하지 아니하다.
- 17 -
따라서 원고가 2016. 4. 16.부터 2024. 3. 27.까지 안전조치의무를 위반한 이상 피고가 
위반기간이 2년을 초과한다고 보아 1차 조정에서 기준금액의 50%를 가중한 것은 적법
하다. 그 구체적인 이유는 다음과 같다. 
① 개인정보 보호법 제29조가 개인정보처리자에게 개인정보의 안전조치의무를 부
과하고 있으므로, 그 이행을 강제하기 위한 행정제재 수단이 필요하다. 물론 개인정보 
보호법 제75조 제2항 제5호는 제29조에 따른 안전조치를 하지 아니한 자에게 과태료
를 부과한다고 규정하고 있긴 하나, 그러한 의무 위반이 개인정보 유출이라는 중대한 
결과의 원인이 되었을 경우 과태료만으로는 개인정보처리자의 책임을 묻기 부족한 측
면이 있다. 이에 개인정보 보호법 제64조의2 제1항 제9호는 개인정보처리자가 제29조
에 따른 안전조치를 다하지 않은 상태에서 개인정보가 유출된 경우를 전제로 과징금을 
부과하도록 규정하고 있는데, 이는 기본적으로 안전조치의무 위반에 관한 책임을 묻되 
개인정보 유출이라는 결과가 발생한 경우 과태료보다 가중한 제재를 하기 위한 것으로 
이해된다. 
② 구 개인정보 보호법(2023. 9. 15. 법률 제19234호로 개정되기 전의 것) 제39조
의15 제1항 제5호는 ‘이용자의 개인정보를 유출한 경우로서 제29조에 따른 안전조치를 
하지 않은 경우 과징금을 부과할 수 있다’고 규정하여 과거부터 정보통신서비스 제공
자의 안전조치의무 위반에 관하여 과징금을 부과하였다. 현행 개인정보 보호법 제64조
의2 제1항 제9호는 ‘개인정보처리자가 처리하는 개인정보가 유출된 경우 과징금을 부
과하되 제29조에 따른 안전조치를 다한 경우에는 그러하지 아니한다’고 규정하고 있긴 
하다. 그러나 정보통신서비스 제공자와 일반 개인정보처리자에 관한 규제를 일원화하
기 위하여 구법 제34조의2 제1항과 제39조의15 제1항 제5호가 현행법 제64조의2 제1
- 18 -
항 제9호로 통합․신설되었는데, 법률 개정 당시 논의된 자료들에 의하더라도 이는 단
순히 과징금 부과 규정을 구법 제34조의2 제1항의 조문 형식에 맞추어 일원화한 것에 
불과하다고 보인다. 이러한 입법경위를 고려하면, 입법자가 개인정보 보호법 개정을 통
하여 종전과 달리 개인정보 유출 자체에 초점을 맞추어 과징금을 부과하겠다는 의사를 
나타냈다고 보기 어렵다. 
③ 이처럼 개인정보 보호법 제64조의2 제1항 제9호는 안전조치의무 미이행이라는 
위반행위를 제재하려는 규정이므로, 그 위반기간은 개인정보처리자가 안전조치의무를 
이행하지 않은 기간이 되어야 한다. 과징금 부과기준 제3조 제2항 역시 이와 같은 취지
에서 ‘위반기간을 산정하면서 위반행위의 개시일 또는 종료일이 불분명한 경우에는 위
반행위자의 영업ㆍ재무 관련 자료, 임직원ㆍ정보주체 등의 진술, 동종ㆍ유사 업종을 영
위하는 다른 개인정보처리자의 영업 및 거래실태ㆍ관행 등을 고려하여 이를 산정할 수 
있다’고 규정하고 있는데, 위반기간을 ‘개인정보가 유출된 기간’으로 본다면 그 성질상 
이러한 위반기간 추정 규정이 그대로 적용되기 어렵다. 
