[행정 판결문] 서울행정법원 2024구합86789 - 시정명령 등 취소

 

[행정] 서울행정법원 2024구합86789 - 시정명령 등 취소.pdf

0.50MB

[행정] 서울행정법원 2024구합86789 - 시정명령 등 취소.docx

0.06MB

 

 

- 1 -
서 울 행 정 법 원
제 1 4 부
판 결
사 건 2024구합86789 시정명령 등 취소
원 고 주식회사 A
피 고 개인정보보호위원회
변 론 종 결 2025. 11. 27.
판 결 선 고 2026. 1. 15.
주 문
1. 원고의 청구를 모두 기각한다.
2. 소송비용은 원고가 부담한다.
청 구 취 지
피고가 2024. 9. 11. 원고에 대하여 한 별지1 목록 기재 각 시정명령, 과징금 부과처
분, 공표결정을 모두 취소한다.
이 유
1. 처분의 경위
- 2 -
가. 원고가 제공하는 B 일반채팅 및 오픈채팅 서비스의 개요
1) 원고는 ‘B’ 어플리케이션을 통해 모바일 메신저 서비스 등을 제공하는 정보통신서
비스 제공자이다. 원고는 20**. *. **.경부터 B 서비스를 시작한 후로 20**. *. **.경 
기준으로 약 6,700만 명이 넘는 이용자의 휴대전화번호, 이름 등의 개인정보를 수집ㆍ
보관하고 있다.
2) B가 기본적으로 제공하는 ‘일반채팅’ 서비스는 이용자가 자신이 ‘친구’로 ‘추가’(등
록)한 상대방과 상호작용하며 메시지 등을 주고받을 수 있는 서비스이다(1대1 대화가 
아닌 ‘그룹채팅’에 초대받은 경우에는 친구추가 없이 대화가 가능하다). 이용자는 상대
방의 QR코드, 휴대전화번호, BID 등을 입력하는 방법으로 친구추가를 할 수 있는데, 
보통은 가장 편리한 방법인 휴대전화번호 입력이 이용된다. 이용자가 직접 휴대전화번
호를 입력하여 친구를 추가할 수도 있지만, 기본적인 B 설정 상태에서 이용자가 자신
의 휴대전화 주소록에 상대방의 휴대전화번호를 저장하는 경우 B가 일정 주기별로 자
동으로 주소록 동기화를 하면서 저장된 휴대전화번호의 상대방을 친구로 추가하는 기
능도 대부분 실행하고 있다.
3) 일반채팅 서비스의 제공을 위해서는 원고가 관리ㆍ운영하는 ‘서버’와 B 이용자의 
단말기 사이에 데이터 송ㆍ수신이 이루어져야 한다. 원고는 서버가 이용자를 식별하기 
위한 정보로 이용자가 A계정에 가입하면서 순번에 따라 임의로 생성되어 부여되는 난
수값인 ‘회원일련번호’(C, 이하 ‘D’라 한다)를 활용하였다. 일반적으로 B 내에서 이용자
와 친구는 ‘프로필명’(이름 또는 직접 설정한 닉네임)과 ‘프로필 사진’ 등으로 구성된 
‘프로필’을 통해 서로를 식별ㆍ확인하지만, 실제 데이터 통신 과정에서는 D의 송ㆍ수신
을 통한 식별ㆍ확인 작업을 거쳐 친구추가 및 일반채팅 등의 서비스가 이루어진다. 일
- 3 -
반채팅 대화가 이루어지는 경우를 예로 들어보면, 이용자는 B 프로그램 내에서 [발신
인 프로필, 메시지 내용]의 형태로 친구가 보낸 메시지를 확인하지만, 실제로 메시지 
전송에 관한 데이터 송ㆍ수신 과정에서는 [발신인의 D, 메시지 내용]의 형태로 처리되
는 것이다.
4) 원고는 2015. 8.경부터 일반채팅과 구별되는 ‘오픈채팅’ 서비스를 제공하기 시작하
였다. 오픈채팅은 특정 이용자가 임의로 개설한 채팅방에 동일한 관심사ㆍ취미ㆍ목적
을 가진 다른 이용자들이 임의로 참여하여 상호작용을 할 수 있게 하는 서비스로, 친
구 여부를 불문하고 다수의 사람들이 동일한 채팅방 내에서 자유롭게 대화할 수 있다. 
이용자들은 오픈채팅방별로 따로 설정한 ‘프로필’을 기준으로 서로를 식별ㆍ확인하는
데, 이때 프로필명으로는 본명을 직접 사용할 수도 있지만 다수의 불특정 사람들과 대
화한다는 점 때문에 임의로 설정한 닉네임 등을 활용하는 경우가 많았다.
5) 원고는 오픈채팅 서비스의 데이터 통신 과정에서 이용자의 식별ㆍ확인을 위한 정
보로 이용자에게 임의로 생성되는 난수값을 부여한 것이 아니라, 각각의 오픈채팅방별
로 D와 연계하여 도출되는 별도의 ID(이하 ‘E’라 한다)를 활용하였다. 구체적으로, 원고
는 아래 예시와 같이 각 오픈채팅방에 부여되는 별도의 ID(Version ID 및 오픈채팅방 
ID)와 D를 각각 고정된 길이의 2진법 수로 변환하여 순서대로 연결한 다음 다시 10진
법 수로 변환하는 방법으로 E를 생성하였다. 오픈채팅방 내에서 대화가 이루어질 때에
도 이용자는 [발신인 오픈채팅방 프로필, 메시지 내용]의 형태로 메시지를 확인하지만, 
실제 데이터 송ㆍ수신 과정에서는 [발신인의 E, 메시지 내용]의 형태로 처리된다.
나. 해킹사고의 발생
20**. *.경 언론에서 B 해킹이 이루어져 오픈채팅 이용자들의 개인정보가 온라인상
- 4 -
에서 고가에 거래되고 있다는 보도가 이루어졌다(이하 ‘이 사건 해킹’이라 한다). 피고
와 한국인터넷진흥원은 20**. *.경 실제로 인터넷에서 ‘휴대전화번호, 프로필명(이름 
등), D, 참여 오픈채팅방명, 해당 오픈채팅방 프로필명(닉네임)’의 형태로 결합된 다수 
이용자들의 정보(이하 ‘이 사건 정보’라 한다)가 판매되고 있음을 확인하였다. 경찰의 
수사결과에 의해 확인되는 이 사건 해킹의 개요는 아래와 같다(피의자인 해커들은 해
킹 수법 등을 비롯하여 관련 혐의를 모두 자백한 것으로 보인다).
1) B는 다른 어플리케이션들과 마찬가지로 API(Application Programming Interface) 
호출ㆍ응답의 과정을 거쳐 기능을 구현한다. API는 운영체제와 응용프로그램 사이의 
통신에 사용되는 언어나 메시지 형식을 말하는데, 이용자가 특정 기능을 실행하고자 
하는 경우 B 프로그램은 그 기능과 관계된 해당 API에 정의된 값(함수)을 서버에 보내
고(호출) 이를 확인한 서버가 결과값을 응답하는 방식이다.
2) B의 기능을 구현하는 API를 활용한 다수 ‘코드’의 집합인 ‘라이브러리’가 다양한 
개발자들이 참여한 오픈소스 프로젝트로 개발되어 온라인상에 공개되어 있고, B 프로
그램에 대한 역공학 분석(reverse-engineering)과 함께 이를 이용하면 정식 인가된 B 
프로그램이 아닌데도 B와 동일한 통신 등의 작업을 수행할 수 있는 프로그램의 개발
비실명화로 생략
- 5 -
이 가능하다. 이러한 비인가 프로그램을 활용하면 통신 과정에서 송ㆍ수신되는 D와 E
를 직접 확인할 수 있게 된다.
3) 해커들은 2022. 9.~12.경 임의로 개발한 비인가 프로그램을 사용하여 허위의 정보
를 자동으로 입력하는 방법으로 A계정 28,573개를 생성하였고, 그중 4,714개 계정을 
사용하여 2023. 1. 7. ~ 2023. 1. 9. 사이에 약 33시간 동안 자동 친구추가 비인가 프
로그램을 이용해 1회당 15,000개 정도의 무작위 휴대전화번호를 원고 서버에 전송하는 
방법으로, 친구추가에 성공한 원고 회원들의 ① 휴대전화번호에 대응되는 ② 프로필명
(이름 등), ③ D 등의 정보를 약 4,490만 건 획득하였다.
4) 원고는 2020. 8. 5.경 그 이후로 생성되는 오픈채팅방에 관하여는 E를 암호화하는 
조치를 취하였으나, 해커들은 오픈채팅방의 보안 취약점을 이용한 ‘파라미터 변조 공
격’(프로그램이 서버로 전송하는 파라미터 값을 임의로 변경하여 정상적인 경우의 통신 
결과와 달라지는 결과를 기도하는 것)을 통해 암호화 조치가 시행된 오픈채팅방 참여
자의 E를 평문으로 확인하는 데 성공하였고, D와 E 사이의 연계 방법을 뒤집어 활용
하는 방식으로 E로부터 D를 추출하였다. 이러한 방법으로 해커들은 20**. *. **.경부터 
20**. *. **.경까지 약 34,000회에 걸쳐 암호화된 E의 조회 요청을 하여 약 401만 개
의 E와 약 644만 개의 D를 취득하였다(피고는 수사결과가 나오기 전 원고가 제출한 
자료들을 토대로 2023. 2. 10.부터 2023. 3. 10.까지 해커가 중복 제외 65,719건의 E를 
불법 조회하였다고 보았다). 이를 토대로 해커들은 앞서 획득한 ① 휴대전화번호, ② 
프로필명(이름 등) 정보를 ③ D를 중심으로 해당 이용자가 참여한 ④ 오픈채팅방명, 
⑤ 오픈채팅방 프로필명(닉네임)의 정보와 연계ㆍ결합하여 이 사건 정보의 데이터베이
스를 구축하고 이를 판매하였다.
- 6 -
다. 피고의 제재처분
피고는 조사결과 해커들이 이 사건 해킹으로 이 사건 정보를 취득하여 온라인에 공
개ㆍ판매한 것이 ‘개인정보 유출 사고’에 해당한다고 판단한 후, ❶ 원고가 구 개인정
보보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 ‘구 법’이라 한다) 제
29조, 구 개인정보보호법 시행령(2023. 9. 12. 대통령령 제33723호로 개정되기 전의 
것, 이하 ‘구 시행령’이라 한다) 제48조의2 제1항 제2호를 위반하여 개인정보 안전성 
확보에 필요한 조치를 소홀히 해 이용자의 개인정보가 유출되었고, ❷ 원고가 20**. *. 
10. 언론보도 및 피고의 조사 과정에서 B 오픈채팅방 이용자의 개인정보가 유출되고 
있음을 인지하였는데도 구 법 제39조의4 제1항을 위반하여 개인정보 유출 신고 및 이
용자 대상 유출 통지를 하지 않았다는 처분사유로, 2024. 9. 11. 원고에 대하여 별지1 
목록 기재와 같이 각 시정명령, 과징금ㆍ과태료 부과처분 및 공표결정을 하였다(그중 
원고가 이 사건에서 다투지 않는 과태료 부과처분을 제외한 나머지 처분을 통틀어 ‘이 
사건 각 처분’이라 한다). 이 사건 각 처분의 구체적인 처분사유와 근거 법령은 아래와 
◈ 처분사유
❶ 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위(이하 ‘제1처분사유’라 한다)
① 접근 제한 및 유출 탐지 기능의 운영 소홀(이하 ‘제1-1처분사유’라 한다)
- 구 ｢개인정보의 기술적ㆍ관리적 보호조치 기준｣(2023. 9. 22. 개인정보보호위원회고시 
제2023-7호로 폐지되기 전의 것, 이하 ‘구 보호조치기준’이라 한다) 제4조 제5항 위반
- 원고는 비인가 프로그램을 이용한 이상행위에 대하여, 정책 설정 운영, 이상행위 대
응, 로그 분석 등을 활용하여 접근 제한 및 유출 탐지 기능이 포함된 시스템을 체계
적으로 운영ㆍ관리하지 않고 소홀히 함
② 개인정보 유ㆍ노출 방지조치 소홀(이하 ‘제1-2처분사유’라 한다)
- 구 보호조치기준 제4조 제9항 위반
- 원고는 E를 통해 D를 추출할 수 있도록 서비스를 설계ㆍ구현한 상황에서 비인가 프
- 7 -
같다.
[인정근거] 다툼 없는 사실, 갑 제1호증, 을 제21~23호증, 변론 전체의 취지
2. 관계 법령과 규정: 별지2 기재와 같다.
3. 원고의 주장 요지
가. 이 사건 해킹으로 개인정보 유출 사고가 일어났다고 볼 수 없다.
