[행정 판결문] 서울행정법원 2023구합84236 - 시정명령및과징금납부명령취소

 

[행정] 서울행정법원 2023구합84236 - 시정명령및과징금납부명령취소.pdf

0.34MB

[행정] 서울행정법원 2023구합84236 - 시정명령및과징금납부명령취소.docx

0.03MB

 

 

- 1 -
서 울 행 정 법 원
제 2 부
판 결
사 건 2023구합84236 시정명령및과징금납부명령취소
원 고 A 주식회사
피 고 개인정보보호위원회
변 론 종 결 2025. 9. 25.
판 결 선 고 2025. 11. 6.
주 문
1. 원고의 청구를 모두 기각한다.
2. 소송비용은 원고가 부담한다.
청 구 취 지
피고가 2023. 6. 28. 심의ㆍ의결 제2023-011-014호로 원고에게 한 [별지 1] 목록 기재 
처분 중 제1의 나항 후단 기재 시정명령 및 제2항 기재 과징금 납부명령을 모두 취소
한다.
이 유
- 2 -
1. 처분의 경위
가. 원고는 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 
제16955호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다)에 따른 정보통신서
비스 제공자이자 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 
이하 같다)에 따른 개인정보처리자 및 정보통신서비스 제공자로서, B계정, B클라우드, 
B닷컴 온라인스토어(이하 ‘온라인스토어’라 한다) 등을 운영하면서 아래와 같이 이용자의 
개인정보를 수집ㆍ보유하고 있었다. 
구분 항목 수집일
건수(명)
(2020. 7. 8. 기준)
회원 
정보
(필수) 이름, 생년월일, 아이디(이메일 주소, 전화번호), 
비밀번호, 국가, 기기 정보, 2단계 인증 전화번호
(선택) Cl(본인인증), 성별, 전화번호, 별명, 회사
2011년~
계속
(한국) 43,489,156
(글로벌) 1,134,991,645
휴면회원 
정보
아이디, 비밀번호, GUID(내부 이용자 식별값)
2011년~
계속
(한국) 11,239,460
합계 1,189,720,261
[B계정의 개인정보 수집현황]
구분 항목
동기화
달력(Calendar), 주소록(Contact), Samsung Notes, S Note, Samsung Pass, 사진ㆍ동영상
(Gallery), 블루투스(Bluetooth), 메모(Memo), 알람(Reminder), Samsung Internet, Scrapbook
백업
전화(Phone), 문자(Message), 주소록(Contact), 달력(Calendar), 시계(Clock), 설정(Settings), 
Samsung Daily, 홈화면 구성(HomeScreen), 앱 데이터(Apps), 문서(Document), 음성 녹음
(Voice recorder), 음악(Music)
[B클라우드에 동기화 및 백업될 수 있는 개인정보]
비실명화로 생략
비실명화로 생략
- 3 -
구분 항목 수집일
건수(명)
(2021. 6. 7. 기준)
회원 
정보
(필수) 이름, 생년월일, GUID(내부 이용자 식별값)
(선택) 모바일, 이메일 주소, 전화번호, 주소 등
2020. 10. 31. 
~ 계속
(유효) 6,422,604
(분리) 236,620
합계 6,659,224
[온라인스토어의 개인정보 수집현황]
나. 원고는 피고에게 2020. 1. 8., 2020. 4. 10., 2020. 4. 22., 2020. 4. 29., 2020. 5. 
13., 2021. 5. 7. 총 6차례에 걸쳐 B계정, B클라우드, 온라인스토어의 개인정보 유출신
고를 하였다. 
다. 이에 피고는 원고의 구 정보통신망법 및 구 개인정보 보호법 위반 여부를 조사
하였고, 그 결과 ➀ 2020. 4. 10. 유출신고와 관련하여 B계정 내 ‘개인정보’ 메뉴에서 최
소 26명의 이름, 생년월일이 유출되었고(이하 ‘1차 신고 사건’이라 한다), ➁ 2020. 4. 
29. 및 2020. 5. 13. 유출신고와 관련하여 B클라우드에서 최소 76개 계정의 사진, 동영
상 등이 유출되었으며(이하 통틀어 ‘2차 신고 사건’이라 한다), ➂ 2021. 5. 7. 유출신고
와 관련하여 온라인스토어에서 최소 19명의 이름, 주소, 휴대전화번호 등이 유출되었음
(이하 ‘3차 신고 사건’이라 한다)을 확인하였다.1) 
라. 피고는, 원고가 아래와 같이 구 정보통신망법, 구 정보통신망 이용촉진 및 정보
보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호 개정되기 전의 것, 이하 
‘구 정보통신망법 시행령’이라 한다), 구 개인정보의 기술적ㆍ관리적 보호조치 기준
(2020. 12. 10. 방송통신위원회고시 제2020-8호로 폐지되기 전의 것, 이하 ‘구 방통위 
고시’라 한다) 및 구 개인정보 보호법, 구 개인정보 보호법 시행령(2023. 9. 12. 대통령령 
1) 피고는 조사 과정에서 2020. 1. 8. 및 2020. 4. 22. 유출신고의 경우 원고의 의무위반이 인정되지 않는다고 보아 종결 처리하
였다.
비실명화로 생략
- 4 -
제33723호로 개정되기 전의 것, 이하 같다), 구 개인정보의 기술적ㆍ관리적 보호조치 
기준(2023. 9. 22. 개인정보보호위원회고시 제2023-7호로 폐지되기 전의 것, 이하 ‘구 
개보위 고시’라 한다) 등을 위반하였다는 이유로, 2023. 6. 28. 원고에게 ➀ [별지 1] 
제1항 기재와 같이 시정조치를 명하고(이하 위 시정명령 중 [별지 1] 제1의 나항 후단 
기재 시정명령2)을 ‘이 사건 시정명령’이라 한다), ➁ 3차 신고 사건과 관련하여3) [별지 1] 
제2항 기재와 같이 과징금 875,583,000원을 부과하고(이하 ‘이 사건 과징금 납부명령’
이라 한다), ➂ 1차 내지 3차 신고 사건과 관련하여 과태료 14,000,000원을 부과하였다.
2) “특히, 원고는 침해사고 방지를 위해 개인정보처리시스템에 대한 불법적인 접근이 의심되는 IP주소 및 도용이 의심되는 계정 
등을 재분석하여 개인정보 유출 시도를 탐지ㆍ차단하여야 한다.”는 부분
3) 피고는 1차 및 2차 신고 사건에 대하여는 과징금 부과를 시정조치의 명령으로 갈음하였다.