④ 만약 원고의 주장과 같이 위반기간을 ‘개인정보가 유출된 기간’까지 고려하여 제
한적으로 보게 될 경우 개인정보처리자의 안전조치의무 위반과 상관없이 해커의 공격이 
얼마 동안 이어지는지, 해커의 공격을 어느 시점에 발견하는지 등과 같은 우연한 요소
에 따라 과징금의 액수가 달라지는 불합리한 결과가 초래된다. 
다. 비례원칙 위반 여부
앞서 든 증거 및 변론 전체의 취지에 의하여 알 수 있는 아래 사정들을 종합하면, 
피고가 결정한 과징금이 지나치게 가혹하거나 비례원칙에 반하여 재량권을 일탈․남용
하였다고 보기 어려우므로, 이 사건 과징금 처분은 적법하다. 
- 19 -
1) 원고가 이 사건 사이트에 안전조치의무를 제대로 이행하지 않았기 때문에 개인정
보 유출이 발생하였고, 그 결과 직원 25명 및 회원 95,171명의 ID와 일부가 가려진 이
름․휴대전화번호․이메일주소 정보가 유출되었다는 점에서 그 피해규모가 결코 경미
하다고 할 수 없다[원고는 ID의 경우 개인정보에 해당하지 않는다고 주장하나 ID와 함
께 일부가 가려진 이름․휴대전화번호․이메일주소가 함께 유출된 이상 다른 정보와 
쉽게 결합하여 특정 개인을 알아볼 수 있으므로 ID 역시 개인정보에 포함된다(개인정
보 보호법 제2조 1호 나.목)]. 
2) 유출된 이름․휴대전화번호․이메일주소가 일부 가려져 있어 정보주체들의 피해가 
적었던 점, 원고가 과거부터 이 사건 사이트 보안에 투자해온 점 등을 고려하여 피고는 
위반행위의 방법을 ‘하’, 위반행위자가 처리하는 개인정보의 유형을 ‘하’, 정보주체의 피
해 규모를 ‘하’로 평가하였다. 다만 원고가 모의해킹을 통해 XSS 취약점을 알았고 입력
값 검증과 같은 XSS 공격을 자동차단할 수 있는 정책을 적용할 수 있었는데도 이를 제
대로 이행하지 않았다고 보아 고의․과실을 ‘중’으로 평가한 후, 최종적인 위반행위의 
중대성을 가장 경미한 ‘약한 위반행위’로 평가하였는데, 이러한 판단은 충분히 수긍할 
수 있고, 피고에게 주어진 재량권을 일탈․남용한 것이라 보기 어렵다.
3) 원고는 개인정보 유출에 따라 과징금을 부과한 유사사례와 비교할 때 과징금 액
수가 지나치게 크다고 주장하나, 원고가 비교대상으로 삼은 유사사례는 위반행위의 태
양과 성격, 내용과 정도가 이 사건과 상이하므로, 위 유사사례와 이 사건을 동일선상에
서 비교하는 것이 합리적이라고 보기 어렵다. 
4. 이 사건 공표명령의 위법 여부
개인정보 보호법령에 의하면, 피고는 과징금 부과처분을 한 경우에는 처분을 받은 
- 20 -
자에게 해당 처분을 받았다는 사실을 공표할 것을 명할 수 있고(법 제66조 제2항), 이 
경우 피고는 위반행위의 내용 및 정도, 위반기간 및 횟수, 위반행위로 인하여 발생한 
피해의 범위 및 결과 등을 고려해야 한다(시행령 제61조 제3항). 이 사건 과징금 처분
이 적법하다는 점은 앞서 본 바와 같고, 원고의 위반행위로 인하여 다수 정보주체의 
개인정보가 유출된 점, 원고의 위반기간이 8년에 달하는 점 등을 고려하면, 이 사건 공
표명령이 비례원칙에 반하여 재량권을 일탈․남용하였다고 보기도 어렵다. 