1) 이 사건 정보를 구성하는 개별 정보들은 모두 이 사건 해킹으로 비로소 원고의 
관리ㆍ통제를 벗어나 권한 없는 자가 알 수 있는 상태에 이르게 된 개인정보에 해당하
지 않는다. 즉, ① 휴대전화번호는 해커가 11자리 숫자를 임의로 입력한 것이지 원고 
데이터베이스(이하 ‘DB’라고도 한다)에서 비로소 유출된 것이 아니고, ② 프로필명(이
름 등), ④ 오픈채팅방명, ⑤ 오픈채팅방 프로필명(닉네임)은 B 이용자라면 상대방을 
친구추가하거나 오픈채팅방에서 상대방을 확인하고 대화하는 과정에서 누구든지 취득
할 수 있는 자발적으로 공개된 정보이며, ③ D는 B를 이용한 통신 과정에서 이용자 식
로그램으로 인한 보안 취약점이 제보된 2020. 8. 이후에도 오픈채팅방의 익명성을 보
장하는 보완조치를 하지 아니하고 파라미터 변조 등의 보안 취약점을 방치하는 등 사
회통념상 합리적으로 기대 가능한 정도의 보호조치를 소홀히 함
❷ 개인정보 유출 통지를 소홀히 한 행위(이하 ‘제2처분사유’라 한다)
◈ 처분별 근거 법령과 사유
근거 법령 처분사유
각 시정명령 구 법 제64조 제1항 ❶, ❷
과징금 부과처분
(151억4,196만원)
구 법 제39조의15 제1항 제5호, 구 시행령 제48조의11 제1항, 
제4항, [별표 1의5], 구 ｢개인정보보호 법규 위반에 대한 과징금 
부과기준｣(2023. 9. 15. 개인정보보호위원회고시 제2023-4호로 
폐지되기 전의 것, 이하 ‘구 과징금 부과기준’이라 한다)
❶
공표결정 구 법 제66조 제1항 ❶, ❷
- 8 -
별ㆍ확인을 위해 이용자의 단말기에 당연히 전송ㆍ처리되는 것으로서 통신 당사자에 
의해 접근이 가능한 정보이다. 특히 D는 이용자 식별ㆍ확인을 위한 난수값에 불과하
고, 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보에 해당하지 않으므
로 개인정보보호법 제2조 제1호 나.목에 따른 ‘개인정보’도 아니다.
2) 이 사건 정보는 전체적인 관점에서 살펴보더라도 ‘특정한 휴대전화번호ㆍ프로필명
을 사용하는 이용자가 특정 오픈채팅방에 참여하여 활동하고 있음’을 나타내는 정보에 
불과하여 개인정보 유출에 해당할 여지가 없다. 즉, 이는 해커가 원고의 관리ㆍ통제하
에 있는 서버로부터 직접 취득한 것이 아니라 애초에 원고의 관리ㆍ통제 밖에 있거나 
이미 공개된 정보 등을 결합하여 알아낸 정보일 뿐이고, 원고가 제공하는 오픈채팅 서
비스는 ‘익명성’을 보장하는 서비스가 아니어서 실명 등 일반채팅 관련 정보와 오픈채
팅 관련 정보가 연계되는 것 자체가 어떠한 정보의 유출이라고 볼 수도 없으며, 일반
채팅 정보 DB와 오픈채팅 정보 DB를 각각 구축한 다음 D를 중심으로 이를 연계한 해
커의 공격수법 등에 비추어 볼 때 개인정보로 인정되기 위한 ‘결합의 용이성’ 요건도 
충족되지 않는다.
나. 원고가 구 보호조치기준 제4조 제9항을 위반하여 개인정보 유ㆍ노출 방지조치를 
소홀히 하였다고 볼 수 없다(제1-2처분사유 관련).
1) 원고는 개인정보 유ㆍ노출 방지를 위해 개인정보처리시스템을 구축하고 매년 보
안진단을 시행하는 등 피고가 발간한 해설서에 부합하는 조치들을 모두 이행하고 있
다. 원고가 이행하는 각종 보호조치들이 기준에 부합한다는 것은 원고가 개인정보 보
호 인증을 받고 유지하는 점에서도 확인된다.
2) 비록 원고가 처음부터 E를 암호화하였던 것은 아니지만, E로부터 D를 곧바로 추
- 9 -
출하지 못하도록 진법 변환 등의 조치를 취한 것은 당시의 정보보안 기술 수준에 부합
하는 것이었고, 이러한 E와 D의 연계방식은 일반적으로 쉽게 알기 어려운 내용이다. 
무엇보다 E는 구 보호조치기준 제6조가 암호화 조치 의무를 부과하는 사항에 해당하
지도 않는데, 원고는 보안 강화를 위해 2020. 8. 5. 이후 생성된 오픈채팅방에 한해서
는 E의 암호화 조치를 시행하였다. 당시 모든 오픈채팅방에 관하여 일률적으로 암호화 
조치를 시행하지 못한 것은 기술적인 측면에서 서비스 전체의 오류나 각종 부작용을 
초래하고 이용자들에게도 큰 불편이 초래될 수 있기 때문이므로 충분히 합리적인 조치
였다.
3) 원고는 이미 파라미터 변조 공격을 방지하기 위한 각종 조치를 시행하고 있었지
만, 단지 해커의 오픈채팅방 내 ‘멘션’ 기능을 활용한 파라미터 변조 공격 방법은 미처 
예상하지 못하였기 때문에 이를 방어하지 못하였을 뿐이다. 정보통신서비스는 기술 발
전 속도나 사회 전체적인 거래비용 등을 고려할 때 완벽한 보안을 갖추는 것이 불가능
하여 불가피하게 취약점을 내포할 수밖에 없는 특성이 있고, 파라미터 변조는 사전에 
방지하기 어려운 대표적인 공격방법의 하나이므로, 파라미터 변조 공격을 허용하였다
는 것만으로 원고가 개인정보 유ㆍ노출 방지 의무를 소홀히 하였다고 볼 수도 없다.
다. 원고가 구 보호조치기준 제4조 제5항을 위반하여 접근 제한 및 유출 탐지 기능
의 운영을 소홀히 하였다고 볼 수 없다(제1-1처분사유 관련).
1) 원고는 상시적인 모니터링, 로그 분석 등을 충실히 수행하면서 이를 통해 인지한 
위험요소를 반영하여 침입차단ㆍ탐지 정책을 설정하고 이행하여 왔다. 원고는 비인가 
프로그램 등을 이용한 해커들의 공격이나 이용자들의 어뷰징 행위(abusing, 시스템의 
허점을 악용해 결과를 조작하는 행위)를 실시간으로 탐지하여 차단하기 위한 이용자 
- 10 -
보호조치를 도입하였고, 기술의 발전 등에 따라 지속적으로 새로운 조치를 적용하거나 
기존에 설정한 정책을 개선하며 유지하고 있다.
2) 다수의 계정을 불법적으로 생성한 다음 다수의 휴대전화번호를 무작위로 입력해 
친구추가하는 방법으로 이루어진 이 사건 해킹의 경위를 고려하면, 원고가 아무리 소
수의 계정에서 과도한 횟수의 입력을 차단ㆍ탐지하는 정책을 도입하였더라도 해커들이 
그 기준을 넘지만 않는 수준으로 분할하여 공격을 계속하는 것까지 모두 방지할 수는 
없으므로, 위와 같은 공격을 방어할 수 있는 정책을 도입하지 않았다는 것은 사실상 
이 사건 해킹과 직접적인 인과관계도 없다.
3) 이를 비롯하여 피고가 이 부분 처분사유에 관하여 지적하고 있는 사항들은 원고
가 이미 운영하는 보안시스템상 성공적으로 차단ㆍ탐지되지 않은 일부 사항들만 선별
하여 사후적ㆍ회고적인 시각에서 아주 지엽적이고 세세한 특정 조치까지 이행하지 못
하였음을 지적하는 것에 불과하다. 오픈소스 라이브러리의 특성상 비인가 프로그램을 
활용하는 것 자체를 방지할 기술적인 방법이 없을 뿐만 아니라, 해킹 과정에서 활용된 
불법적인 계정 생성 건수, API 호출 건수 등은 전체 건수 대비 이례적이지도 않으므로, 
원고가 이를 추적ㆍ분석하며 사전에 대응하는 것 자체가 현실적으로 불가능하다.
라. 과징금 산정에 관하여 재량권을 일탈ㆍ남용한 잘못이 있다.
1) 구 법 제39조의15 제1항은 ‘위반행위와 관련한 매출액’을 기준으로 과징금을 산정
하도록 정하고 있다. 피고는 원고가 제공하는 정보통신서비스 중 ① B 일반채팅ㆍ오픈
채팅 서비스 및 이와 D로 연동된 ② 선물하기, ③ 쇼핑하기, ④ 라이브쇼핑, ⑤ F, ⑥ 
주문하기, ⑦ 이모티콘, ⑧ 톡서랍 등 총 8개 서비스(이하 통틀어 ‘이 사건 각 서비스’
라 한다)에서 발생한 매출액을 관련매출액으로 보고 과징금을 산정하였다. 그러나 이 
- 11 -
사건 각 서비스는 제공방식 및 접속ㆍ이용방식 등이 외견상 구분되는 독자적인 서비스
로 개인정보 데이터베이스에 대하여도 독립적인 접근경로를 가지고 있는 점, 이 사건 
각 서비스는 가입 방법 및 이용약관에서 규정한 서비스 범위 등이 상이하고 그중 상당
수는 회원을 식별ㆍ확인하기 위한 정보로 D가 아닌 다른 ID를 사용하는 등 모두가 D
로 연동되는 것도 아니며 특히 이모티콘 서비스는 DB에 D가 저장조차 되지 않는 점 
등을 고려하면, 과징금 산정의 기준이 되는 관련매출액은 오픈채팅 서비스의 매출액으
로 한정되어야 한다.
2) 원고가 그동안 충분한 안전성 확보조치를 취해온 점, 이 사건 해킹에 활용된 공
격 방법이 매우 이례적인 것으로서 원고가 사전에 이를 미리 예상하고 대비하기가 어
려웠던 점, 오픈채팅 서비스는 익명성을 보장하는 서비스가 아니고 실제로 이 사건 정
보를 구성하는 개별 정보 대부분은 이용자 스스로 자발적으로 공개하는 정보들인 점 
등을 고려하면, 피고의 판단처럼 원고가 ‘중과실’로 ‘중대한 위법행위’를 한 경우에 해
당하지 않을 뿐만 아니라 부과한 과징금액이 유사한 사례들에 비추어 보더라도 지나치
게 과도하여 비례ㆍ평등원칙에 어긋난다.
4. 인정사실
가. 이 사건 해킹의 구체적인 방법
1) 정식 B 프로그램은 B 서버와 이용자의 단말기가 주고받는 통신 데이터를 선별하
여 노출하고, 이 때문에 일반적인 B 이용자들은 노출되는 ‘프로필’을 기준으로 상대방
을 식별ㆍ확인할 뿐, 통신 과정에서 송ㆍ수신이 이루어지지만 이용자에게 노출되지는 
않는 D를 직접 확인하는 것은 아니다. 그러나 B API를 활용하여 개발된 ‘Node-Kakao’ 
등의 비인가 프로그램을 활용하면서 데이터 후킹(가로채기) 공격 등을 시행할 경우, B
- 12 -
의 통상적인 통신 방식을 그대로 재현하면서도 정식 프로그램이 접근ㆍ수정을 제한하
고 있는 서버와의 API 호출 데이터 자체를 취득할 수 있고, 이를 통해 휴대전화번호 
입력에 따른 친구추가 등의 API 호출 과정에서 송ㆍ수신되는 특정 이용자의 D를 직접 
확인할 수 있게 된다.
2) 위와 동일한 방법으로 비인가 프로그램을 활용하면 오픈채팅 서비스에서 활용되
는 E도 취득할 수 있다. 그리고 앞서 1. 가. 5)항에서 살펴본 E와 D 사이의 연계 방법
을 뒤집어 활용하면 E로부터 D를 추출하는 것도 가능하다. 즉, E를 다시 2진법 수로 
변환한 다음 뒷부분 30자리 숫자를 떼어 10진법 수로 변환하면 D가 되는 방식이다.
3) 원고는 2020. 8. 5.경 그 이후로 생성되는 오픈채팅방에 관하여는 E를 암호화하는 
조치를 취하였으나, 이처럼 암호화된 E에 관하여도 아래와 같은 방법으로 보안 취약점
을 이용하는 파라미터 변조 공격을 시행한다면 여전히 암호화가 해제된 평문 E를 취
득할 수 있었고, 이를 토대로 D를 추출하는 것이 가능하였다.
가) 원고는 2018. 9.경 오픈채팅에 공지사항 등을 게시하는 ‘게시판’ 기능을 추가하
였고, 2020. 2.경 오픈채팅 서비스 내에 특정 이용자를 언급하여 알림을 보내는 기능인 
‘멘션’ 기능을 도입하였다. ‘멘션’ 기능은 이용자가 메시지 입력창에 ‘@’와 함께 다른 이
용자의 프로필에서 확인되는 프로필명을 입력하면 오픈채팅방 내에 있는 해당 상대방
이 특정되어 알림을 보내는 방법으로 작동한다.
나) B 프로그램의 정상적인 작동 범위 내에서 위 멘션 기능은 원칙적으로 해당 오
픈채팅방 내에 있는 임의의 이용자를 상대로 이루어지는 것이고, 그 오픈채팅방에 참
여하지 않은 다른 이용자는 상호작용의 상대방이 아니므로 멘션 기능의 대상도 될 수 
없어야 한다. 그러나 비인가 프로그램을 활용하여 멘션 기능을 사용하는 과정에서 해
- 13 -
당 오픈채팅방에 참여하지 않은 다른 오픈채팅방 참여자의 E를 임의로 입력하는 경우
에도 차단되지 않고 정상적으로 처리되는 파라미터 변조 취약점이 존재하였다.
다) 2020. 8. 5. 이후 생성된 오픈채팅방에서 해당 채팅방에 참여한 이용자의 암호
화된 E를 취득한 다음, 위 취약점을 이용하여 2020. 8. 5. 이전에 생성되어 E 암호화가 
이루어지지 않은 오픈채팅방의 게시판에서 게시글을 작성하며 해당 E를 입력하여 이
용자를 멘션할 경우 암호화가 해제된 평문 E가 결과값으로 응답되었다.