구분 위반행위 구체적 처분사유 근거 법령
1차 
신고 
사건
개인정보의 
보호조치 
위반
원고는 2020. 3. 8. DB 변경(Oracle DB → Postgre SQL 
DB) 과정에서 DB별 데이터 처리방식 차이에 대한 이해를 
소홀히 하여, 기존 만 14세 미만 이용자 260명의 개인
정보가 2020. 3. 8. 이후 가입한 만 14세 미만 가입자의 
개인정보로 잘못 변경되었으며, 이 중 최소 26명의 이용
자가 다른 이용자의 개인정보(이름, 생년월일)를 열람한 
사실이 있다.
원고는 기존 DB와 신규 DB 제품 간 데이터 처리 방식의 
차이를 고려하지 않고 DB 교체과정에서 개인정보의 정
합성을 확인하지 않는 등 권한이 없는 자에게 개인정보
가 공개되지 않도록 개인정보에 대한 접근통제를 위하여 
필요한 조치를 소홀히 하였다.
구 정보통신망법 제28조
제1항 제2호, 구 정보통
신망법 시행령 제15조 
제2항 제5호, 구 방통위 
고시 제4조 제9항(열람 
권한이 없는 자에게 공개
되거나 유출되지 않도록 
필요한 조치를 취하지 
않은 행위)
2차 
신고 
사건
개인정보의 
보호조치 
위반
원고는 자체 침입차단 방침 등에 따라 불법 접근이 의심
되는 IP주소를 차단하고, 계정의 비밀번호를 초기화하는 
등의 조치를 하였으나, 계정 도용 등으로 로그인에 성공한 
것으로 의심되는 계정에 대한 개인정보 유출 여부 등에 
구 정보통신망법 제28조
제1항 제2호, 구 정보통
신망법 시행령 제15조 
제2항 제2호, 구 방통위 
[원고에 대한 처분사유]
- 5 -
[인정근거] 다툼 없는 사실, 갑 제1호증(가지번호 포함, 이하 같다)의 기재, 변론 전체의 
취지
2. 관계 법령
[별지 2] 기재와 같다.
3. 이 사건 시정명령의 위법 여부
가. 원고의 주장
2차 신고 사건은 신원미상의 자가 이미 획득한 계정 정보를 이용하여 B클라우드
에 정상적으로 로그인하여 발생한 사건으로, 원고의 입장에서 그 신원미상의 자가 정
구분 위반행위 구체적 처분사유 근거 법령
대해서는 분석하지 않은 사실이 있다.
원고는 신원미상의 자가 도용한 것으로 의심되는 아이
디와 비밀번호로 로그인에 성공한 이후 이용자의 개인정
보가 조회ㆍ다운로드 되었는지 여부 등에 대해 분석하지 
않았다.
고시 제4조 제5항(불법
적인 접근 및 침해사고 
방지를 위한 개인정보처
리시스템에 대한 침입 
탐지ㆍ차단 시스템 운영
을 소홀히 한 행위)
3차 
신고 
사건
안전조치
의무
위반
원고는 2021. 3. 23. 온라인스토어 시스템 기능 수정 
작업 중 개발상 과실로 ‘주문 배송지 리스트’ 페이지에 
로그인 여부(세션)를 확인하는 로직을 누락하였으며, 이로 
인해, 회원 식별번호('0')가 동일한 배송지 정보가 총 65건
(중복 3건 포함) 생성되었으며, 이용자가 2021. 5. 4. 온
라인스토어에 로그인하여 주문배송지 정보를 변경하는 
과정에서 회원 식별번호가 '0'으로 설정되어 있는 다른 
이용자의 배송지 정보(이름, 주소, 휴대전화번호)를 열람
한 사실이 있다.
원고는 시스템 기능 수정 작업 시 로그인 여부를 확인
하는 로직을 누락하는 등 개인정보에 대한 접근통제를 
위하여 필요한 조치를 소홀히 하였다.
구 개인정보 보호법 제
29조, 구 개인정보 보호법 
시행령 제48조의2 제1항 
제2호, 구 개보위 고시 
제4조 제9항(열람 권한이 
없는 자에게 공개되거나 
유출되지 않도록 필요한 
조치를 취하지 않은 행위)
- 6 -
상 이용자인지 여부를 확인하여 사전에 차단하는 것은 불가능하다. 2020. 1. 8. 유출신
고 사건도 B계정 정보를 획득한 신원미상의 자가 특정 연예인에 대한 공갈 목적으로 
B클라우드에 접근한 사건이었는데(이하 ‘연예인 계정 도용 사건’이라 한다), 피고는 이
에 대하여 아무런 처분 없이 종결 처리한 바 있다. 원고는 2차 신고 사건을 인지한 이
후 IP주소 등 로그 분석을 진행하여 2차 인증 없이 접속할 수 있는 기존 접속경로 차
단, 2차 인증에 해외 전화번호 사용 금지, B클라우드 웹에서 데이터 조회ㆍ다운로드 차단 
등 추가적인 개인정보 유출을 막기 위한 최선의 조치를 다하였고, 이 사건 시정명령만
으로는 원고가 어떠한 추가 조치를 취했어야 하는지도 알 수 없다. 따라서 이 사건 시
정명령은 처분사유가 존재하지 않으므로 위법하다.
나. 관련 규정
구 정보통신망법 제28조 제1항은 ‘정보통신서비스 제공자등이 개인정보를 처리할 
때에는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손을 방지하고 개인정보의 
안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적ㆍ관
리적 조치를 하여야 한다’고 규정하면서 제2호에서 ‘개인정보에 대한 불법적인 접근을 
차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ㆍ운영’을 들고 있다. 그 위임에 
따른 구 정보통신망법 시행령 제15조 제2항 본문은 ‘정보통신서비스 제공자등은 개인
정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다’고 
규정하면서 제2호에서 ‘개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 
설치ㆍ운영’을 들고 있고, 같은 조 제5항은 ‘방송통신위원회는 제1항부터 제5항까지의 
규정에 따른 사항을 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 
한다’고 규정하고 있다. 그 위임에 따른 구 방통위 고시 제4조 제5항은 ‘정보통신서비스 
- 7 -
제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 
기능을 포함한 시스템을 설치ㆍ운영하여야 한다’고 규정하면서 제1호에서 ‘개인정보처리
시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한’을, 
제2호에서 ‘개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 
유출 시도를 탐지’를 들고 있다.
다. 인정사실
1) 2차 신고 사건 이전의 개인정보 유출 사건
가) 2019년경 신원미상의 자가 사전에 획득한 특정 연예인의 B계정 정보를 이용
하여 공갈 목적으로 B클라우드에 접근한 사건이 발생하였다(연예인 계정 도용 사건). 