5. 결론
그렇다면 원고의 청구는 이유 없으므로 기각하고, 소송비용은 패소한 원고가 부담하
도록 정하여, 주문과 같이 판결한다.
- 21 -
[별지]
관계 법령
◈ 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것)
제34조의2(과징금의 부과 등) ① 보호위원회는 개인정보처리자가 처리하는 주민등록번호가 분
실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과ㆍ징수할 수 
있다. 다만, 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 개인
정보처리자가 제24조 제3항에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 
아니하다.
제39조의15(과징금의 부과 등에 대한 특례) ① 보호위원회는 정보통신서비스 제공자등에게 다
음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 
위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있
다.
5. 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 제29조의 조
치(내부 관리계획 수립에 관한 사항은 제외한다)를 하지 아니한 경우(제39조의14에 따라 
준용되는 경우를 포함한다)
◈ 개인정보 보호법
제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 
말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 
수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인
을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 
사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손
되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안
전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
제64조의2(과징금의 부과) ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해
당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 
부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정
하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
9. 개인정보처리자가 처리하는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우. 다
- 22 -
만, 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손되지 아니하도록 개인정보처리자가 
제29조(제26조 제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 
조치를 다한 경우에는 그러하지 아니하다.
② 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 전체 매출액에서 위반행위와 관련이 
없는 매출액을 제외한 매출액을 기준으로 과징금을 산정한다.
④ 보호위원회는 제1항에 따른 과징금을 부과하는 경우에는 위반행위에 상응하는 비례성과 침
해 예방에 대한 효과성이 확보될 수 있도록 다음 각 호의 사항을 고려하여야 한다.
1. 위반행위의 내용 및 정도
2. 위반행위의 기간 및 횟수
3. 위반행위로 인하여 취득한 이익의 규모
4. 암호화 등 안전성 확보 조치 이행 노력
5. 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우 위반행위와의 관련성 및 분실ㆍ
도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손의 규모
6. 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부
7. 개인정보처리자의 업무 형태 및 규모
8. 개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향
9. 위반행위로 인한 정보주체의 피해 규모
10. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력
11. 보호위원회와의 협조 등 위반행위를 시정하기 위한 조치 여부
⑥ 제1항에 따른 과징금은 제2항부터 제5항까지를 고려하여 산정하되, 구체적인 산정기준과 
산정절차는 대통령령으로 정한다.
제66조(결과의 공표) ② 보호위원회는 제61조에 따른 개선권고, 제64조에 따른 시정조치 명
령, 제64조의2에 따른 과징금의 부과, 제65조에 따른 고발 또는 징계권고 및 제75조에 따른 
과태료 부과처분 등을 한 경우에는 처분 등을 받은 자에게 해당 처분 등을 받았다는 사실을 
공표할 것을 명할 수 있다.
③ 제1항 및 제2항에 따른 개선권고 사실 등의 공표 및 공표명령의 방법, 기준 및 절차 등은 
대통령령으로 정한다.
제75조(과태료) ② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부
과한다.
5. 제23조 제2항ㆍ제24조 제3항ㆍ제25조 제6항(제25조의2 제4항에 따라 준용되는 경우를 
포함한다)ㆍ제28조의4 제1항ㆍ제29조(제26조 제8항에 따라 준용되는 경우를 포함한다)
를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자
◈ 개인정보 보호법 시행령
제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 
안전성 확보 조치를 해야 한다.
- 23 -
3. 개인정보에 대한 접근을 통제하기 위한 다음 각 목의 조치
가. 개인정보처리시스템에 대한 침입을 탐지하고 차단하기 위하여 필요한 조치
8. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다. 