4) 해커들은 약 3개월에 걸쳐 임의로 생성한 A계정 28,573개 중 4,714개를 사용하여 
2023. 1. 7.부터 2023. 1. 9.까지 약 33시간 동안 계정 1개당 15,000개 정도의 무작위 
휴대전화번호를 입력하는 방식으로 친구추가를 시도하였고, 그중 성공한 휴대전화번호
에 대응하는 프로필명 등의 정보를 약 4,490만 건 획득하였다. 이는 수치상 약 30초당 
1번씩 약 15,000명의 친구추가 시도가 계정을 바꾸어가며 이루어진 것이고, 친구추가
가 시도된 전체 휴대전화번호의 수는 대략 7,000만 개에 이른다. 해커들은 위와 같은 
친구추가 시도 과정에서 필리핀 소재 서버 10대 및 IP 주소(인터넷에 연결된 장치의 
고유 주소를 의미한다) 70개를 활용한 것으로 보인다.
5) 해커들은 앞서 살펴본 오픈채팅방의 멘션 기능 관련 파라미터 변조 공격 등을 통
해 암호화된 오픈채팅방 참여자의 E를 평문으로 전송받아 확인하고, 여기서 D를 추출
한 다음 D를 중심으로 이 사건 정보의 데이터베이스를 구축하였다. 피고의 조사결과에 
의하면, 원고가 관련 로그를 보관하고 있던 2023. 2. 10.부터 2023. 3. 10.까지 해커들
은 19개 계정을 이용하여 파라미터 변조 공격을 위한 오픈채팅방 내의 게시판/댓글 입
력 API 호출(멘션 파라미터 포함) 요청을 24,114회 실시하여 65,719건(중복 제거)의 E
를 조회하였는데, 같은 기간 동안 정상 이용자에 의한 요청을 포함한 같은 API 전체 
- 14 -
호출(멘션 파라미터 포함) 요청은 73,369회 이루어졌다.
나. 이 사건 해킹 전후로 이루어진 보안 취약점 문제 제기 및 원고의 대응 조치
1) 스마트폰의 대중화와 함께 B는 휴대전화 이용자 대다수가 사용하는 모바일 메신
저로 급격하게 성장하여 오랜 기간 그 지위를 유지하고 있다. 자연스럽게 B의 작동 방
식, 구조 등에 관하여도 해커나 개발자들이 많은 관심을 기울이게 되었는데, 이미 
2012. 12.경에는 B가 2011년경 개발하여 채택한 메시지 전송 방식인 ‘로코 프로토콜’의 
분석을 통해 휴대전화번호를 이용하여 특정 이용자의 프로필 정보와 유저아이디(D를 
의미하는 것으로 보인다)를 알아내는 방법에 관한 온라인 게시글이 작성되기도 하였다.
2) 2020. 5. 2.경에는 B 비인가 프로그램인 ‘Node-Kakao’가 개발자 사이트(Github)에 
최초 게시된 후 지속적으로 업데이트되었고, 위 프로그램을 비롯하여 B API를 활용한 
다른 오픈소스 라이브러리도 개발자 사이트에 다수 공개되었다. 이를 이용하면 정상적
인 B 프로그램으로는 불가능한 여러 기능을 구현할 수 있었고, 데이터 송ㆍ수신 과정
에서 일반적으로는 드러나지 않는 D를 직접 확인하는 기능이 그중 하나였다. 원고도 
이러한 상황을 인지하고 2020. 7.경 내부적으로 대응 논의를 하였으나 구체적인 피해
가 발생하지 않은 상황에서 특별한 법적 대응에까지 나아가지는 않았다.
3) 당초 원고의 오픈채팅 서비스에서 활용되는 E는 암호화되지 않은 채 앞서 인정한 
바와 같이 진법 변환, 자리수 고정 등의 방법만을 활용하여 D와 연계되어 있었다. 원
고는 2020. 8. 5.경 그때부터 새로 생성되는 오픈채팅방에 한하여 이용자의 E를 암호
화하도록 시스템을 변경하였으나, 기존에 이미 생성된 오픈채팅방에 관하여는 그러한 
조치를 취하지 않았다.
4) 2021. 9. 12.경 개발자 사이트에 ‘D와 2020. 8. 이전에 생성된 오픈채팅방 이용자
- 15 -
의 E 사이에 연결 로직이 있는데, 2020. 8. 이후에 생성된 채팅방에 관하여는 적용되
지 않는다. 2020. 8. 이전 채팅방에는 참여한 이용자들의 프로필 ID 초반 부분이 다 같
았으나 2020. 8. 이후 채팅방에서는 서로 달랐다. 연결 로직에 해당 오픈채팅방의 
linkID가 연관되어 있을 가능성이 있다’는 글이 게시되었고, 이 사건 해킹 무렵인 2023. 
1. 10.경에는 원고가 직접 운영하는 공식 개발자 커뮤니티 사이트 ‘데브톡’에 ‘B 오픈채
팅방의 보안 허점과 개인정보 누출’이라는 제목으로 ‘오픈채팅방에서 나간 특정 이용자
의 ID를 이용해 실제 프로필ID와 이메일 주소, 전화번호까지 추출해 공개할 수 있다’는 
취지의 글이 게시되기도 하였다.
5) 이 사건 해킹이 이루어진 이후 원고는 2023. 3. 10. 언론사의 보안 취약점 관련 
취재요청을 받고 이 사건 해킹에서 활용된 파라미터 변조 공격을 방어하는 방법으로 
오픈채팅방 게시판에 게시글을 작성하면서 멘션 기능을 사용할 때 그 상대방이 해당 
채팅방에 참여하고 있는지를 확인하여 입력을 차단할 수 있는 참여자 검증 절차를 추
가하였고, 2023. 3. 11.~13.경 오픈채팅방 관련 로그를 분석하여 파라미터 변조 공격 
등을 활용해 오픈채팅방 게시판 API를 비정상적으로 호출한 내역이 확인되는 계정들에 
대한 이용제한 등의 조치를 하였다.
6) 원고는 2023. 5. 3.경 모든 오픈채팅방 참여자의 E 암호화 조치를 위해 이용자들
에게 B 어플리케이션을 업데이트하도록 안내하면서 업데이트를 하지 않을 경우 메시
지 작성이 제한되도록 조치하였다. 이를 통해 모든 오픈채팅방 참여자의 E가 암호화되
었는데, 당시 암호화 대상 오픈채팅방의 수, 즉 2020. 8. 5.경 이전에 생성되어 암호화 
조치가 적용되지 않은 채 남아있던 오픈채팅방의 수는 전체 오픈채팅방의 약 8%에 달
하였다[피고가 2023. 3. 20. 기준으로 확인한 내용에 의하면 약 18.2%인데, 불과 2개
- 16 -
월 만에 10% 가량이 감소한 것은 원고가 ‘소멸하지 않은’ 전체 오픈채팅방이 아니라 1
개월 내 메시지 수발신 내역이 있는 ‘활성화’된 오픈채팅방을 기준으로 수를 계산하였
기 때문이거나(피고도 2023. 3. 20.경 ‘활성화’된 오픈채팅방 수를 기준으로 하면 약 
7.9%라고 보았다), 이 사건 해킹에 관한 언론보도 등을 계기로 다수의 사람들이 오픈
채팅방을 이탈하여 단기간에 다수가 소멸하였기 때문이라고 보인다].
7) 당초 B 회원가입 과정에서 화면상으로는 ‘프로필’란에 ‘이름’을 기재하여야 하는 
것처럼 안내하고 있었으나, 원고는 2023. 9. 13.경부터 위 ‘프로필’란의 안내 문구를 ‘닉
네임’으로 변경하였고, 2023. 9. 14.경 이용자가 원하는 경우 제3자가 휴대전화번호를 
입력하여 친구추가하는 것을 거부할 수 있도록 설정하는 기능을 추가하였다.
다. 원고가 운영하는 보안시스템 및 보안 정책의 내용
1) 원고는 정보통신망을 통한 불법적인 접근 및 침해사고를 방지하기 위해 보안시스
템을 구축ㆍ운영하고 있다. 해당 보안시스템은 네트워크 접근 통제를 위한 각종 침입
탐지 시스템 및 방화벽, 백신 프로그램을 활용한 악성코드 탐지ㆍ대응 등의 서버 보안 
체계, 로그 분석 등을 통한 각종 이상행위의 실시간 탐지ㆍ대응체계, 주기적인 보안 정
책 수립ㆍ업데이트 및 변경 이력 기록을 통한 보안 정책 및 운영 관리 등의 사항으로 
구성되어 있다. 이와 함께 원고는 정기적인 모의 보안침투시험, 보안진단 등을 통해 보
안 취약점을 식별ㆍ조치하는 절차를 운영하고 있고, 2013년경부터 정보보호 및 개인정
보 보호 인증제도에 따른 한국인터넷진흥원의 인증을 받아 현재까지 유지하고 있다.
2) 원고는 2014. 12.경부터 내부적인 기준에 따라 어뷰징 행위로 판단될 경우 메시
지 발신제한, 신규 채팅방 생성불가, 오픈채팅 이용제한 및 친구추가 제한 등을 적용하
는 이용자 보호조치를 도입하여 점진적으로 확대하여 왔다. 원고는 2019. 6.경 어뷰징 
- 17 -
가능성이 높은 경우 ‘친구추가 불가’ 조치를 적용할 수 있도록 하였고, 2021. 5.경 비인
가 프로그램 접근을 탐지할 경우 서비스 전체 기능을 제한하는 조치를 적용할 수 있도
록 하였으며, 2021. 9.경부터 2022. 2.경까지 어뷰저로 판단된 이용자의 친구추가 수를 
일정 수로 제한하거나 친구추가 방식에 따라 일정 시간당 친구추가 가능 횟수를 제한
하는 정책을 적용하였다.
3) 원고의 이용자 보호조치는 기본적으로 ‘스코어’와 ‘룰’의 설정을 통해 이루어진다. 
‘스코어’란 이용자의 가입(이용)환경, 친구추가 패턴, B 기능을 이용하는 행동 패턴, 친
구 관계 등의 다양한 특징들을 ‘수치화’하여 일반적인 정상 이용자와의 차이를 검토하
는 것을 의미하고, ‘룰’은 확인되는 어뷰징 행위의 스코어 패턴ㆍ분포 등을 조합하여 
해당 어뷰징 행위를 방지할 수 있는 특정한 조건을 마련하여 적용하는 것을 의미한다. 
원고는 2019년 이후로 비인가 프로그램의 사용을 차단하거나 대량의 친구추가를 차단
하기 위해 수시로 스코어, 룰 정책을 변경ㆍ개선하여 적용하였는데(원고는 해당 조치가 
240건이 넘는다고 주장한다), 대표적으로 2020. 5. 15. 적용한 ‘불특정한 친구 대량 업
로드 패턴’에 관한 조치를 예로 들어보면, ‘친구추가의 빈도와 양’, ‘추가된 친구 사이의 
연관성 정도’, ‘이용자의 행동 패턴 순서’ 등을 각각 수치화한 ‘스코어’를 조합하여 어뷰
징으로 판단하는 ‘룰’을 설정한 다음 그 조건이 만족되면 ‘친구추가 금지’의 이용자 보
호조치를 적용하는 것이다.
4) 원고가 위와 같은 스코어, 룰의 조합 등을 통해 어뷰저로 판단하여 제재를 가한 
내역은 이 사건 해킹 무렵에도 월별로 많게는 수만 건에 이른 것으로 보인다. 원고는 
피고에게 최근 1~2년간 비인가 프로그램 사용 및 친구 대량추가를 방지하기 위해 적용
한 이용자 보호조치 사례들을 제출하였는데, 이는 짧은 시간 내에 대량의 친구를 한꺼
- 18 -
번에 추가한 경우, 어뷰징으로 판단된 기존 사례와 유사한 환경에서 서비스를 사용한 
경우, 짧은 기간 내에 대량의 (오픈)채팅방을 개설한 경우, 통신사 확인이 되지 않는 
해외 가상번호를 사용한 경우, 이용자들의 신고가 다수 접수된 경우, PC에뮬레이터 등 
비정상적 환경에서 서비스를 사용한 경우 등으로 나누어 각각 50건 이상씩 발췌한 내
역으로 구성되어 있다.
5) 원고는 2014. 6.경 이전에 주소록 동기화 방식으로 친구추가 가능한 수를 1회당 
15,000명으로 제한하였다. 원고는 그 이후 2020. 6.경 최대 추가 가능한 친구의 수도 
15,000명으로 제한하였고, 2021. 9.경에는 어뷰저로 판단될 경우 1회당 및 최대 추가 
가능한 친구의 수를 1,200명으로 제한하는 정책을 도입하였으며, 2022. 2.경에는 IP 주
소별 최대 추가 가능한 친구의 수를 30분당 90,000명으로 제한하였다. 원고는 이 사건 
해킹 이후인 2023. 4.경 어뷰저로 의심되는 이용자의 친구추가 수를 8시간 동안 100명
으로 제한하는 정책을 도입하였다.
[인정근거] 다툼 없는 사실, 갑 제2~40호증, 을 제1~14, 21~25호증, 변론 전체의 취지
5. 개인정보 유출 해당 여부
가. 관련 규정과 법리
개인정보보호법상 ‘개인정보’란 살아 있는 개인에 관한 정보로, 여기에는 성명, 주민
등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(제2조 제1호 가.목)와 해당 
정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 
있는 정보가 포함되고(제2조 제1호 나.목 전단), 이 경우 쉽게 결합할 수 있는지 여부
는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 
합리적으로 고려하여야 한다(제2조 제1호 나.목 후단).