나) 이에 대한 경찰 수사 및 언론 보도가 이루어지면서, 원고는 B계정 도용으로 
인한 이용자 피해 가능성이 높다고 판단하여 2020. 1. 8. 피고에게 개인정보 유출신고를 
하였고, 2020. 1. 14.부터 B클라우드 접속 시 아이디, 비밀번호 외에 휴대전화 등을 통한 
‘2차 인증’을 거쳐야 로그인이 가능하도록 하는 2차 인증절차를 도입하였다. 다만, 원고
는 2차 인증 없이 B클라우드 웹사이트에 접속할 수 있는 접속경로(이하 ‘기존 접속경
로’라 한다)를 유지하였다. 
다) 피고는 연예인 계정 도용 사건에 대한 조사를 진행하고, 원고의 의무위반이 
인정되지 않는다고 보아 종결 처리하였다. 
2) 2차 신고 사건의 경과
가) 신원미상의 자는 2020. 2. 15.부터 기존 접속경로를 통하여 B클라우드 접속
을 시도하였고, 접속에 성공한 6개 계정 중 5개 계정에서 사진, 동영상 등을 조회ㆍ다
운로드하여 유출하였다. 
- 8 -
나) 원고에게 ‘로그인한 사실이 없음에도 다른 기기에서 B계정에 로그인되었다
는 메시지를 받았다’는 민원이 2020. 4. 10. 1건, 2020. 4. 17. 1건 접수되었고, 이후 
2020. 4. 24.부터 2020. 4. 29.까지 같은 내용의 민원 5건이 지속적으로 접수되자, 원고
는 IP주소 등 로그 분석을 진행하였다. 
다) 원고는 2020. 4. 29. 기존 접속경로를 통하여 B클라우드 접속이 이루어진 사
실을 확인하여 기존 접속경로를 차단하고 피고에게 유출신고를 하였다. 
라) 그런데 신원미상의 자는 2020. 4. 29.부터 B계정의 2차 인증수단 설정 페이
지에 접속을 시도하였고, 접속에 성공한 234개 계정의 2차 인증수단으로 자신이 보유
한 24개 휴대전화번호를 설정한 다음, B클라우드에 접속하여 71개 계정의 사진, 동영상 
등을 조회ㆍ다운로드하여 유출하였다. 
마) 원고에게 2020. 4. 29.부터 2020. 5. 11.까지 ‘로그인한 사실이 없음에도 다른 
기기에서 B계정에 로그인되었다는 메시지를 받았다’는 민원 5건, ‘2차 인증수단을 설정
한 사실이 없음에도 2차 인증수단이 설정되었다는 메시지를 받았다’는 민원 69건이 추
가로 접수되었다. 
바) 원고는 위 민원 69건을 제기한 이용자들의 개인정보 유출 여부를 분석한 
결과 18개 계정에서 사진, 동영상 등이 조회ㆍ다운로드된 사실을 확인하였고, 민원을 
제기하지 않았으나 위 민원 69건 분석 과정에서 확인된 해외 임시 전화번호로 2차 인
증수단이 설정된 계정을 자체적으로 분석한 결과 총 234개 계정을 발견하였고 그중 
54개 계정에서 사진, 동영상 등이 조회ㆍ다운로드된 사실을 확인하였다. 
사) 원고는 2020. 5. 12. 위 234개 계정의 2차 인증을 초기화하였고, 2020. 5. 
13. 피고에게 개인정보 유출신고를 하였다. 
- 9 -
3) 연예인 계정 도용 사건 및 2차 신고 사건 관련 원고의 조치
연예인 계정 도용 사건 및 2차 신고 신고 사건과 관련하여 원고가 개인정보의 
유출을 방지하기 위하여 행한 조치는 아래와 같다.
일자 원고의 조치
2019. 12. 31.
연예인 대상 공갈 범행에 사용되는 것으로 추정되는 단말 2대로부터 B
계정 접속 차단
2020. 1. 8. 위 단말 2대에서 로그인한 B계정 138개 잠금조치
2020. 1. 14. B클라우드 접속 시 2차 인증절차 도입
2020. 1. 17. 침임탐지차단 룰 업데이트
2020. 4. 10. B클라우드 회원가입, 재로그인 시 2차 인증 설정 의무화
2020. 4. 27. B계정 비밀번호 작성규칙 강화
2020. 4. 29. 기존 접속경로(2차 인증 없는 B클라우드 웹사이트 접속 경로) 차단
2020. 5. 4.
민원 접수된 사례에서 이용된 IP주소, 해외 임시 전화번호 차단,
해외 전화번호를 사용한 한국 B계정의 2차 인증 설정 금지
2020. 5. 5. 해외 IP주소로 B클라우드 웹에서 한국 이용자 아이디 로그인 차단
2020. 5. 6. 해외 임시 전화번호 678개를 사용한 B계정 2차 인증 설정 금지
2020. 5. 8. B클라우드 웹에서 데이터 조회ㆍ다운로드 차단
2020. 5. 말경
B클라우드 자체 이상거래탐지시스템 적용(단말별 로그인 계정 수 제
한, 계정별 로그인 가능 단말 수 제한)
2020. 6.경 가입 국가와 로그인 국가가 다를 경우 Email Pin Code 인증 추가
[인정근거] 다툼 없는 사실, 갑 제3, 14호증, 을 제2, 3, 7호증의 각 기재, 변론 전체의 
취지
라. 구체적 판단
위 인정사실, 앞서 든 증거, 및 변론 전체의 취지에 의하여 알 수 있는 다음과 같은 
사정을 종합하면, 원고가 구 정보통신망법 제28조 제1항 제2호, 구 정보통신망법 시행
령 제15조 제2항 제2호, 구 방통위 고시 제4조 제5항에 따른 개인정보에 대한 불법적
인 접근을 차단하기 위한 침임탐지ㆍ차단시스템 운영 조치를 다하지 않았다고 인정되
- 10 -
므로, 원고의 이 부분 주장은 이유 없다. 
1) 연예인 계정 도용 사건과 2차 신고 사건은 접속 IP주소, 발생시기 등이 상이한 
별개 사건이기는 하나, 성명불상의 자가 사전에 불상의 방법으로 획득한 B계정의 아이
디, 비밀번호를 이용하여 B클라우드에 접속하였다는 점에서 공통된다. 또한 B클라우드
가 저장ㆍ보유하는 개인정보 중에는 사진, 동영상과 같이 내밀한 사적 영역에 속하는 
정보가 있었다. 이에 비추어 보면, 2차 신고 사건 이전부터 B클라우드 이용자의 개인
정보가 유출될 위험이 현실화된 상태였다고 볼 수 있고, 이는 피고가 연예인 계정 도
용 사건과 관련한 원고의 의무위반을 인정하였는지 여부와는 직접적인 관련이 없다. 