제60조의2(과징금의 산정기준 등) ① 법 제64조의2제1항 각 호 외의 부분 본문에 따른 전체 
매출액은 위반행위가 있었던 사업연도(이하 이 조에서 “해당사업연도”라 한다) 직전 3개 사
업연도의 해당 개인정보처리자의 연평균 매출액으로 한다. 다만, 해당사업연도의 첫날 현재 
사업을 개시한 지 3년이 되지 않은 경우에는 그 사업개시일부터 직전 사업연도 말일까지의 
매출액을 연평균 매출액으로 환산한 금액으로 하며, 해당사업연도에 사업을 개시한 경우에는 
사업개시일부터 위반행위일까지의 매출액을 연매출액으로 환산한 금액으로 한다.
③ 법 제64조의2 제2항에 따른 위반행위와 관련이 없는 매출액은 제1항에 따른 전체 매출액 
중 다음 각 호의 어느 하나에 해당하는 금액으로 한다.
1. 개인정보의 처리와 관련이 없는 재화 또는 서비스의 매출액
2. 제4항에 따라 제출받은 자료 등에 근거하여 보호위원회가 위반행위로 인하여 직접 또는 
간접적으로 영향을 받는 재화 또는 서비스의 매출액이 아닌 것으로 인정하는 매출액
⑥ 법 제64조의2 제6항에 따른 과징금의 산정기준과 산정절차는 별표 1의5와 같다.
[별표1의5] 과징금의 산정기준과 산정절차(제60조의2 제6항 관련)
1. 과징금의 산정단계
과징금은 법 제64조의2제4항 각 호에 따른 고려 사항과 이에 영향을 미치는 행위를 종합적
으로 고려하여 제2호가목에 따라 산정된 기준금액에 같은 호 나목에 따른 1차 조정, 같은 
호 다목에 따른 2차 조정, 같은 호 라목에 따른 부과과징금 결정을 순차적으로 거쳐 산정한
다. 다만, 가중하는 경우에도 법 제64조의2제1항 각 호 외의 부분에 따른 과징금 금액의 상
한을 넘을 수 없다.
2. 과징금의 산정단계에 따른 산정방식과 고려 사유
가. 기준금액의 산정
1) 기준금액은 제60조의2제1항에 따른 전체 매출액에서 같은 조 제3항에 따른 위반행위와 
관련이 없는 매출액을 제외한 매출액에 위반행위의 중대성에 따라 다음과 같이 구분된 
과징금의 산정비율(이하 “부과기준율”이라 한다)을 곱하여 산출한 금액으로 한다. 
위반행위의 중대성 부과기준율
매우 중대한 위반행위 2.1% 이상 2.7% 이하
중대한 위반행위 1.5% 이상 2.1% 미만
보통 위반행위 0.9% 이상 1.5% 미만
약한 위반행위 0.03% 이상 0.9% 미만
- 24 -
3) 위반행위의 중대성은 다음의 사항을 종합적으로 고려하여 판단한다.
가) 위반행위의 내용 및 정도
나) 암호화 등 안전성 확보 조치 이행 노력
다) 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우 위반행위와의 관련성 및 분실
ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손의 규모
라) 개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향
마) 위반행위로 인한 정보주체의 피해 규모
나. 1차 조정
위반행위의 기간 및 횟수, 위반행위로 인하여 취득한 이익의 규모, 개인정보처리자의 업무 
형태 및 규모를 고려하여 가목에 따른 기준금액의 100분의 90의 범위에서 보호위원회가 정
하여 고시하는 기준에 따라 가중하거나 감경할 수 있다.
다. 2차 조정
다음의 사항(법 제64조의2제4항 각 호의 사항 중 가목에 따른 기준금액 산정 및 나목에 따
른 1차 조정 단계에서 고려된 사항은 제외한다)을 종합적으로 고려하여 1차 조정을 거친 금
액의 100분의 50의 범위에서 보호위원회가 정하여 고시하는 기준에 따라 가중하거나 감경할 
수 있다.
1) 보호위원회와의 협조 등 위반행위를 시정하기 위한 조치 여부
2) 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부
3) 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력
4) 위반행위의 주도 여부
5) 위반행위 사실의 자진신고 여부
라. 부과과징금의 결정
1) 다음의 사항을 고려하여 다목에 따라 산정된 과징금이 과중하다고 인정되는 경우에는 해
당 금액의 100분의 90 범위에서 감경할 수 있다.