- 19 -
개인정보보호법 제29조는 ‘개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ
변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 
하여야 한다’고 정하고 있다. 여기서 개인정보의 ‘유출’이란 개인정보가 해당 개인정보
처리자의 관리ㆍ통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것
을 의미한다[대법원 2014. 5. 16. 선고 2011다24555, 24562 판결, ｢표준 개인정보 보호
지침｣(개인정보보호위원회고시) 제25조 등 참조].
나. 판단
앞서 인정한 사실 및 앞서 든 증거들과 변론 전체의 취지를 종합하여 알 수 있는 아
래 사정들을 위 법리에 비추어 살펴보면, 이 사건 해킹으로 인하여 이 사건 정보의 데
이터베이스가 구축되어 온라인에 공개ㆍ판매된 것은 ‘개인정보 유출’에 해당한다고 넉
넉히 인정할 수 있다. 이처럼 개인정보 유출 사실이 인정되는 이상, 개인정보 유출 자
체가 발생하지 않았다는 전제에서 개인정보 유출 신고 및 이용자 대상 유출 통지를 하
지 않은 원고가 구 법 제39조의4 제1항을 위반하였다는 제2처분사유가 인정된다.
1) 이 사건 정보는 원고 스스로도 인정하는 것처럼 개별 구성 요소들이 결합된 상태
에서 ‘특정한 휴대전화번호ㆍ프로필명을 사용하는 이용자가 특정 오픈채팅방에 참여하
여 활동하고 있음’을 나타내는 정보이다. 앞서 살펴본 것처럼 오픈채팅은 동일한 관심
사ㆍ취미ㆍ목적을 가진 이용자들이 참여하여 상호작용하는 서비스임을 고려하면, 위와 
같이 특정한 이용자가 특정 오픈채팅방에 참여ㆍ활동하고 있다는 정보는 곧 특정한 이
용자가 관심을 가지는 주제나 취미가 무엇인지에 관한 정보라고 할 수 있다. 이 사건 
정보가 온라인상에서 고가에 판매되었던 것도 단순히 이름과 휴대전화번호 등이 포함
되어 있었기 때문이 아니라 특정한 개인의 관심사와 취미에 부합하는 광고 등에 활용
- 20 -
할 수 있었기 때문이라고 보인다. 특히 앞서 인정한 것처럼 2023. 9. 13.경까지는 B 회
원가입 과정에서 이용자들이 프로필명으로 이름을 사용하여야 하는 것처럼 안내되었
고, 실제로 대부분의 사람들은 이름을 프로필명으로 사용하여 B 일반채팅 서비스를 이
용하였던 것으로 보이며, 피고가 온라인상에서 이 사건 정보의 판매를 확인한 내역에 
의하더라도 대부분 이용자 개인의 이름이 드러나 있었다(따라서 이하 이 부분 판단 내
에서는 ‘프로필명’을 간이하게 ‘이름’으로 대체하여 지칭한다). 이러한 사정을 종합하면, 
‘특정한 개인의 이름ㆍ휴대전화번호ㆍ관심사ㆍ취미’를 의미하는 이 사건 정보 역시 살
아 있는 개인을 알아볼 수 있는 정보로서 개인정보보호법령의 규율을 받는 개인정보에 
해당한다.
2) 이 사건 정보가 결합된 형태 자체로 원고 DB에서 외부로 유출된 것이 아니라는 
사정은 개인정보 유출 여부 판단에 아무런 지장이 되지 않는다. 심지어 이 사건 정보
의 결합 자체는 복잡한 기술적 수단을 활용하여 정보를 가공ㆍ분석함으로써 새로운 정
보를 창출해 낸 것이 아니라 해커가 취득한 개별적인 정보들을 단순히 D를 중심으로 
대응시킨 정도에 불과할 뿐이다. 단적인 예로 해커가 해킹을 통해 DB에서 이름과 휴대
전화번호를 각각 취득한 다음 외부에서 ‘이름 – 휴대전화번호’의 형태로 결합하여 공개
하였다면 위와 같이 결합된 형태에서 곧바로 유출되지 않았다는 사정만을 들어 개인정
보 유출에 해당하지 않는다고 볼 수 없는 것과 같은 이치이다.
3) 해커가 이 사건 해킹으로 이 사건 정보를 구성하는 개별 정보들, 즉 이름과 D, 오
픈채팅방명과 오픈채팅방 프로필을 모두 원고가 관리ㆍ통제하는 DB에서 전송받아 취
득한 사실 자체는 분명하다(단지 B가 제공하는 정상적인 기능과 해킹 공격을 같이 활
용하였을 뿐이다). 원고는 위 개별 정보들이 모두 B 일반채팅ㆍ오픈채팅 서비스 내에
- 21 -
서 당연히 이용자에 의한 접근이 가능하거나 공개될 수 있는 정보에 해당하므로 원고
의 관리ㆍ통제를 벗어나 비로소 권한 없는 자가 알 수 있는 상태에 이르게 되는 ‘유출’
에 해당하지 않는다는 취지로 주장하나, 이는 다음과 같은 이유로 받아들일 수 없다.
가) B는 기본적으로 상대방의 휴대전화번호만 입력하면 그 상대방이 친구로 추가
되어 대화를 하거나 프로필을 확인할 수 있는 시스템을 기반으로 설계되었고, 친구추
가 요청과 상대방의 수락 등의 번거로운 절차를 요하지 않았다. 스마트폰의 대중화와 
함께 B가 전국민적으로 이용되는 모바일 메신저로서의 지위를 공고히 한 것에는 B가 
제공하는 여러 기능의 유용성과 편의성, 원고의 사업 수완 등 다양한 요소가 복합적으
로 작용하였겠지만, 위와 같이 메신저의 가장 기본적인 기능에 해당하는 ‘친구추가’와 
‘대화’의 측면에서 번거로운 절차를 요하지 않는다는 편의성도 매우 중요한 하나의 요
인이었다고 보인다.
나) 그러나 원고가 설계ㆍ개발한 B의 위와 같은 시스템은 이용자의 편의성에 집중
하는 측면이 있는 만큼, 반대로 휴대전화번호만 알면 상대방의 명시적인 동의가 없는 
경우에도 대화 여부를 불문하고 상대방이 설정한 이름, 사진 등의 프로필까지 확인할 
수 있다는 문제점을 당연히 내포하고 있다. 기본적으로 타인이 개인정보에 해당하는 
휴대전화번호를 알고 있다는 것은 달리 말하면 개인정보주체가 그 타인에게 휴대전화
번호를 자의로 공개하였다는 의미이므로, 위와 같이 휴대전화번호를 알고 있는 사람들
이 자신의 프로필을 확인하는 것 자체는 B의 구조와 특성을 알고 사용에 동의한 이용
자에게 별다른 문제가 되지 않는다. 하지만 이용자가 직접 휴대전화번호를 공개하지 
않은 타인의 경우에는 문제가 다르다. 물론 휴대전화번호의 특성상 실수로, 혹은 우연
히 특정 이용자의 휴대전화번호를 입력함으로써 친구추가 기능이 작동하여 프로필이 
- 22 -
노출되는 결과가 초래될 수 있고, 이용자들도 이러한 가능성이 있다는 것을 충분히 인
식한 상태에서 B를 사용하고 있기는 하다. 그렇지만 B 이용자들이 휴대전화번호의 입
력만으로 개인정보가 노출될 수 있다는 위험성을 용인ㆍ감수하는 범위 역시 마찬가지
로 위와 같이 B의 정상적인 이용 과정에서 당연히 실수나 우연에 의해 일어날 수 있
는 소수의 예외적인 경우에 한정될 뿐이다. B 이용자들이 이러한 예외적인 경우를 넘
어 불법적인 방법을 활용하여 자신의 휴대전화번호를 입력해 개인정보를 확인하는 결
과까지 용인ㆍ감수한 상태에서 B를 사용한다고 볼 수 없음은 분명하다.
다) 이러한 측면에서 개인정보를 처리하는 정보통신서비스 제공자인 원고는 이름 
등을 비롯하여 B 이용자들로부터 수집한 개인정보가 통상적인 이용에 따른 범위를 넘
어 불법적인 방법으로 유ㆍ노출되지 않도록 관리ㆍ통제하여야 할 책임이 있고, 앞서 
본 것처럼 휴대전화번호 입력에 따라 이루어지는 친구추가의 횟수를 일정 범위로 제한
하는 등의 정책은 바로 그러한 관리ㆍ통제의 대표적인 예시이다. 물론 친구추가 제한 
정책 등은 스팸 메시지 발송 등의 다른 불법적인 이용을 방지하려는 취지도 있겠지만, 
이처럼 원고가 스스로 의도한 B 서비스의 본질상 잠재된 개인정보 유ㆍ노출 위험을 
방지하려는 취지도 있음이 분명하다. 따라서 통상적인 이용 과정에서 수반되는 자연스
러운 허용 범위를 초과하여 불법적인 방법으로 원고가 관리ㆍ통제하는 DB로부터 대규
모의 개인정보를 취득하는 행위는, B 서비스가 기본적으로 제공하는 정상적인 기능을 
함께 이용하여 이루어진 것인지 여부와 무관하게 ‘개인정보 유출’에 해당한다고 평가할 
수 있다.
라) 오픈채팅방명 및 오픈채팅방 프로필도 원고가 주장하는 것처럼 오픈채팅방의 
자연스러운 이용 과정에서 당연히 제3자가 알 수 있는 정보에 해당하기는 하지만, 같
- 23 -
은 관심사ㆍ취미를 공유하면서 함께 상호작용에 참여하는 일부의 사람들에게 해당 정
보가 공개되는 것을 넘어 그 범위에 해당하지 않는 사람들이 불법적인 방법으로 이를 
인지하게 되는 것은 오픈채팅방 이용자가 용인ㆍ감수한 위험의 범위에 속한다고 할 수 
없고, 같은 취지에서 불법적인 방법으로 대규모로 취득하는 것은 원고의 관리ㆍ통제를 
벗어나 해당 정보가 유출되는 것과 같다. D 역시 이를 안다는 전제에서는 B이 제공하
는 기본적인 기능을 이용하여 이름 등의 개인정보를 곧바로 확인할 수 있게 된다는 점
에서 결합의 용이성이 충분히 인정되고, 설령 D가 정상적인 통신 과정에서 송ㆍ수신되
는 데이터로 통신 당사자가 애초에 접근이 가능한 정보라고 하더라도, 비인가 프로그
램 등의 활용 없이 정상적인 이용 환경 내에서는 D 자체를 조회할 수 없으므로 불법
적인 방법으로 대규모로 취득하는 것은 원고의 관리ㆍ통제를 벗어나는 행위임이 분명
하다.
마) 이처럼 이 사건 정보를 구성하는 개별 정보들이 애초에 공개 가능성을 전제하
고 있다는 것은 개인정보 ‘유출’ 여부의 판단에 직접적인 영향을 미칠 수 없다. 그리고 
앞서 인정한 바와 같이 해커들은 각종 비인가 프로그램과 단기간에 일반적으로 생성할 
수 없는 수만 개의 계정, 해외 IP 주소 수십 개, 파라미터 변조 공격 등 불법성이 명백
한 공격수법 등을 동원하여 막대한 규모로 이루어진 이 사건 해킹을 통해 원고가 관리
ㆍ통제하는 DB에서 이 사건 정보를 취득하였으므로, 이는 개인정보 유출에 해당한다고 
평가함이 마땅하다.
4) 해커가 이 사건 해킹으로 ‘이름 – 휴대전화번호’만을 연계한 대규모 DB를 구축하
여 판매한 경우를 상정하여 보면 쉽게 이해할 수 있다. 이러한 상황이 개인정보보호법
령의 규율에 따라 방지되어야 하는 결과임은 분명하다. 해커가 단기간에 다수 계정, IP 
- 24 -
주소 등을 활용한 불법적인 방법으로 대규모의 정보를 취득하여 ‘이름 – 휴대전화번호’
의 DB를 구축하는 것은, 정상적인 이용자가 일반적인 B 활용 과정에서 일정한 범위의 
이름, 휴대전화번호를 알게 되거나 이를 대응시키는 목록을 구성하는 것과는 전혀 다
른 차원이기 때문이다(이러한 방법으로는 이 사건 해킹으로 이루어진 것처럼 대규모의 
DB를 구축하는 것 자체가 원천적으로 불가능하거나, 원고가 적용하는 관리ㆍ통제 정책
의 내용에 따라 지나치게 오랜 시간과 과도한 노력이 필요하므로 그 위험성을 합리적
인 수준에서 제한ㆍ관리하는 것이 가능하다). 원고는 제3자가 임의로 휴대전화번호를 
입력하여 해당 이용자의 프로필명을 열람하는 것이 개인정보 유출에 해당한다면 B 서
비스 자체를 부정하는 것과 다르지 않다고 주장한다. 그러나 원고의 주장을 그대로 따
라 위와 같이 불법적인 방법을 활용하여 대규모로 이름 등의 개인정보를 취득하는 경
우까지 개인정보보호법령에 따른 규율 범위에서 벗어난다고 보는 것은, 애초부터 이용
자 편의성을 증진하는 대신 개인정보 유출의 위험성이 다소간 잠재된 사업 구조를 설
계ㆍ개발하여 이를 토대로 시장에서 절대적인 점유율을 가진 지위를 공고히 하는 사업
상의 이익을 얻은 원고가, 위와 같이 잠재된 위험성이 현실화되지 않도록 유효적절한 
관리ㆍ통제를 하여야 하는 비용을 충분히 부담하지 않은 채 개인정보 보호의 가치를 
희생시키는 것을 정당화하는 결과로 이어진다는 점에서 결코 받아들일 수 없다.