2) 원고는 B계정 등의 개인정보 유출 위험성을 인식하고 2차 인증절차를 도입하
는 등의 조치를 취하였으나, 기존 접속경로를 그대로 유지하는 결정을 하였고, 이는 2
차 신고 사건의 발단이 되었다. 2차 인증절차 자체는 관계 법령에 따라 원고가 의무적
으로 설치ㆍ운영하여야 하는 침입탐지ㆍ차단시스템에 해당하지 않는다는 점을 고려하
더라도, 원고가 2차 인증이 적용되지 않는 기존 접속경로를 약 3개월간 유지하다가 이
용자들의 민원이 반복적으로 제기된 후에야 IP주소 등을 분석하여 기존 접속경로를 통
한 개인정보 유출 사실을 인지한 것은 그동안 원고의 개인정보 보호 조치가 충분하지 
않았음을 보여준다. 
3) 원고가 기존 접속경로를 차단하자, 성명불상의 자는 2차 인증수단으로 자신이 
보유한 휴대전화번호를 설정함으로써 2차 인증절차를 무력화하고 재차 개인정보를 유출
하였고, 그 과정에서 234개 계정의 2차 인증수단으로 자신이 보유한 24개의 휴대전화
번호를 설정하였다. 그런데 위와 같이 동일한 전화번호를 여러 계정의 2차 인증수단으로 
중복 설정하는 것은 통상적인 이용 행위라고 보기 어렵고, 위 24개의 휴대전화번호가 
- 11 -
모두 국내 전화번호가 아닌 해외 전화번호로 보인다는 점에서 더욱 이례적이다. 그럼
에도 불구하고 원고는 이러한 정황을 사후적으로 69건의 민원을 분석하는 과정에서야 
인식하였는바, 원고가 보다 효과적인 침입탐지ㆍ차단시스템을 운영하였다면 위와 같은 
추가적인 개인정보 유출을 방지할 수 있었을 것으로 보인다. 
4) B계정, B클라우드 등의 정보통신서비스를 제공하는 주체는 원고이므로, 이 사
건 시정명령에 원고가 사전적으로 이행했어야 하는 조치의 내용이 구체적으로 포함될 
수 없음은 불가피하고, 이 사건 시정명령의 내용이 관계 법령에서 정보통신서비스 제공
자에게 설치ㆍ운영할 것을 요구하고 있는 침입탐지ㆍ차단시스템의 범위에서 벗어난 것
으로 보이지는 않는다. 또한 원고가 2차 신고 사건을 인지한 이후 취한 다양한 조치는 
2차 신고 사건 발생 이전에 기술적으로 구현이 어려웠다거나 보편적으로 알려지지 않
은 정보보안 기술에 속한다고 보기 어렵다. 이러한 점에 비추어 보더라도, 원고가 2
차 신고 사건 당시 B클라우드에서 수집ㆍ보유하는 개인정보에 대하여 사회통념상 합
리적으로 기대 가능한 정도의 보호조치를 다하였다고 볼 수 없다. 
5) 원고는 2차 신고 사건을 전후로 다양한 침입ㆍ탐지차단시스템을 설치ㆍ운영하
였고, 자체적인 분석을 통하여 이용자가 인식하지 못한 개인정보 유출까지 확인하기도 
하였다. 또한 2차 신고 사건의 원인이 전적으로 정보통신서비스 제공자인 원고에게만 
있다고 보기는 어렵고, 2차 신고 사건으로 인한 유출된 정보의 규모가 비교적 크지 않
으며, 그로 인한 추가 피해도 확인되지 않았다. 그러나 이러한 사정은 처분의 수위를 
정하는 단계에서 고려되면 족하고, 이에 따라 피고도 원고에게 과징금 부과에 갈음하여 
이 사건 시정명령을 하였다. 
4. 이 사건 과징금 납부명령의 위법 여부
- 12 -
가. 원고의 주장
피고는 유출 규모가 100명 미만이거나 사소한 부주의 또는 오류로 인한 경우 등 
경미한 위반행위에 대해서 과징금을 면제하여 왔다. 3차 신고 사건은 원고의 수탁사 
직원의 단순 실수로 온라인스토어 이용자 19명의 개인정보가 단 1명의 이용자에게 노출
된 사건으로 과징금 감면 사유가 존재한다. 1차 및 2차 신고 사건과 달리 3차 신고 사
건에서 문제된 온라인스토어는 제조업을 영위하는 원고의 특성상 매출액이 높게 산정
될 수밖에 없다. 따라서 이 사건 과징금 납부명령은 평등의 원칙, 신뢰보호의 원칙, 비
례의 원칙을 위반하여 재량권을 일탈ㆍ남용한 것이다.
나. 관련 규정 및 법리
1) 구 개인정보 보호법 제39조의15는 제1항 제5호에서 ‘피고는 정보통신서비스 제
공자등에게 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 
제29조의 조치를 하지 아니한 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 
관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다’고 규정
하고, 제3항에서 ‘제1항에 따른 과징금을 부과하려면 위반행위의 내용 및 정도(제1호), 
위반행위의 기간 및 횟수(제2호), 위반행위로 인하여 취득한 이익의 규모(제3호)를 고
려하여야 한다’고 규정하며, 제4항에서 ‘과징금의 구체적인 산정기준과 산정절차는 대
통령령으로 정한다’고 규정하고 있다. 
그 위임에 따른 구 개인정보 보호법 시행령 제48조의11 제4항 [별표 1의5] ‘과징
금의 산정기준과 산정절차’는 과징금의 산정단계에 따른 산정방식과 고려 사유를 구체
화하면서 ‘위반행위의 중대성 판단 기준, 필수적 가중ㆍ감경 및 추가적 가중ㆍ감경을 
위한 세부 기준, 부과과징금의 결정을 위한 세부 기준과 그 밖에 과징금의 부과에 필
- 13 -
요한 사항은 피고가 정하여 고시한다’고 규정하고 있고, 그 위임에 따른 구 개인정보보호 
법규 위반에 대한 과징금 부과기준(2023. 9. 15. 개인정보보호위원회고시 제2023-4호로 
폐지되기 전의 것, 이하 ‘구 과징금 부과기준’이라 한다)은 과징금 부과에 필요한 세부 
기준을 정하고 있다. 