가) 위반행위자의 현실적인 부담능력
나) 경제위기 등으로 위반행위자가 속한 시장ㆍ산업 여건이 현저하게 변동되거나 지속적으
로 악화된 상태인지 여부
2) 법 제64조의2 제5항 각 호의 어느 하나에 해당하는 경우에는 과징금을 부과하지 않을 수 
있다.
3. 세부 기준
매출액의 산정에 관한 세부 기준, 위반행위의 중대성 판단 기준, 1차 조정 및 2차 조정을 위
한 세부 기준, 부과과징금의 결정을 위한 세부 기준과 그 밖에 과징금의 부과에 필요한 사항
은 보호위원회가 정하여 고시한다.
- 25 -
◈ 개인정보의 안전성 확보조치 기준(개인정보보호위원회 고시)
제3조(안전조치의 적용 원칙) 개인정보처리자는 처리하는 개인정보의 보유 수, 유형 및 정보주
체에게 미치는 영향 등을 고려하여 스스로의 환경에 맞는 개인정보의 안전성 확보에 필요한 
조치를 적용하여야 한다.
제6조(접근통제) ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 
위해 다음 각 호의 안전조치를 하여야 한다. 
1. 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가
받지 않은 접근을 제한 
2. 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시
도 탐지 및 대응 
③ 개인정보처리자는 처리하는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 권한
이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자의 컴퓨터 
및 모바일 기기 등에 조치를 하여야 한다. 
◈ 구 개인정보의 기술적·관리적 보호조치 기준(2023. 9. 23. 개인정보보호위원회 고시 
제2023-7호로 폐지되기 전의 것)
제4조(접근통제) ⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 
방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치ㆍ운영하여야 한다. 
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 
제한 
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지 
⑨ 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통
하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 
개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다. 
◈ 개인정보 보호법 위반에 대한 과징금 부과기준(개인정보보호위원회 고시)
제2조(정의) 이 고시에서 사용하는 용어의 뜻은 다음과 같다. 
1. "위반행위"란 법을 위반하여 법 제64조의2 제1항 각 호에 따른 과징금 부과 대상이 되는 
행위를 말한다. 
제3조(위반기간의 산정) ① 위반기간은 위반행위의 개시일부터 종료일까지의 기간을 말한다. 
다만, 위반행위가 과징금 부과처분을 명하는 보호위원회의 심의종결일까지 종료되지 아니한 
경우에는 해당 사건에 대한 보호위원회의 심의종결일을 위반행위의 종료일로 본다. 
② 제1항에 따른 위반기간을 산정하면서 위반행위의 개시일 또는 종료일이 불분명한 경우에는 
위반행위자의 영업ㆍ재무 관련 자료, 임직원ㆍ정보주체 등의 진술, 동종ㆍ유사 업종을 영위
하는 다른 개인정보처리자의 영업 및 거래실태ㆍ관행 등을 고려하여 이를 산정할 수 있다.
- 26 -
제6조(기준금액) ① 기준금액은 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매
출액에 부과기준율을 곱한 금액으로 정한다. 
제7조(매출액 산정기준 판단 시 고려사항) ③ 영 제60조의2 제3항에 따라 보호위원회가 위반
행위와 관련이 없는 매출액으로 인정하는 매출액의 판단 시에는 다음 각 호의 사항을 종합
적으로 고려할 수 있다. 