6. 제1처분사유 인정 여부(개인정보 안전성 확보에 필요한 조치 소홀)
가. 관련 법리
1) 정보통신서비스는 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고, 정보통
신서비스 제공자가 구축한 네트워크나 시스템 및 운영체제 등은 불가피하게 내재적인 
취약점을 내포하고 있어서 해커의 불법적인 침입행위에 노출될 수밖에 없으며, 완벽한 
- 25 -
보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기
대하기 어렵다. 또한, 해커는 여러 공격기법을 통해 정보통신서비스 제공자가 취하고 
있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신
망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기
술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 
이루어지는 것이 일반적이다.
이처럼 개인정보를 처리하는 정보통신서비스 제공자가 취해야 할 개인정보의 안전
성 확보에 필요한 보호조치에 관해서는 고려되어야 할 특수한 사정이 있으므로, 정보
통신서비스 제공자가 법령의 위임에 따라 개인정보의 안전성 확보를 위해 취하여야 하
는 기술적ㆍ관리적 보호조치의 기준을 정하는 구 보호조치기준 제4조에 규정된 보호조
치를 다하였는지 여부는, 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수
준, 정보통신서비스 제공자의 업종ㆍ영업규모, 정보통신서비스 제공자가 인터넷 홈페이
지 등의 설계에 반영하여 개발에 적용한 보안대책ㆍ보안기술의 내용과 실제 개발된 인
터넷 홈페이지 등을 운영ㆍ관리하면서 실시한 보안기술의 적정성 검증 및 그에 따른 
개선 조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹에 의한 개인
정보 유출의 경우 이에 실제 사용된 해킹기술의 수준과 정보보안기술의 발전 정도에 
따른 피해발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개
인정보의 유출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고
려하여 판단하여야 한다(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결, 대법원 
2021. 8. 19. 선고 2018두56404 판결 등 참조).
2) 구 보호조치기준은 개인정보의 안전성 확보를 위하여 필요한 기술적ㆍ관리적 보
- 26 -
호조치의 ‘최소한의’ 기준을 정하는 것을 목적으로 하고(제1조 제1항), 정보통신서비스 
제공자는 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보 
보호조치 기준을 수립하여 시행하여야 한다(제1조 제2항). 피고는 한국인터넷진흥원과 
함께 구 보호조치기준에 관한 해설서를 발행ㆍ배포하고 있는데(이하 2022. 10.경 발행
된 해설서를 ‘이 사건 해설서’라 한다), 이 역시 개인정보의 처리 유형ㆍ방법 및 보안 
위험요인의 복잡ㆍ다양성을 모두 상세하게 반영할 수 없는 일응의 지침일 뿐으로, 서
두에서도 ‘해설서에서 안내하는 방법과 예시 등은 정보통신서비스 제공자가 처리하는 
개인정보의 유형 및 중요도, 개인정보를 처리하는 방법 및 환경, 보안 위험요인에 따라 
다르게 적용될 수 있다’는 것을 명시하고 있다. 따라서 정보통신서비스 제공자가 취해
야 하는 보호조치의 구체적인 기준은 구 보호조치기준의 문언이나 이 사건 해설서의 
내용을 참고할 수 있지만 반드시 이에 얽매일 것이 아니라 개인정보보호법령의 규정 
목적과 취지 등에 따라 위 1)항 기재와 같은 사정들을 종합적으로 고려하여 판단하여
야 하고, 특정한 조치가 구 보호조치기준이나 이 사건 해설서에 명시적으로 규정되지 
않았다는 이유만으로 정보통신서비스 제공자가 이행하여야 할 개인정보 보호조치에 해
당하지 않는다고 곧바로 단정할 수는 없다.
나. 제1-2처분사유 인정 여부(개인정보 유ㆍ노출 방지조치 소홀)
1) 구 보호조치기준 제4조 제9항은 ‘정보통신서비스 제공자등은 처리중인 개인정보
가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 
외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기
기에 조치를 취하여야 한다’고 규정하고 있다. 개인정보보호법령의 문언, 입법 목적 및 
규정 체계 등을 고려하면, 위 규정에서 정보통신서비스 제공자의 의무로 규정하고 있
- 27 -
는 조치는 취급 중인 개인정보가 해킹 등 침해사고에 의해 유출되지 않도록 취하여야 
할 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치라고 해석할 수 있다
(대법원 2021. 8. 19. 선고 2018두56404 판결 참조). 이에 관하여 이 사건 해설서는 위 
규정의 문언에 따라 ‘인터넷 홈페이지’를 예시로 들어, ‘설계 과정에서’ 개인정보 유ㆍ
노출에 영향을 미칠 수 있는 위험요소를 분석하여 보안대책을 마련하도록 하고(예: 입
력 데이터의 유효성 검증, 인증ㆍ접근통제 등의 보호조치 적용, 에러ㆍ오류 상황이 처
리되지 않거나 불충분하게 처리되지 않도록 구성, 세션을 안전하게 관리하도록 구성), 
‘개발 과정에서’ 개인정보 유ㆍ노출 방지를 위한 보안기술을 적용하도록 하며(예: URL
ㆍ소스코드ㆍ임시저장페이지 등에 개인정보 사용 금지, 관리자 페이지 노출 금지, 엑셀 
파일 등 숨기기 기능에 의한 개인정보 유ㆍ노출 금지, 시큐어 코딩, 취약점 점검에 따
른 개선 조치, 인증 우회 대비), ‘운영ㆍ관리 과정에서’ 보안대책 및 보안기술 적용에 
따른 적정성을 검증하고 개선 조치를 하도록 하였다(예: 보안대책 정기적 검토, 게시글
ㆍ첨부파일 등에 개인정보 포함 금지, 정기적 점검 및 삭제 등의 조치, 서비스 중단 또
는 관리되지 않는 홈페이지의 전체 삭제ㆍ차단 조치, 공격패턴ㆍ위험분석ㆍ침투테스트 
등을 수행하고 발견되는 결함에 따른 개선 조치, 취약점 점검 결과에 따른 개선 조치).
2) 피고는 제1-2처분사유에 관하여 구체적으로 ① E와 D를 단순 연계하면서 암호화 
조치를 취하지 않은 것, ② 2020. 8. 5.경 새로 생성되는 오픈채팅방에 한하여만 암호
화 조치를 취한 것, ③ 멘션 기능을 도입하면서도 특정 오픈채팅방 미참여자를 멘션할 
수 있게 하는 파라미터 변조 취약점을 방치한 것 등을 지적하면서 원고가 개인정보 유
ㆍ노출 방지조치를 소홀히 하였다고 판단하였다.
3) 앞서 인정한 사실 및 앞서 든 증거들과 변론 전체의 취지를 종합하여 알 수 있는 
- 28 -
사정들을 위 법리에 비추어 살펴보면, 피고가 지적하는 원고의 B 일반채팅ㆍ오픈채팅 
설계ㆍ개발 과정에서의 개별적인 조치들이 각각 모두 그 자체로 개인정보 유출 방지조
치를 소홀히 한 잘못이라고 인정하기는 어려울지 몰라도, 적어도 원고가 2020. 8. 5.경 
새로 생성되는 오픈채팅방에 한하여만 암호화 조치를 시행하고 다른 추가적인 개선 조
치를 하지 않은 행위는 자신의 사업상 편의를 위해 선택한 설계ㆍ개발 구조상 내재된 
일정한 보안상의 위험이 현실화되어 개인정보 유출의 위험성이 발생하였음을 인지하였
거나 인지할 수 있는 상황이 되었는데도 그 위험성을 제거하고 개인정보를 보호하기 
위한 적절한 대응을 시행하지 않은 것으로서, 정보통신서비스의 운영 및 관리 측면에
서 개인정보 유출 방지조치를 소홀히 한 경우에 해당한다고 평가하기에 충분하므로, 
제1-2처분사유는 인정된다. 그 구체적인 이유는 다음과 같다.
가) B 일반채팅 서비스는 휴대전화번호만 등록하면 상대방이 친구로 추가되어 편
리하게 대화할 수 있다는 특성을 가지고 있었지만, 이용자들이 친구로 추가된 상대방
에게 휴대전화번호나 자신이 설정한 프로필 등이 공개되는 것을 부담스럽게 느끼는 경
우도 발생하였다. 이에 원고는 2015. 8.경 B 오픈채팅 서비스를 개시하면서, 그 취지에 
관하여 ‘새로운 친구와 조금 더 쉽게 대화를 시작하는 방법이 있었으면 좋겠다’는 요청
에 부응하여 친구추가 과정 없이 채팅방 링크만으로 채팅을 시작할 수 있고, ‘내 프로
필 정보를 제한적으로 노출할 수 있었으면 좋겠다’는 요청에 부응하여 채팅방마다 프
로필을 따로 설정 가능한 기능을 갖추었다는 보도자료를 배포하였다. 앞서 살펴본 것
처럼 대부분의 사람들이 이름을 프로필명으로 사용하고 있었던 점을 고려하면, 위와 
같이 오픈채팅 서비스의 전제가 된 ‘프로필 정보를 제한적으로 노출하고 대화를 하고 
싶다’는 이용자들의 수요는 그 자체가 ‘익명성’에 관한 희망에 근간을 두고 있음을 쉽
- 29 -
게 알 수 있고, 실제로 지인들에게 공개되는 이름, 사진 등의 프로필 정보가 공개적으
로 노출되지 않는 상태에서 대화가 가능하다는 점이 오픈채팅 서비스의 대중화에 크게 
기여하였음을 부인하기는 어려울 것이다. 그렇다면 원고가 오픈채팅 서비스에 관하여 
이용자들에게 명시적으로 익명성을 보장한다는 취지의 광고ㆍ약속 등을 하였는지와 무
관하게, 원고는 오픈채팅 서비스를 이용하면서 이름 등의 신원이 의사에 반하여 노출
되지 않을 것이라는 회원들의 합리적인 기대에 부응하여 적절한 조치를 취할 의무를 
부담한다고 보아야 한다. B 오픈채팅 서비스가 이용자의 이름 등 개인정보와 직접적인 
연관을 가지는 지점은 D와 E의 관계에 있으므로, 달리 말하면 원고가 부담하는 의무는 
D와 E 사이의 분리 관계를 적절히 유지하는 것이라고 볼 수 있다.
나) B 일반채팅과 오픈채팅은 모두 동일한 이용자가 같은 어플리케이션 내에서 자
유롭게 이용하는 서비스이므로, 각 서비스의 식별자인 D와 E가 ‘동일 회원’의 것임을 
알 수 있는 일정한 관계에 있어야 함은 분명하다. 원고가 이미 D를 중심으로 설계한 
일반채팅 서비스를 제공하고 있다가 오픈채팅 서비스를 새로 도입하면서 E 설정에 관
하여 고려할 수 있는 방안으로는 여러 가지가 있겠지만, 정보보안 측면에서 대표적인 
예시를 들어보면, ① E를 완전히 새로운 임의의 난수값으로 부여하고 서로 독립된 값
인 D와 E 사이의 대응관계에 관한 정보(매칭 테이블 등)를 외부에 유출되지 않도록 원
고만 관리하는 방안(외부에서 매칭 테이블 등을 확보하지 못하는 한 E에 대응하는 D
를 알 수 없음), ② 원고만 관리하는 암호화 키(key)값을 D에 적용하여 암호화된 E를 
생성하는 방안(외부에서 암호화 키값 등 복호화를 위한 정보를 확보하지 못하는 한 E
에서 D를 도출할 수 없음), ③ D를 E 생성에 활용하되 D를 구성하는 구체적인 값의 
위치를 변환하거나 특정 값을 다른 값으로 치환하는 등의 난독화 작업을 반복하여 E
- 30 -
를 생성하는 방안(난독화의 구체적인 방법을 알지 못하는 한 E로부터 D를 추출하는 
것이 불가능하거나 매우 어려움), ④ 변환ㆍ치환 등의 난독화 작업 없이 D를 그대로 
일부 위치에 삽입하여 E를 생성하는 방안 등을 상정하여 볼 수 있다. 이 사건의 경우
는 위 ④방안과 유사한데, D의 세부 구성값을 변환ㆍ치환하는 등의 난독화 작업을 거
치지 않은 채 D를 오픈채팅방 ID의 끝부분에 그대로 이어붙인 다음 자리수를 맞추기 
위한 길이 조절 및 진법 변환만 실시하여 E를 생성하였기 때문이다.
다) 위 방안들 중 ①, ②방안이 개인정보 보호의 측면에서 매우 우월한 지위에 있
음은 분명하다. 그러나 앞서 본 바와 같은 정보보안의 특성상 가장 우월한 보안 강도
를 지닌 조치를 택하지 않았다는 것만으로 보호조치를 소홀히 하였다고 단정할 수는 
없다. 원고가 오픈채팅 서비스를 도입한 2015년을 기준으로 볼 때, D와 E 사이의 연계
성을 유지하거나(즉, 위 ①방안을 택하지 않은 것) D의 암호화 작업을 통해 E를 생성
하지 않는다면(위 ②방안을 택하지 않은 것) 개인정보 보호의 측면에서 상당한 위험이 
초래된다고 단정할 만한 충분한 자료가 제출되지는 않았으므로, 매칭 테이블과 암호화 
키값의 관리 소요, 이용자들에게 초래할 수 있는 불편 등을 종합적으로 고려하여 위 
방안들을 선택하지 않은 원고의 사업상 결단이 곧바로 잘못이라고 보기는 어렵다. 또
한 피고는 원고가 E를 직접 암호화하지 않은 것도 지적하고 있으나, 구 보호조치기준 
제6조에 따르더라도 E 자체가 암호화 조치의 명시적인 대상에 해당하지 않는 점, 앞서 
본 바와 같이 비인가 프로그램을 이용하지 않는 한 B의 정상적인 이용 과정에서 이용
자가 E를 직접 확인할 수는 없는 점, E를 직접 확인할 수 있게 하는 비인가 프로그램
은 2020년경에야 널리 공개된 점 등을 고려하면, 2015년경 오픈채팅 서비스 도입 당시 
E를 직접 암호화하지 않은 원고의 조치가 그 자체로 개인정보 유출 방지를 소홀히 한 
- 31 -
것이라고 단정하기도 어렵다.