2) 구 과징금 부과기준은 과징금 산정과 그 부과에 관한 재량권 행사의 기준으로 
마련된 행정청 내부의 사무처리준칙, 즉 재량준칙이고, 이러한 과징금 산정과 부과에 
관한 기준을 정하는 것은 행정청의 재량에 속하므로 그 기준이 헌법 또는 법률에 합치
되지 않거나 객관적으로 합리적이라고 볼 수 없어 재량권을 남용한 것이라고 인정되지 
않는 이상 행정청의 의사는 가능한 한 존중되어야 한다. 이러한 재량준칙은 일반적으로 
행정조직 내부에서만 효력을 가질 뿐 대외적인 구속력을 갖는 것은 아니므로 행정처분
이 이를 위반하였다고 하여 그러한 사정만으로 곧바로 위법하게 되는 것은 아니다. 
다만 그 재량준칙이 정한 바에 따라 되풀이 시행되어 행정 관행이 이루어지게 되면 평
등원칙이나 신뢰보호의 원칙에 따라 행정기관은 상대방에 대한 관계에서 그 규칙에 따
라야 할 자기구속을 받게 되므로, 이러한 경우에는 특별한 사정이 없는 한 그에 반하는 
처분은 평등원칙이나 신뢰보호의 원칙에 어긋나 재량권을 일탈ㆍ남용한 위법한 처분이 
된다(대법원 2013. 11. 14. 선고 2011두28783 판결 등 참조). 또한 개인정보 보호조치 
의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반
행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 
유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정하여야 한다. 그리고 과징금
의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우
라면 그러한 과징금 처분은 재량권을 일탈․남용하여 위법하다고 보아야 한다(대법원 
- 14 -
2023. 10. 12. 선고 2022두68923 판결 참조). 
다. 피고의 과징금 산정 과정
피고는 3차 신고 사건에 대하여 구 개인정보 보호법 제39조의15 제1항 제5호, 구 
개인정보 보호법 시행령 제48조의11 제4항 [별표 1의5], 구 과징금 부과기준에 따라 
아래와 같이 과징금을 산정하여 이 사건 과징금 납부명령을 하였다.
1) 기준금액의 산정
가) 원고의 위반행위 관련 매출액은 온라인스토어의 직전 3개 사업연도(20**부
터 20**년) 연평균 매출액인 145,930,567,000원으로 인정하였다(구 개인정보 보호법 시
행령 제48조의11 제1항, 구 과징금 부과기준 제4조 제1항). 
나) 원고의 위반행위의 중대성은 원고에게 개인정보 유출에 대한 중과실이 있으
나, ‘위반 정보통신서비스 제공자등이 위반행위로 인해 직접적으로 이득을 취득하지 
않은 경우’, ‘위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 
보유하고 있는 개인정보의 100분의 5 이내인 경우’, ‘이용자의 개인정보가 공중에 노출
되지 않은 경우’에 모두 해당하는 경우이므로 ‘보통 위반행위’로 인정하였다(구 개인정보 
보호법 시행령 [별표 1의5] 2. 가. 3), 구 과징금 부과기준 제5조). 
다) 이에 따라 원고의 관련 매출액 145,930,567,000원에 ‘보통 위반행위’의 부과
기준율인 1천분의 15를 적용하여 기준금액을 2,188,958,000원으로 산정하였다(구 개인
정보 보호법 시행령 [별표 1의5] 2. 가. 1)). 
2) 필수적 가중ㆍ감경
가) 원고의 위반기간이 1년 이내(2021. 3. 24.부터 2021. 5. 6.)인 ‘단기 위반행위’
이므로 기준금액을 가중하지 않았다(구 과징금 부과기준 제6조 제1항 제1호, 제7조). 
- 15 -
나) 최근 3년 간 구 개인정보 보호법 제39조의15 제1항 각 호에 해당하는 행위로 
과징금 처분을 받은 적이 없는 ‘최초 위반행위’이므로 기준금액의 100분의 50에 해당
하는 1,094,479,000원을 감경하였다(구 과징금 부과기준 제6조 제2항 제1호). 
3) 추가적 가중ㆍ감경
원고가 조사에 협력하고 개인정보 유출사실을 자진 신고한 점 등을 고려하여 필
수적 가중ㆍ감경을 거친 금액의 100분의 20에 해당하는 218,895,000원을 감경하였다
(구 과징금 부과기준 제8조, [별표] Ⅱ. 2., 3.). 
4) 과징금의 결정
피고는 위와 같이 단계별로 산출한 금액인 875,583,000원(＝ 2,188,958,000원 – 
1,094,479,000원 – 218,895,000원)을 3차 신고 사건에 대한 최종 과징금으로 결정하였
다(이하 ‘이 사건 과징금액’이라 한다).
라. 구체적 판단
살피건대, 위 인정사실, 을 제9호증의 기재 및 변론 전체의 취지에 의하여 알 수 
있는 다음과 같은 사정을 종합하면, 이 사건 과징금 납부명령이 재량권을 일탈ㆍ남용
한 것이라고 볼 수 없다. 따라서 원고의 이 부분 주장도 이유 없다. 
1) 구 과징금 부과기준 제9조 제2항 제2호는 ‘정보주체에게 피해가 발생하지 않았
거나 경미한 경우로서 다음 각 목의 어느 하나에 해당하는 경우에는 과징금을 면제할 
수 있다’고 규정하면서 각 목에서 ‘제8조에 따라 산정된 과징금이 300만원 이하인 경우
(가목)’, ‘사소한 부주의나 오류로 인한 위반행위인 경우(나목)’, ‘개인정보가 유출된 경
우로서 유출된 정보주체의 수가 100명 미만인 경우(다목)’을 들고 있는바, 3차 신고 사
건은 구 과징금 부과기준 제9조 제2항 제2호 나, 다목에 해당하므로 과징금 면제 사
- 16 -
유가 존재하기는 한다. 그러나 위 규정에 따른 과징금 부과 여부는 피고의 재량행위에 
속한다는 것이 문언상 명백하다. 
2) 원고가 들고 있는 피고의 2021. 9. 9.자 ‘경미한 위반행위에 대한 과징금 미부
과 기준’(을 제9호증)에 의하더라도 ‘사소한 실수 또는 시스템 오류로 인한 위반으로 피
해가 발생하지 않았거나 미미한 경우, 개인정보 유출규모가 100건 미만으로 피해가 발
생하지 않았거나 미미한 경우 개인정보 내용, 규모 등을 종합적으로 고려하여 과징금 
부과를 시정조치 명령으로 갈음할 수 있다’는 것이지, 3차 신고 사건에 대한 과징금이 
필수적으로 면제된다는 내용이 아니다. 