1. 재화ㆍ서비스의 종류ㆍ성질, 공급 또는 제공 방식 등에 따른 독자성과 부속성의 정도 
2. 재화ㆍ서비스를 이용하는 정보주체가 별개의 재화ㆍ서비스로 합리적으로 인식 가능한 정도 
3. 위반행위의 대상이 된 개인정보의 범주ㆍ특성 
4. 개인정보파일ㆍ개인정보처리시스템의 관리ㆍ운영 방식의 분리 또는 연계 여부 등 독자성
의 정도 
5. 개인정보 처리방침 또는 이용계약ㆍ약관 등에서 규정한 재화ㆍ서비스의 범위 
6. 통계청장이 고시하는 「한국표준산업분류」상 분류 또는 위반행위자의 품목별 또는 업종
별 매출액 등의 회계단위 
7. 그 밖에 제1호부터 제6호까지에 준하는 사항 
④ 재화ㆍ서비스의 유형ㆍ이용 방식 등이 유사하면 공급 또는 제공되는 지역ㆍ범위 등에 관계
없이 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 재화ㆍ서비스로 볼 수 있다. 
제8조(중대성의 판단) ① 영 [별표 1의5] 제2호가목 1) 및 2)에 따른 위반행위의 중대성의 정
도는 [별표] 위반행위의 중대성 판단기준을 기준으로 정한다. 
제9조(1차 조정) ① 위반행위자가 다음 각 호의 어느 하나에 해당하는 경우에는 기준금액에 
다음 각 호와 같이 과징금을 가산한다. 
1. 위반기간이 1년을 초과하는 경우 
가. 위반기간이 1년 초과 2년 이내인 경우 : 기준금액의 100분의 25에 해당하는 금액을 
가산 
나. 위반기간이 2년을 초과하는 경우 : 기준금액의 100분의 50에 해당하는 금액을 가산 
② 위반행위자가 다음 각 호의 어느 하나에 해당하는 경우에는 기준금액에 다음 각 호와 같이 
과징금을 감경한다. 
1. 위반행위로 인하여 경제적ㆍ비경제적 이득을 취하지 아니하였거나 취할 가능성이 현저히 
낮은 경우 : 기준금액의 100분의 30 이하에 해당하는 금액을 감경 
제10조(2차 조정) ② 위반행위자가 다음 각 호의 어느 하나에 해당하는 경우에는 1차 조정을 
거친 금액에 다음 각 호와 같이 추가적으로 과징금을 감경할 수 있다. 
1. 보호위원회와의 협조 등 위반행위를 시정하기 위하여 조치한 경우로서 다음 각 목의 어
느 하나에 해당하는 경우 
나. 보호위원회의 조사기간 중에 일관되게 행위사실을 인정하면서 위법성 판단에 도움이 
되는 자료를 제출하거나 진술하는 등 조사에 적극 협력한 경우 : 1차 조정을 거친 금
액의 100분의 30 이하에 해당하는 금액을 감경 
- 27 -
[별표] 위반행위의 중대성 판단기준(제8조 제1항 관련)
[끝]
부과수준
고려사항
상 중 하
고의·과실
위반행위가 위반행위자의 고
의에 의한 경우 또는 중대한 
과실에 의한 경우로서 특히 
참작할 사유가 없는 경우
위반행위가 위반행위자의 
중대한 과실에 의한 경우
로서 특히 참작할 사유가 
있는 경우
상 또는 중에 해당되지 
않는 경우
위반행위의 방법
위반행위의 방법 및 수단을 
고려할 때 부당성이 현저히 
큰 경우
위반행위의 방법 및 수단
을 고려할 때 부당성이 
상당한 경우
상 또는 중에 해당되지 
않는 경우
위반행위자가 
처리하는 개인정보의 
유형
위반행위의 대상이 된 개인
정보가 민감정보 또는 고유
식별정보인 경우
위반행위의 대상이 된 개
인정보가 인증정보인 경
우
상 또는 중에 해당되지 
않는 경우
위반행위로 인한 
정보주체의 피해 규모 
및 정보주체에게 
미치는 영향
정보주체에게 현저한 피해를 
입혔거나 입힐 가능성이 높
은 경우
정보주체에게 상당한 피
해를 입혔거나 입힐 가능
성이 높은 경우
상 또는 중에 해당되지 
않는 경우