라) 그러나 원고가 선택한 E의 설계 방법은 보안의 강도가 높다고 보기 어렵다. 
위 ③방안과 비교하여 보더라도 원고의 E 설계에 ‘난독화’ 작업이 이루어졌다고 볼 수 
있는지 의문일 뿐만 아니라, 설령 난독화에 해당한다고 하더라도 그 정도가 매우 낮다
고 볼 수밖에 없다. 실제로 앞서 4. 나. 4)항에서 살펴본 바와 같이 2021. 9. 12.경에는 
개발자 사이트에 ‘D와 E 사이의 연결 로직이 있고, 같은 오픈채팅방 이용자들의 ID 앞
자리가 모두 동일하다’는 것을 지적하면서 오픈채팅방 ID를 D 앞에 결합하여 E를 생성
한 원고의 설계 방법을 거의 정확하게 추측하는 게시글이 작성되기도 하였다. 위와 같
은 수준으로 D와 E의 연계성이 노출된 상황이라면, E를 2진법의 수로 변환하고 뒷자
리의 수를 바꾸어가며 잘라내어 다시 10진법의 수로 변환한 다음 D와 비교ㆍ검증하는 
방법으로 정확한 변환 구조를 알아내는 것은 정보보안 관련 기술자라면 그리 어려운 
일이 아니었을 것이라고 보이고, 실제로 그로부터 얼마 지나지 않은 이 사건 해킹 시
점에 해커들은 E로부터 D를 도출하기 위한 정확한 방법을 이미 파악한 상태였다.
마) 앞서 본 것처럼 원고가 당초에 E를 암호화하지 않은 것 자체가 잘못이라고 보
기 어려운 이유는 그 당시 B의 정상적인 이용 환경에서는 E를 직접 확인할 수 없었고 
해킹 등을 통해 E를 확인할 수 있다는 명시적인 가능성도 확인되지 않았기 때문이다. 
그러나 2020. 5. 2.경부터는 비인가 프로그램이 개발자 사이트에 공개되면서 원고가 제
한하고 있는 각종 기능을 불법으로 실행할 수 있는 길이 크게 열렸고, 그 핵심적인 사
항 중 하나가 통신 과정에서 송ㆍ수신되는 D 및 E를 직접 확인하는 기능이었다. 원고
의 주장처럼 비인가 프로그램의 사용 자체를 원천적으로 차단하는 것이 불가능한 상황
이라면, 원고로서는 적어도 그 시점부터 D 및 E의 직접 확인에 따라 발생할 수 있는 
- 32 -
여러 보안상 문제점을 확인하고 대책을 충실하게 강구하였어야 한다. 그리고 위와 같
이 보안 강도가 낮은 원고의 E 설계 구조를 악용하여 D를 도출할 가능성이 있다는 것
은 당시의 기술, 원고의 규모, 운용인력 수준 등에 비추어 전혀 예측이 불가능한 사항
이었다고 보이지 않으므로, 이에 대한 적절한 보안대책, 예컨대 E를 암호화한다거나, E
와 D의 연계성을 제거하기 위한 전면 재설정 작업을 하는 등의 조치를 적용하는 것도 
원고가 취해야 하는 조치 중 하나였다고 봄이 타당하고, 이는 위 조치들이 구 보호조
치기준이나 이 사건 해설서에 구체적으로 명시된 것이 아니라는 이유만으로 달리 볼 
수 없다.
바) 위와 같은 대책들 중 원고가 실제로 적용한 조치는 2020. 8. 5.경부터 신규 생
성되는 오픈채팅방에 관하여 E를 암호화하는 것이었다. 비록 원고가 정확한 내부 검토 
및 의사결정에 관한 자료를 제출하지는 않고 있으나, 원고가 위와 같은 조치를 시행한 
것은 비인가 프로그램의 공개 이후 내부적으로 E에 관한 일정한 보안상 문제점이 있
다는 것을 인지하였기 때문이라고 추정된다. 그러나 원고의 위 조치는 당연히 2020. 8. 
5.경 이전에 생성된 오픈채팅방을 이용하는 경우의 보안 위험성을 해소하지 못한다는 
한계를 가지고 있고, 실제로 이는 이 사건 해킹의 가장 결정적인 원인 중 하나로 작용
하였다.
사) 원고는 2020. 8. 5.경 기존의 오픈채팅방까지 모두 E 암호화 조치를 취하는 것
은 엄청난 부작용을 초래할 여지가 있는 복잡한 작업으로 시스템 안정성 및 서비스 연
속성의 측면에서 현실적으로 기대가능한 조치가 아니었고, 빠르게 생성ㆍ소멸하는 오
픈채팅방의 특성상 신규 생성 채팅방에 조치를 취하는 것은 단계적ㆍ점진적인 보안 강
화조치로서 유효적절하였다는 취지로 주장하나, 다음과 같은 이유로 원고가 주장하는 
- 33 -
사정들은 원고가 자신의 사업 존속ㆍ유지를 위해 개인정보 보호라는 중대한 가치를 일
부 포기하는 것을 정당화할 수 있을 정도라고 보기 어렵다.
⑴ 이 사건 해킹이 이루어진 2023. 3.경까지 피고가 파악한 내용대로는 약 
18.2% 정도의 오픈채팅방이 암호화되지 않은 채로 남아있었고, 이 사건 해킹에 관한 
많은 언론보도가 이루어지고 일정한 시간이 지난 2023. 5.경을 기준으로 보더라도 암
호화가 적용되지 않은 비중이 약 8%에 달하였다. 원고의 전체 사업 규모, 수집ㆍ처리
하는 전체 개인정보의 양 등에 비추어 보면, 8% 정도에 달하는 오픈채팅방의 보안 취
약점을 그대로 방치하였다는 것만으로도 개인정보 보호의 관점에서 단계적ㆍ점진적으
로 적절한 보안 강화 조치가 충분하게 이루어졌다고 평가하기 어렵다(당시 잔존한 8%
의 오픈채팅방만 하더라도 상당한 규모로, 피고가 파악한 2023. 3. 20.경을 기준으로 
‘활성화된’ 오픈채팅방만 고려하더라도 암호화가 적용되지 않은 채팅방, 즉 전체의 
7.9%는 무려 14만 개에 달하였다).
⑵ 원고는, 전면적으로 E를 암호화하는 것은 어떤 방식으로 추진하든 간에 기존 
E를 기준으로 이루어진 대화내용에 관한 ‘말풍선 액션’(답장, 리액션 등) 등의 중요한 
기능을 사용하지 못하는 결과를 초래하거나 이용자 중복 집계, 대화내역 소실, 어플리
케이션 사용을 위한 업데이트 강요 등 다양한 기술적 문제를 내포하고 사용자의 불편
을 초래할 수 있었다는 취지로 주장한다. 그러나 원고가 이 사건 해킹 이후 2023. 5. 
3.경 실제로 모든 오픈채팅방의 E 암호화 조치를 하면서 어플리케이션 사용을 위해 필
수적으로 업데이트를 하도록 조치하였던 것만 보더라도, 원고가 주장하는 기술적 문제
나 사용자 불편 등이 도저히 사업자로서 감수할 수 없을 정도에 이르렀다고 보이지는 
않는다. 특히 모바일 메신저 시장 내에서 B의 압도적인 점유율과 인지도, 단순한 메신
- 34 -
저 서비스를 넘어 생활 전반의 다양한 영역으로 확장된 B 기반 서비스들의 범위와 영
향력 등을 고려하면, 보안 강화를 위한 조치 과정에서 일정한 수준의 기술적 부작용이 
발생할 수 있다거나 이로 인해 이용자들에게 불편을 초래할 수 있다는 점이 원고의 사
업성에 중대한 악영향을 미쳤을 것이라고 단정하기는 더욱 어렵다.
⑶ 원고는 기존 오픈채팅방에 관해서까지 E 전체를 암호화하는 것은 해커들이 
비인가 프로그램을 악용한 API 호출ㆍ응답 분석 또는 어플리케이션 분석 등을 통해 파
라미터 변조 공격 없이도 기존 E와 암호화된 신규 E 사이의 매칭 테이블을 확보하게 
되는 중대한 보안상 위험을 초래한다는 취지로도 주장하나, 이러한 원고의 주장은 이 
사건 해킹으로 보안 취약점이 명백하게 드러난 상황에서 시행한 2023. 5.경의 전체 오
픈채팅방 E 암호화 조치조차 중대한 보안 취약점이 내포된 행위임을 자인하는 것이나 
다름없다. 나아가 설령 원고의 주장대로 전면적인 E 암호화 조치가 더욱 중대한 보안 
문제로 인해 실행 불가능한 조치였다고 가정하더라도, 그렇다면 원고로서는 분명하게 
인지한 보안 위험성에 대처하기 위해 보다 많은 비용과 노력을 필요로 하더라도 E 암
호화를 넘는 전면 재설정, 근본적인 연계성 제거 등의 다른 강도 높은 기술적 보호조
치를 동원하였어야 하고, 그것이 전혀 불가능한 상황이었다고 볼 만한 별다른 자료도 
없다.
⑷ 이처럼 높은 강도의 보안 조치가 물리적ㆍ기술적으로 불가능하지 않은 상황
에서 그보다 낮은 강도의 보안 조치를 선택하고서도 투입되는 비용ㆍ노력, 이용자의 
불편을 초래하여 발생할 수 있는 사업상의 손실 등 현실적인 측면만을 이유로 그조차 
충분한 수준으로 이행하지 않는 것은, 원고와 같이 대규모의 인적ㆍ물적 시스템을 구
축한 사업자가 법령상 요구되는 개인정보 보호라는 가치를 실현하는 데에 자신의 기술
- 35 -
적 역량이나 경제적인 비용을 충분히 투입하는 대신 개인정보 유출의 위험성에 기초한 
막대한 사회적 비용을 외부로 전가하는 것과 다름없어 허용될 수 없다.
아) 나아가 앞서 살펴본 바와 같이 이 사건 해킹 무렵인 2023. 1. 10.경에는 원고
가 직접 운영하는 데브톡에 ‘오픈채팅방 이용자의 ID로 실제 프로필 ID를 추출할 수 
있다’는 취지의 게시글이 작성되었고, 이는 이 사건 해킹의 기본적인 골자와 그대로 일
치한다. 원고 주장대로 위 게시글은 작성자가 분명한 근거 없이 허위로 작성한 것이라
고 보이기는 하지만(갑 제4호증), 그 진위 여부를 떠나 적어도 E로부터 D를 추출할 수 
있다는 위험성이 공개적으로 제기된 상황에서 그 시점에라도 원고가 추가적으로 아무
런 조치를 취하지 않은 것 역시 적절한 대응이라고 평가하기 어렵다.
자) 물론 이 사건 해킹은 단순히 E가 암호화되지 않은 2020. 8. 5.경 이전의 오픈
채팅방을 이용한 것으로만 가능하였던 것이 아니라, 이와 함께 오픈채팅방에 참여하지 
않은 이용자를 멘션하는 파라미터 변조 공격이 동반되었기 때문에 가능하였기는 하다. 
원고 주장과 같이, B처럼 상당한 규모의 소스코드가 작성되는 소프트웨어의 경우 입력
되는 파라미터가 다양하고 그 입력 값에 대응하여 소프트웨어가 작동할 수 있는 경우
의 수 역시 매우 방대하기 때문에, 소스코드를 작성하는 개발 단계에서 파라미터 변조
라는 예외적인 상황을 모두 예상하여 이를 소스코드에 반영하도록 기대하기란 쉽지 않
고, 결국 파라미터 변조 공격을 사전에 완벽하게 방지하는 것도 용이하지 않다(대법원 
2021. 8. 19. 선고 2018두56404 판결 참조). 그러나 위와 같은 측면에서 원고가 사전에 
오픈채팅방 멘션 기능에 관한 파라미터 변조 취약점을 발견하고 시정하지 못한 것 자
체를 개인정보 유출 방지조치 소홀로 평가하기는 어렵다고 하더라도, 파라미터 변조 
공격 자체는 보안 취약점을 이용하는 대표적인 공격방법의 하나로 당시에도 이미 널리 
- 36 -
알려져 있었다고 보이는 점을 고려하면, 설령 원고가 멘션 기능을 활용하는 파라미터 
변조 공격의 구체적인 방법까지 명확하게 파악할 수는 없었더라도 파라미터 변조 공격
의 시행 가능성마저 인지하는 것이 불가능하였다고 볼 수 없음은 분명하다. 더구나 
2020. 8. 5.경에는 이미 비인가 프로그램의 공개와 함께 다양한 경로의 보안 취약점 공
격이 이루어질 수 있음이 충분히 예상 가능한 상황이었다. 이러한 측면에서도 당시 원
고가 E의 설계 방법상 내재된 보안 취약점을 인지하고서도 신규 생성 오픈채팅방에 
한하여만 E 암호화 조치를 하고 다른 추가적인 조치를 취하지 않은 것이 당시의 기술 
수준 등에 비추어 적절한 보안상 조치였다고 평가하기는 어렵다.