3) 앞서 본 바와 같이 피고는 구 과징금 부과기준에 따라 과징금을 산정하였으므
로, 이 사건 과징금 납부명령이 평등의 원칙이나 신뢰보호의 원칙에 어긋난다고 볼 수 
없다. 또한 원고는 유사사례와 비교하여 이 사건 과징금액이 과도하다는 취지로도 주
장하나, 관련 매출액 및 위반행위의 경위와 내용 등이 상이한 사례와 3차 신고 사건의 
과징금액을 단순 비교하는 것은 적절하지 않다. 
4) 구 개인정보 보호법 시행령 [별표 1의5] 2. 라. 1), 구 과징금 부과기준 제9조 
제1항은 ‘위반행위자의 현실적인 부담능력, 위반행위로 발생한 정보주체의 피해 및 배
상의 정도, 위반행위자가 속한 시장ㆍ산업 여건 등을 고려하여 추가적 가중ㆍ감경을 
거친 금액의 100분의 90 범위에서 감경할 수 있다’고 규정하고 있기는 하다. 그러나 
➀ 3차 신고 사건에서 2021. 3. 23.부터 회원 식별번호가 동일한 65명의 이용자 간에 
이름, 주소, 휴대전화번호를 조회할 수 있는 상황이 발생하였고, 실제로 적어도 1명의 
이용자가 다른 19명의 이용자의 이름, 주소, 휴대전화번호를 열람한 점, ➁ 원고는 위와 
같은 사실을 위 1명의 이용자의 민원이 제기된 2021. 5. 6.이 되어서야 인식한 점, ➂ 
- 17 -
원고는 3차 신고 사건 이전에 수차례 개인정보 유출신고를 하고 이에 대한 피고의 조
사를 받은 적이 있음에도 재차 개인정보 유출 사건이 발생한 점, ➃ 원고의 2020년 온
라인스토어 관련 매출액은 약 1,800억 원에 달하므로 875,583,000원의 과징금이 과도
하다고 보기 어려운 점 등에 비추어 보면, 이 사건 과징금액이 제재적 성격이 지나치
게 강조되어 위반행위의 위법성의 정도에 비해 과중하게 산정되는 등 비례의 원칙에 
어긋난 것이라고 볼 수 없다. 
5. 결론
그렇다면, 원고의 주장은 모두 이유 없으므로 이를 기각하기로 하여 주문과 같이 
판결한다.
- 18 -
[별지 1]
목 록
비실명화로 생략
끝.
- 19 -
[별지 2]
관계 법령
▣ 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 
개정되기 전의 것)
제2조(정의)
① 이 법에서 사용하는 용어의 뜻은 다음과 같다.
3. “정보통신서비스 제공자”란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 
목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 
매개하는 자를 말한다.
4. “이용자”란 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.
제28조(개인정보의 보호조치)
① 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조
ㆍ변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 
기준에 따라 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다.
1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립ㆍ시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 
설치ㆍ운영
3. 접속기록의 위조·변조 방지를 위한 조치
4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
제64조(자료의 제출 등)
④ 과학기술정보통신부장관 또는 방송통신위원회는 이 법을 위반한 정보통신서비스 제공자등
에게 해당 위반행위의 중지나 시정을 위하여 필요한 시정조치를 명할 수 있고, 시정조치의 
명령을 받은 정보통신서비스 제공자등에게 시정조치의 명령을 받은 사실을 공표하도록 할 
수 있다. 이 경우 공표의 방법ㆍ기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.
제64조의3(과징금의 부과 등)
- 20 -
① 방송통신위원회는 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신
서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금
으로 부과할 수 있다.
▣ 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 
제30894호 개정되기 전의 것)
제15조(개인정보의 보호조치)
② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 
차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 
직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 
정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 
이상인 정보통신서비스 제공자등만 해당한다. 
1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처
리시스템"이라 한다)에 대한 접근권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행
2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영
3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단
4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영
5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치
⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6호에 따른 
그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시
하여야 한다.
▣ 구 개인정보의 기술적ㆍ관리적 보호조치 기준(2020. 12. 10. 방송통신위원회고시 제
2020-8호로 폐지되기 전의 것)
제4조(접근통제)
⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 
각 호의 기능을 포함한 시스템을 설치ㆍ운영하여야 한다. 
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 
제한 
- 21 -
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 
탐지 
⑨ 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통
하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 
개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다. 
▣ 구 개인정보보호 법규 위반에 대한 과징금 부과기준(2020. 12. 10. 방송통신위원회
고시 제2020-9호로 폐지되기 전의 것)
제9조(시정조치의 명령)
방송통신위원회는 과징금 부과와 함께 법 제64조제4항에 따라 해당 위반행위의 중지나 시정을 
위하여 필요한 시정조치를 명할 수 있으며, 위반 정도가 경미하다고 판단되는 경우에는 과징금 
부과를 시정조치의 명령으로 갈음할 수 있다.
▣ 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것)
제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다.
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 
사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
제18조(개인정보의 목적 외 이용ㆍ제공 제한)
① 개인정보처리자는 개인정보를 제15조제1항 및 제39조의3제1항 및 제2항에 따른 범위를 초
과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 
아니 된다. 
② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보
주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 
외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 이용자(「정보통신망 이용촉
진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 
개인정보를 처리하는 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 
법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)의 경우 제1호ㆍ제2호의 경우
로 한정하고, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. <각 호 생략>
- 22 -
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 
관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적
ㆍ관리적 및 물리적 조치를 하여야 한다.
제39조의15(과징금의 부과 등에 대한 특례)
① 보호위원회는 정보통신서비스 제공자등에게 다음 각 호의 어느 하나에 해당하는 행위가 있는 
경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 
해당하는 금액을 과징금으로 부과할 수 있다
5. 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 제29조의 조치
(내부 관리계획 수립에 관한 사항은 제외한다)를 하지 아니한 경우(제39조의14에 따라 
준용되는 경우를 포함한다)
③ 보호위원회는 제1항에 따른 과징금을 부과하려면 다음 각 호의 사항을 고려하여야 한다.
1. 위반행위의 내용 및 정도
2. 위반행위의 기간 및 횟수
3. 위반행위로 인하여 취득한 이익의 규모
④ 제1항에 따른 과징금은 제3항을 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통
령령으로 정한다.