다. 제1-1처분사유 인정 여부(접근 제한 및 유출 탐지 기능의 운영 소홀)
1) ‘접근 제한 및 유출 탐지 기능의 운영’의 구체적인 내용
구 시행령 제48조의2 제1항 제2호는 정보통신서비스 제공자가 이용자의 개인정보
를 처리하는 경우 구 법 제29조에 따라 개인정보에 대한 불법적인 접근을 차단하기 위
한 안전성 확보 조치로 ① 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시
스템의 설치ㆍ운영 및 ② 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치를 
하여야 한다고 규정하고 있다. 같은 조 제3항의 위임에 따라 그 세부기준을 정하는 구 
보호조치기준 제4조 제5항은 ‘정보통신서비스 제공자는 정보통신망을 통한 불법적인 
접근 및 침해사고 방지를 위해 ① 개인정보처리시스템에 대한 접속 권한을 IP주소 등
으로 제한하여 인가받지 않은 접근을 제한하고, ② 개인정보처리시스템에 접속한 IP주
소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하는 기능을 포함한 시스템을 
설치ㆍ운영하여야 한다’고 규정하고 있다.
이에 관하여 이 사건 해설서는, 정보통신서비스 제공자가 불법적인 접근 및 침해
- 37 -
사고 방지를 위해 스스로의 환경을 고려하여 침입차단시스템, 침입탐지시스템, 침입방
지시스템, 보안 운영체제(Secure OS), 웹방화벽, 로그분석시스템, ACL(Access Control 
List)을 적용한 네트워크 장비, 통합보안관제시스템 등을 활용하거나, 인터넷데이터센터
(IDC), 클라우드 서비스, 보안업체 등에서 제공하는 보안서비스 등을 활용하거나, 공개
용(무료) S/W, 운영체제(OS)에서 제공하는 기능을 포함한 시스템 등을 활용하되 어느 
경우이든 접근 제한 기능 및 유출 탐지 기능이 모두 적합하게 수행되도록 설치ㆍ운영
하여야 하고, 단순히 시스템을 설치하는 것만이 아니라 신규 위협 대응 및 정책 관리
를 위한 정책 설정 운영(접근 제한 정책 및 유출 탐지 정책을 설정하고 지속적인 업데
이트 적용 및 운영ㆍ관리), 이상행위 대응(모니터링 등을 통해 인가받지 않은 접근을 
제한하거나 인가자의 비정상적인 행동에 대응 – 예: 동일 IP, 해외 IP 주소에서의 과도
하거나 비정상적인 접속시도 탐지 및 차단 조치, 과도하거나 비정상적인 트래픽 발생 
시 탐지 및 차단 조치), 로그 분석 등의 방법을 활용하여 시스템을 체계적으로 운영ㆍ
관리하도록 하였다.
위와 같은 내용을 종합하면 구 보호조치기준 제4조 제5항에 따른 ‘접근 제한 및 
유출 탐지 기능의 운영’이란, 침입차단시스템 및 침입탐지시스템 등을 포함하여 구축된 
보안시스템이 제 기능을 수행할 수 있도록 고유의 환경에 부합하는 적절한 보안 정책
을 설정한 다음, 상시적인 모니터링과 로그 분석 등을 통해 위험요인을 적발ㆍ차단하
는 한편, 기술 발전에 따라 또는 모니터링 과정에서 인지할 수 있는 새로운 위험요인
에 대응하는 정책을 재설정하고 적용하는 일련의 과정을 의미한다고 볼 수 있다.
2) 구체적 판단
앞서 4. 다.항에서 인정한 사실에 의하면, 원고가 기본적으로 침입차단ㆍ탐지시스
- 38 -
템을 포함한 보안시스템을 구축하고 각종 위협을 제거하기 위한 여러 보안 정책들을 
설정한 다음 상시적인 모니터링과 로그 분석 등을 통해 정책을 재설정하는 등 개인정
보보호법령과 이 사건 해설서에 따른 접근 제한 및 유출 탐지 기능을 일정한 수준으로 
수행한 것 자체는 부인할 수 없다. 그러나 앞서 인정한 사실 및 앞서 든 증거들과 변
론 전체의 취지에 의하여 알 수 있는 아래 사정들을 종합하면, 원고가 이 사건 해킹에 
이용된 각종 공격방법 등에 대비하기 위해 당시의 정보보안 기술 수준, 원고 사업의 
인적ㆍ물적 규모, 원고가 설계ㆍ개발하여 관리ㆍ운영하는 B 프로그램의 기본적인 특징 
등에 충분히 부합하는 접근 제한 및 유출 탐지 기능을 적절하게 운영하였다고 평가하
기는 어려우므로, 제1-1처분사유도 인정된다.
가) 앞서 살펴본 것처럼 원고가 도입한 친구추가 시스템은 B의 근간이자 빠른 성
장 및 전국민적 점유도를 획득하게 된 주요 요인 중 하나였다고 보인다. 이러한 시스
템은 필연적으로 무작위 휴대전화번호를 입력하여 개인정보가 유출될 가능성을 내포하
고 있으므로, 해당 시스템을 도입한 원고가 보안시스템의 운영 과정에서 중요하게 고
려하여야 할 사항은 대규모의 무작위 친구추가를 이용한 공격을 방어하는 것이다.
나) 실제로 원고가 이를 일정한 수준으로 이행하였다고 보인다. 그리고 원고가 주
장하는 것처럼 이 사건 해킹에 사용된 여러 공격방법 중 일부는 애초에 탐지ㆍ차단 자
체가 불가능하다거나, 일정한 수준의 보안 정책을 설정하더라도 해커가 그 정책에 제
한되지 않는 수준으로 공격의 강도, 방법을 바꾸어가며 해킹을 시도하는 것을 원천적
으로 방지하는 것이 어렵다는 사정도 일부 수긍할 수 있다. 예컨대 이 사건 해킹의 시
작점이었던 다수의 불법 계정 생성의 경우, 하루 평균 약 14만 개의 계정이 생성되고 
있음을 고려하면 해커가 약 100일 동안 28,573개의 계정(하루 평균 286개 정도에 불과
- 39 -
하다)을 생성하는 것은 정책 설정과 모니터링, 로그 분석 등으로 방지하기 상당히 어려
웠을 것으로 보인다. 친구추가 작업을 대규모로 반복하거나 D, E를 확인할 수 있게 하
는 비인가 프로그램의 사용 자체를 원천적으로 방지하는 것도 불가능하였다고 볼 여지
가 있고, 원고 주장처럼 1회당 및 최대 친구추가의 수를 15,000명이 아니라 예를 들어 
10,000명으로 제한하는 등 더욱 강화된 정책을 설정하더라도 그 이하의 수로 친구추가 
작업을 반복하여 같은 결과가 도출될 수 있다는 점 역시 충분히 수긍할 수 있다.
다) 그러나 원고가 위 주장과 같이 정책 설정을 통해서는 대규모 친구추가를 원천
적으로 방지하는 것이 어렵다고 내부적으로 판단하였다면, 적어도 친구추가 작업에 관
한 모니터링과 로그 분석 등 이상행위 대응에 관하여는 더욱 큰 노력을 기울였어야 한
다고 봄이 타당하다. 앞서 살펴본 이 사건 해킹의 구체적인 방법에 의하면, 해커들은 
해외 IP 주소 70개 및 불법 계정 4,714개를 활용하여 평균적인 수치상으로는 약 30초
당 1번씩 약 15,000명의 친구추가 시도를 하였다. 이처럼 정상적인 이용범위를 넘는 
대규모의 친구추가 작업이 계정이나 IP 주소를 변경해가며 이루어질 수 있다는 것과 
해커들이 해외 소재 IP 주소를 주로 사용하는 것 등은 쉽게 예상할 수 있다. 그렇다면 
고도의 정보보안 체계를 충분히 구축할 수 있는 인적ㆍ물적 규모를 갖춘 원고로서는 
정책 설정을 통한 완벽한 사전 대응이 어렵다고 하더라도 해당 부분의 중점적인 모니
터링 및 로그 분석 등을 통해 실시간으로, 또는 최소한 사후적으로라도 그러한 방법의 
공격을 탐지ㆍ차단ㆍ대응할 필요성이 있었다.
라) 구체적인 예시를 들어보면, 동일한 해외 IP 주소에서 여러 계정이 바꾸어가며 
활용되면서 원고가 설정한 최대치인 15,000명에 근접하는 친구추가 시도가 일정 기간 
동안 지속적으로 이루어진다는 사실을 IP 주소당 API 호출 건수를 집계하는 등의 방법
- 40 -
으로 원고가 운영하는 보안시스템 내에서 확인하는 것은 기술적으로 어렵지 않다고 보
인다. 또한, 해커들의 공격은 B 정상 회원으로 확인된 휴대전화번호만 입력하였던 것
이 아니라 무작위로 휴대전화번호를 입력하는 방식이었으므로 필연적으로 일정 수준의 
친구추가 실패율을 기록할 수밖에 없고, 이는 지인의 전화번호를 확인하여 저장하는 
방식으로 이루어지는 정상적인 이용 환경 내의 친구추가와 가장 결정적인 차이라고 볼 
수 있다. 원고 보안시스템 내에서 특정 IP 주소별로 일정한 수준 이상의 친구추가 실패
율을 기록하는 대규모의 친구추가 시도가 지속적으로 이루어지고 있음을 확인하는 것
도 기술적으로 어렵지 않다고 보인다. 나아가 원고가 앞서 본 것처럼 ‘스코어’와 ‘룰’의 
조합을 이용하여 어뷰징 유저를 확인하고 이용자 보호조치를 적용하였음을 고려하면, 
‘해외 IP 주소’, ‘최대 친구추가 수에 근접한 친구추가 시도’, ‘동일 IP 주소 내에서의 지
속적인 반복’ 등의 위험요인들을 적절히 ‘스코어’로 환산한 다음 이를 조합한 ‘룰’을 적
용함으로써 어뷰징 판단을 강화하고, 이와 함께 이 사건 해킹 이후 2023. 4.경 도입한 
것처럼 모니터링 및 로그 분석 과정에서 어뷰징으로 판단되는 경우의 친구추가 수를 
극도로 제한하는 정책을 더 일찍 적용할 여지도 있었다. 그런데도 원고가 운영하는 보
안시스템상 위와 같은 해커의 공격이 모니터링과 로그 분석 등을 통해 전혀 적발되지 
않은 채 허용되었다는 것은, 원고의 접근 제한 및 유출 탐지 기능 운영에 부적절한 부
분이 있었음을 분명하게 시사한다.
마) 나아가 피고는 친구추가 제한 부분을 넘어 E 조회와 관련된 로그를 분석하여 
소수의 계정에서 과도한 입력을 시도하는 이상행위를 탐지ㆍ차단하지 못한 것도 지적
하고 있다. 다음과 같은 사정들을 고려하면, 이 사건 해킹의 핵심적인 수단이었던 파라
미터 변조 공격 관련 API 호출에 관하여도 원고의 접근 제한 및 유출 탐지 기능 운영
- 41 -
에 미흡한 부분이 있었다고 보인다.
⑴ 앞서 본 것처럼 멘션 기능을 활용하는 파라미터 변조 공격의 구체적인 방법 
자체를 원고가 사전에 예상하기는 어려웠다고 볼 여지가 있기는 하지만, 파라미터 변
조 공격이 대표적인 해킹 기법의 하나라는 것이 이미 널리 알려진 상황임을 고려하면, 
파라미터 변조 공격이 수반될 수 있는 API 호출 내역을 모니터링 및 로그 분석 등을 
통해 보안시스템상 적절히 확인하면서 통상적인 이용 환경 내에서 이루어지는 것과 현
저히 다른 이상행위를 탐지하는 것은 파라미터 변조 공격을 사전에 완벽히 차단할 수 
없는 상황에서 대규모 정보통신서비스 제공자인 원고가 더욱 적극적으로 수행하여야 
하는 조치이다.
⑵ 이 사건 해킹에서 활용된 파라미터 변조 공격은 오픈채팅방 내에서 멘션 파
라미터를 포함한 게시판/댓글 입력 API 호출 요청의 방법으로 이루어졌다. 물론 원고
가 운영하는 B 서비스의 규모, 특성상 매우 다양한 종류의 API 호출 요청이 대규모로 
이루어진다는 것은 분명하지만, 원고 보안시스템 내에서 API 종류별로 실시간 또는 일
정 기간 호출 수치를 집계하여 확인하는 것은 기술적으로 전혀 어려운 일이 아니라고 
보이므로(원고 스스로도 이 사건 해킹 이후 로그를 분석하여 파라미터 변조 공격에 이
용된 API 호출 요청 건수를 정확하게 24,114회로 특정하였다), 설령 원고가 파라미터 
변조 공격이 실행되고 있다는 것까지는 인식하지 못하였더라도 위 게시판/댓글 입력 
API 호출이 통상적인 이용 시보다 현저히 늘어났다는 것은 충분히 인지하고 대처할 수 
있었다고 보인다.
⑶ 실제로 앞서 인정한 바와 같이 2023. 2. 10.부터 2023. 3. 10.까지 멘션 파라
미터가 포함된 위 API 호출 요청은 19개 계정을 이용한 해커들에 의해 24,114회 이루
- 42 -
어졌는데, 같은 기간 정상 이용자에 의한 것을 포함한 전체 호출 건수는 73,369회이므
로, 산술적으로 한 달 동안 정상적인 이용 환경에서 이루어지는 API 호출 수(49,255회)
의 약 50%에 달하는 API 호출 건수가 갑자기 증가한 것을 탐지하기 어렵다는 원고의 
주장은 쉽게 납득하기 어렵고(평균적으로 계산했을 때 약 50%이므로 공격이 일정 기
간에 집중되었다면 그 기간의 증가폭은 더욱 컸을 것이다), 이는 위 API 호출 요청이 
전체 API 호출 요청에 비해 매우 적은 비중을 차지하는 경미한 기능이었다고 하더라도 
마찬가지이다.