▣ 구 개인정보 보호법 시행령(2023. 9. 12. 대통령령 제33723호로 개정되기 전의 것)
제48조의2(개인정보의 안전성 확보 조치에 관한 특례)
① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3
호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당
하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 
"정보통신서비스 제공자등"이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 
불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치
가. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 
"개인정보처리시스템"이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준
의 수립ㆍ시행
- 23 -
나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영
다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 
차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 
일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등
에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 
전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서
비스 제공자등만 해당한다]
라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영
마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.
제48조의11(과징금의 산정기준 등에 관한 특례)
① 법 제39조의15제1항에 따른 매출액은 해당 정보통신서비스 제공자등의 위반행위와 관련된 
정보통신서비스의 직전 3개 사업연도의 연평균 매출액으로 한다. 다만, 해당 사업연도 첫날 
현재 사업을 개시한지 3년이 되지 않은 경우에는 그 사업개시일부터 직전 사업연도 말일까
지의 매출액을 연평균 매출액으로 환산한 금액으로 하며, 해당 사업연도에 사업을 개시한 
경우에는 사업개시일부터 위반행위일까지의 매출액을 연매출액으로 환산한 금액으로 한다.
④ 법 제39조의15제4항에 따른 과징금의 산정기준과 산정절차는 별표 1의5와 같다.
[별표 1의5]
과징금의 산정기준과 산정절차(제48조의11제4항 관련)
1. 과징금의 산정단계
과징금은 법 제39조의15제3항 각 호에 따른 고려 사항과 이에 영향을 미치는 행위를 종합적
으로 고려하여 제2호가목에 따라 산정된 기준금액에 같은 호 나목에 따른 필수적 가중ㆍ감경, 
같은 호 다목에 따른 추가적 가중ㆍ감경, 같은 호 라목에 따른 부과과징금 결정을 순차적으로 
거쳐 산정한다. 다만, 가중하는 경우에도 법 제39조의15제1항 및 제2항에 따른 과징금 금액의 
상한을 넘을 수 없다.
2. 과징금의 산정단계에 따른 산정방식과 고려 사유
가. 기준금액의 산정
1) 기준금액은 제48조의11제1항에 따른 위반행위와 관련한 매출액에 위반행위의 중대성에 
따라 다음과 같이 구분된 과징금의 산정비율(부과기준율)을 곱하여 산출한 금액으로 
- 24 -
한다.

위반행위의 중대성 부과기준율
매우 중대한 위반행위 1천분의 27
중대한 위반행위 1천분의 21
일반 위반행위 1천분의 15
3) 위반행위의 중대성은 고의ㆍ중과실 여부, 영리 목적의 유무, 위반행위로 인한 개인정보의 
피해규모, 개인정보의 공중에 노출 여부 및 위반행위로 인하여 취득한 이익의 규모 등을 
종합적으로 고려하여 판단한다.
나. 필수적 가중ㆍ감경
위반행위의 기간과 횟수 등을 고려하여 기준금액의 100분의 50의 범위에서 가중하거나 
감경해야 한다.
다. 추가적 가중ㆍ감경
개인정보 보호를 위한 노력 정도, 위반행위에 대한 조사의 협조 여부, 위반행위의 주도 
여부 등을 종합적으로 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위에서 
가중하거나 감경할 수 있다. 
라. 부과과징금의 결정
1) 다음의 사항을 고려하여 다목에 따라 산정된 과징금이 과중하다고 인정되는 경우에는 
해당 금액의 100분의 90 범위에서 감경할 수 있다.
가) 위반행위자의 현실적인 부담능력
나) 위반행위로 발생한 정보주체의 피해 및 배상의 정도
다) 경제위기 등으로 위반행위자가 속한 시장ㆍ산업 여건이 현저하게 변동되거나 지속적
으로 악화된 상태인지 여부
2) 다음의 어느 하나에 해당하는 경우에는 다목에 따라 산정된 과징금을 면제할 수 있다.
가) 위반행위자의 지급불능ㆍ지급정지 또는 자본잠식 등의 사유로 위반행위자가 객관적
으로 과징금을 낼 능력이 없다고 인정되는 경우
나) 위반행위의 내용ㆍ정도가 경미한 경우
다) 다목에 따라 산정된 과징금이 소액인 경우
라) 위반행위자 본인의 행위가 위법하지 않은 것으로 잘못 인식할 만한 정당한 사유가 
- 25 -
있는 경우
3. 세부 기준
위반행위와 관련한 매출액의 산정에 관한 세부 기준, 위반행위의 중대성 판단 기준, 필수적 
가중ㆍ감경 및 추가적 가중ㆍ감경을 위한 세부 기준, 부과과징금의 결정을 위한 세부 기준과 
그 밖에 과징금의 부과에 필요한 사항은 보호위원회가 정하여 고시한다.
▣ 구 개인정보의 기술적ㆍ관리적 보호조치 기준(2023. 9. 22. 개인정보보호위원회고시 
제2023-7호로 폐지되기 전의 것)
제4조(접근통제) 
⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 
각 호의 기능을 포함한 시스템을 설치ㆍ운영하여야 한다. 
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 
제한 
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 
탐지
⑨ 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통
하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 
개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다. 
▣ 구 개인정보보호 법규 위반에 대한 과징금 부과기준(2023. 9. 15. 개인정보보호위원회
고시 제2023-4호로 폐지되기 전의 것)
제2조(과징금 산정 절차 및 기준)
과징금은 법 제39조의15제3항 각 호에서 정한 참작사유와 이에 영향을 미치는 행위를 고려하여 
산정하되, 기준금액에 필수적 가중ㆍ감경, 추가적 가중ㆍ감경, 부과과징금의 결정을 거쳐 과징
금을 산정한다.
제3조(기준금액)
① 기준금액은 관련 매출액에 영 [별표 1의5] 2.가. 1)에 따른 부과기준율을 곱한 금액으로 정
한다. 
- 26 -
제4조(관련 매출액의 산정)
① 관련 매출액은 위반 정보통신서비스 제공자등의 위반행위로 인하여 직접 또는 간접적으로 
영향을 받는 서비스의 직전 3개 사업년도의 연평균 매출액으로 한다. 
제5조(중대성의 판단)
① 영 [별표 1의5] 2. 가. 1)에 따른 위반행위의 중대성의 판단기준 중 고의ㆍ중과실 여부는 영리 
목적의 유무, 영 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단한다. 
② 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 없으면 위반행위의 중대성을 보통 위반
행위로 판단한다. 
③ 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 있으면 위반행위의 중대성을 매우 중대한 
위반행위로 판단한다. 다만, 위반행위의 결과가 다음 각 호의 사항 중 모두 해당하는 경우
에는 보통 위반행위로, 1개 이상 2개 이하에 해당하는 경우에는 중대한 위반행위로 감경한다. 
1. 위반 정보통신서비스 제공자등이 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우 
2. 위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 
개인정보의 100분의 5 이내인 경우 
3. 이용자의 개인정보가 공중에 노출되지 않은 경우 
제6조(필수적 가중ㆍ감경)
① 위반기간을 고려하여 다음 각 호와 같이 과징금을 조정한다. 
1. 단기 위반행위: 위반기간이 1년 이내인 경우는 기준금액을 유지한다. 
2. 중기 위반행위: 위반기간이 1년 초과 2년 이내인 경우에는 기준금액의 100분의 25에 해당
하는 금액을 가산한다. 
3. 장기 위반행위: 위반기간이 2년을 초과하는 경우에는 기준금액의 100분의 50에 해당하는 
금액을 가산한다. 
② 위반횟수를 고려하여 다음 각 호와 같이 과징금을 조정한다. 
1. 최초 위반행위: 위반 정보통신서비스 제공자등이 최근 3년간 법 제39조의15제1항 각 호에 
해당하는 행위로 과징금 처분을 받은 적이 없는 경우에는 제1항에 따른 조정을 거친 금액
에서 기준금액의 100분의 50에 해당하는 금액을 감경한다. 
2. 2회 이상의 위반행위: 위반 정보통신서비스 제공자등이 최근 3년간 법 제39조의15제1항 
각 호에 해당하는 행위로 1회 이상의 과징금 처분을 받은 경우에는 제1항에 따른 조정을 
거친 금액을 유지한다. 
- 27 -
③ 제2항에서 과거 위반횟수를 산정할 때에는 시정조치 명령이나 과징금 부과의 무효 또는 취소
판결이 확정된 건을 제외한다. 
제7조(위반기간의 산정)
① 제6조제1항에 따른 위반기간은 위반행위의 개시일부터 종료일까지의 기간을 말한다. 다만, 
위반행위가 과징금 부과처분을 명하는 개인정보 보호위원회(이하 "보호위원회"라 한다)의 
심의종결일까지 종료되지 아니한 경우에는 해당 사건에 대한 보호위원회의 심의종결일을 
위반행위의 종료일로 본다. 
② 제1항에 따른 위반기간을 산정하면서 위반행위의 개시일 또는 종료일이 불분명한 경우에는 
위반 정보통신서비스 제공자등의 영업ㆍ재무관련 자료, 임직원ㆍ이용자 등의 진술, 동종 유사 
정보통신서비스 제공자등의 영업 및 거래실태ㆍ관행 등을 고려하여 이를 산정할 수 있다. 
제8조(추가적 가중ㆍ감경)
① 보호위원회는 사업자의 위반행위 주도 여부, 조사 협력 여부 등을 고려하여 필수적 가중ㆍ
감경을 거친 금액의 100분의 50의 범위 내에서 [별표]에 따라 추가적으로 가중하거나 감경
할 수 있다. 
② [별표]에서 정한 사유가 2개 이상 해당되는 경우에는 합산하여 가중하거나 감경하되 각 가중
ㆍ감경의 범위는 필수적 가중ㆍ감경을 거친 금액의 100분의 50을 초과할 수 없다. 
제9조(부과과징금의 결정)
① 위반행위자의 현실적인 부담능력, 위반행위로 발생한 정보주체의 피해 및 배상의 정도, 위반
행위자가 속한 시장ㆍ산업 여건 등을 고려하여 제8조에 따라 산정된 과징금이 과중하다고 
인정되는 경우에는 다음 각 호와 같이 해당 금액의 100분의 90 범위에서 감경할 수 있다. 
1. 위반행위자의 자산, 자기자본 등 재무상황에 비추어 위반행위자가 과징금을 부담할 능력이 
현저히 부족하다고 객관적으로 인정되는 경우 
2. 개인정보 분쟁조정, 민사조정 등을 통해 정보주체에게 발생한 피해에 대한 원상회복, 손해
배상 또는 이에 상당하는 필요한 피해구제 조치를 한 경우 
3. 경제위기 등으로 위반행위자가 속한 시장ㆍ산업 여건이 현저하게 변동되거나 지속적으로 
악화된 상태인 경우 
② 다음 각 호의 어느 하나에 해당하는 경우에는 제8조에 따라 산정된 과징금을 면제할 수 
있다. 
1. 위반행위자의 지급불능ㆍ지급정지 또는 자본잠식 등의 사유로 위반행위자가 객관적으로 
- 28 -
과징금을 낼 능력이 없다고 인정되는 경우 
2. 정보주체에게 피해가 발생하지 않았거나 경미한 경우로서 다음 각 목의 어느 하나에 해당
하는 경우 
가. 제8조에 따라 산정된 과징금이 300만원 이하인 경우 
나. 사소한 부주의나 오류로 인한 위반행위인 경우 
다. 개인정보가 유출된 경우로서 유출된 정보주체의 수가 100명 미만인 경우 
3. 위반행위자 본인의 행위가 위법하지 않은 것으로 잘못 인식할 만한 정당한 사유가 있는 
경우 
[별표]
추가적 가중ㆍ감경 금액(제8조 관련)
Ⅰ. 가중사유 및 비율
1. 위반 정보통신서비스 제공자등 및 그 소속 임원ㆍ종업원이 법 제63조제1항 및 제2항에 
따른 물품이나 서류의 제출요구 또는 검사를 거부하거나 증거인멸, 조작, 허위의 정보제공 
등의 방법으로 조사를 방해하거나 관련 이용자에게 허위로 진술하도록 요청한 경우 100
분의 30 이내
2. 다수의 사업자가 관련된 상황에서 위반행위를 주도하거나 선도한 경우 100분의 20 이내
3. 기타 제1호 또는 제2호의 사항에 준하는 사유가 있는 경우 100분의 10 이내
Ⅱ. 감경 사유 및 비율
1. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위하여 노력한 경우로서 다
음 각 목의 어느 하나에 해당하는 경우
가. 위반 정보통신서비스 제공자등이 개인정보 보호를 위해 보호위원회가 인정하는 인증을 
받은 경우 100분의 50 이내
나. 개인정보 보호 자율규제 규약을 이행하는 등 개인정보 보호 활동을 성실히 수행한 것
으로 확인된 경우 100분의 40 이내
2. 개인정보보호위원회 조사에 적극 협력한 경우 100분의 30 이내
3. 개인정보 유출사실을 자진 신고한 경우 100분의 30 이내
4. 기타 제1호 내지 제3호의 사항에 준하는 사유가 있는 경우 100분의 10 이내. 끝.