⑷ 특히 해커들의 위 API 호출 요청은 불과 19개 계정을 이용하여 이루어졌다
는 점에서도 큰 문제가 있다. 원고는 API 호출 요청을 편지 송신 행위에 비유하여, 
API 호출 요청 과정에서 이루어지는 파라미터 변조 공격을 방어하는 것은 수백만 통의 
편지 내용을 일일이 확인하여야 하는 것과 같아 사실상 불가능한 일이라고 주장한다. 
그러나 파라미터 변조 공격 여부를 판단하는 것과 달리 ‘탐지’의 측면에서 살펴보면, 
특정 API 호출 요청의 전체적인 건수 자체가 비정상적으로 증가하는지 여부, 또는 특
정 계정의 특정 API 호출 건수가 비정상적으로 증가하는지 여부 등을 확인하는 것은, 
원고의 비유를 그대로 따르더라도 동일한 편지봉투(동일한 API 호출 요청을 의미한다)
를 사용하여 발신된 편지의 개수 또는 특정 발신인이 동일한 편지봉투를 사용하여 발
신한 편지의 개수를 확인하기만 하면 알 수 있는 것으로서, 기술적으로 어렵지 않게 
수행 가능한 조치라고 판단된다. 그런데도 원고는 앞서 ⑶항에서 본 것처럼 특정 API 
호출 건수가 평소보다 비정상적으로 증가하는 것을 탐지하지 못한 것은 물론, 한 달 
동안 불과 19개 계정에서 원고 스스로 경미한 기능에 불과하다는 API 호출 요청을 
24,114회나 실행하는 것을 사후적으로도 탐지하지 못하였다.
- 43 -
라. 소결론
결국 제1-1처분사유와 제1-2처분사유가 모두 인정되고, 앞서 5.항에서 살펴본 바와 
같이 제2처분사유도 인정된다. 이처럼 처분사유가 모두 인정되는 이상 이를 전제로 구 
법 제64조 제1항, 제66조 제1항을 그대로 따라 이루어진 별지1 목록 제1항 기재 각 시
정명령과 제3항 기재 공표결정은 모두 위법하지 않다.
7. 과징금 부과처분의 재량권 일탈ㆍ남용 여부
가. 관련 법리
행정청이 법령에 정해진 행정처분기준에 따라 처분양정을 한 경우에는 그 처분기준
이 그 자체로 헌법 또는 법률에 합치되지 아니하거나 그 처분기준에 따른 제재처분이 
그 처분사유가 된 위반행위의 내용 및 관계 법령의 규정 내용과 취지에 비추어 현저히 
부당하다고 인정할 만한 합리적인 이유가 없는 한, 섣불리 그 제재처분이 재량권의 범
위를 일탈하였거나 재량권을 남용한 것이라고 판단하여서는 안 되며(대법원 2018. 5. 
15. 선고 2016두57984 판결 참조), 의무위반의 내용과 제재처분의 양정 사이에 대략적
으로라도 비례 관계가 인정되지 않을 정도로 과중하여 사회통념상 현저하게 타당성을 
잃은 경우에 한하여 재량권 일탈ㆍ남용을 인정하여야 한다(대법원 2019. 9. 9. 선고 
2018두48298 판결 참조).
나. 피고의 구체적인 과징금 산정 방법
피고는 구 법 제39조의15 제1항 제5호, 구 시행령 제48조의11 제1항, 제4항, [별표 
1의5] ‘과징금의 산정기준과 산정절차’, 구 과징금 부과기준에 따라 아래와 같은 방법
으로 원고에 대한 과징금을 15,141,960,000원으로 결정하였다.
1) 기준금액의 산정
- 44 -
가) 관련매출액: 구 과징금 부과기준 제4조 제1항은 ‘관련매출액은 위반 정보통신
서비스 제공자등의 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직
전 3개 사업년도의 연평균 매출액으로 한다’고 정하고 있다. 이에 따라 피고는 원고의 
위반행위로 인하여 영향을 받는 서비스를 이 사건 각 서비스(① B 일반채팅ㆍ오픈채팅 
및 이와 연관된 ② 선물하기, ③ 쇼핑하기, ④ 라이브쇼핑, ⑤ F, ⑥ 주문하기, ⑦ 이모
티콘, ⑧ 톡서랍 서비스)로 보고, 아래와 같이 관련매출액을 이 사건 각 서비스에서 발
생한 매출액의 직전 3개 사업연도 연평균 금액 1,201,742,852,000원으로 산정하였다.
나) 중대성 판단: 피고는 구 과징금 부과기준 제5조 제1항에 따라 영리 목적의 유
무, 구 시행령 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 원고가 ‘중
과실’이 있는 경우에 해당한다고 보았고, 그 경우 원칙적으로 구 과징금 부과기준 제5
조 제3항 본문에 따라 ‘매우 중대한 위반행위’로 판단하여야 하나, 위반행위의 결과가 
같은 항 제1호(위반행위로 인해 직접적으로 이득을 취득하지 않은 경우)에는 해당하지
만 같은 항 제3호(이용자의 개인정보가 공중에 노출되지 않은 경우)에는 해당하지 않
는다는 이유로 같은 항 단서에 따라 ‘중대한 위반행위’로 판단하였다.
다) 기준금액 결정: 피고는 위 관련매출액 1,201,742,852,000원에 구 시행령 [별표 
1의5] 2. 가. 1)에 따른 중대한 위반행위의 부과기준율 2.1%를 곱하여 기준금액을 
25,236,600,000원(1,000원 이하 반올림)으로 결정하였다.
비실명화로 생략
- 45 -
2) 필수적 가중ㆍ감경
피고는 구 과징금 부과기준 제6조, 제7조에 따라 원고의 위반행위(2020. 8.경 ~ 
2023. 5.경)가 2년을 초과한다는 이유로 ‘장기 위반행위’에 해당한다고 보아 기준금액의 
50%를 가중하였고, 최근 3년 이내 구 법 제39조의15 제1항에 해당하는 행위로 과징금 
부과처분을 받은 전력이 없다는 이유로 다시 기준금액의 50%를 감경하였다.
3) 추가적 가중ㆍ감경
피고는 구 과징금 부과기준 제8조에 따라 원고가 개인정보 보호를 위해 피고가 인
정하는 인증을 받은 점, 조사에 적극 협력한 점 등을 종합적으로 고려하여 위 필수적 
가중ㆍ감경을 거친 금액의 40%를 감경하여, 최종 과징금을 15,141,960,000원으로 결정
하였다.
4) 전체적인 개요
다. 판단
앞서 인정한 사실 및 앞서 든 증거들과 갑 제27호증, 을 제15~19호증, 변론 전체의 
취지에 의하여 알 수 있는 사정들을 앞서 본 법리에 비추어 살펴보면, 위와 같은 피고
비실명화로 생략
- 46 -
의 과징금 산정은 관계 법령과 규정의 기준을 그대로 따른 것으로서 정당하고, 달리 
과징금 부과의 기초가 되는 사실을 오인하였거나 비례ㆍ평등원칙에 위반되는 등의 사
유가 있다고 보이지 않으며, 피고가 과징금 부과에 관한 재량권을 일탈ㆍ남용하였다는 
취지로 다투는 원고의 주장들은 모두 아래에서 보는 이유로 받아들일 수 없다. 따라서 
별지1 목록 제2항 기재 과징금 부과처분도 위법하지 않다.
1) 관련매출액 산정이 위법하다고 볼 수 없다.
가) 과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 
경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 구 법 제39조
의15 제1항 각 호에서 정한 행위에 관하여 부과하는 과징금의 경우도 마찬가지이다. 
그런데 개인정보처리자가 관련 법령을 위반하여 개인정보의 안전조치를 하지 아니함으
로써 이용자의 개인정보가 유출된 위반행위의 경우 개인정보처리자가 개인정보 안전조
치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 개인정보보호
법 제39조의15 제1항 제5호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 
하는 이득은, 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 개
인정보처리자가 적절한 안전조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유
함으로써 얻은 이득이라 보아야 한다. 이에 따라 과징금 부과를 위한 관련매출액의 범
위는 유출사고가 발생한 개인정보를 보유ㆍ관리하고 있는 서비스의 범위를 기준으로 
판단해야 한다(대법원 2023. 10. 12. 선고 2022두68923 판결 참조).
나) 아래와 같은 사정들을 위 법리에 비추어 살펴보면, 피고가 관련매출액 산정의 
전제가 되는 서비스의 범위를 이 사건 각 서비스로 정한 것은 충분히 합리적인 조치로
서 수긍할 수 있다.
- 47 -
⑴ 원고는 2010. 3.경 B를 출시하여 일반채팅 서비스를 개시한 이래로, 2015. 8.
경 오픈채팅 서비스를 개시한 것을 비롯하여 장기간에 걸쳐 이 사건 각 서비스를 포함
한 다양한 서비스를 순차적으로 함께 제공하기 시작하였다. 그 결과 B는 단순히 모바
일 메신저 기능만을 수행하는 것이 아니라 각종 상품 구매, 선물, 정보보관 등 다양한 
기능을 수행할 수 있는 어플리케이션으로 발전하였고, A계정에 가입한 원고 회원들은 
원고가 B 어플리케이션 외부에서 제공하는 지도, 내비게이션 등 다양한 어플리케이션, 
웹페이지에도 연결 링크 등을 통해 접속하여 사용할 수 있었다. 이러한 구조 속에서 
원고는 제공하는 서비스의 다양성, 편의성, 연계성에 기초하여 더 많은 이용자를 회원
으로 확보할 수 있었고, 다수가 이용하고 있다는 사실 그 자체가 다시 이용자 수의 증
가를 촉진함으로써 현재와 같은 시장에서의 공고한 지위를 확보하게 되었다.
⑵ 피고가 관련매출액 산정의 전제로 삼은 이 사건 각 서비스는 모두 B 어플리
케이션 내에서 직접 접근이 가능한 서비스이다. 앞서 본 것처럼 원고 사업 구조의 확
장과 회원 증가의 주요한 요인 중 하나가 서비스의 다양성, 편의성, 연계성에 있음을 
고려하면, 동일한 B 어플리케이션을 활용하여 자유롭게 여러 서비스의 기능을 이용할 
수 있다는 것 자체가 각각의 서비스 관련 매출에 유의미하게 긍정적인 영향을 미친다
고 볼 수 있고, 이처럼 다수의 서비스가 쉽게 연결되는 네트워크 효과를 기대할 수 있
다는 점에서 이 사건 각 서비스가 원고 주장처럼 본질적으로 구분되거나 완전히 독립
적으로 운영되는 별개의 서비스에 해당한다고 보기는 어렵다.
⑶ 특히 이 사건 각 서비스는 모두 A계정에 가입하여야만 활용할 수 있다. 특정 
서비스를 사용하기 위해 A계정에 가입한 이용자는 다른 서비스를 사용하기 위해 그 
서비스의 고유 이용약관에 동의하고 가입하는 등 약간의 절차만 거치면 기존의 A계정
- 48 -
이 연동되어 손쉽게 해당 서비스를 이용할 수 있게 된다. 이 역시 서비스의 다양성, 편
의성, 연계성 측면에서 이 사건 각 서비스 사이의 상호 연관성을 분명하게 드러내는 
부분이다. 물론 이 사건 각 서비스는 회원의 식별자를 서로 다르게 활용하고 있다고 
보이기는 하나(일반채팅은 D, 오픈채팅은 E, 선물하기ㆍ쇼핑하기ㆍ라이브쇼핑ㆍF는 
cuID, 주문하기ㆍ이모티콘ㆍ톡서랍은 각각 별도의 ID), 이는 원고가 이 사건 각 서비스
를 관리ㆍ운영하기 위한 하나의 방법으로 선택한 것에 불과할 뿐, A계정으로 연동된 
이 사건 각 서비스가 원고의 사업 구조 속에서 서로 밀접한 연관을 가지고 있다는 것 
자체를 부인할 만한 사정이라고 보기는 어렵다. 마찬가지로 이 사건 각 서비스가 각각 
별도의 DB를 마련하고 있는지, D를 명시적으로 각각의 DB에 저장하는지 등도 관련매
출액 산정의 전제가 되는 서비스 범위를 결정하는 핵심적인 요소에 해당한다고 볼 수 
없다.
⑷ 피고는 이러한 방법으로 관련매출액 산정의 전제가 되는 서비스의 범위를 결
정하는 과정에서 약간의 연계성이 있다는 이유만으로 지나치게 서비스 범위가 확장되
는 것을 방지하려는 목적으로, B 외부의 별도 어플리케이션 또는 웹페이지를 이용하여 
제공되는 A뮤직, A맵 등의 서비스, 원고가 계열회사를 통하여 제공하는 A페이 등의 서
비스, B와 연동되어 있지만 B를 탈퇴하더라도 이용할 수 있는 메이커스 서비스를 관련
매출액 산정에서 제외하기도 하였다.
⑸ 앞서 본 바와 같이 이 사건 정보는 ‘특정한 이름과 휴대전화번호를 사용하는 
이용자의 취미ㆍ관심사’에 관한 정보이다. 이처럼 이 사건 정보를 전체적인 관점에서 
보든, 이름 및 휴대전화번호 등 개별 정보의 관점에서 보든, 원고가 해당 정보를 이 사
건 각 서비스 관련 영업을 위해 보관하고 있었음은 분명하다. 일반채팅ㆍ오픈채팅 및 
- 49 -
그 과정에서 이용자가 상호작용한 메시지나 사진 등을 저장하는 기능을 제공하는 톡서
랍은 물론이고, 개인의 관심사ㆍ취미와 당연히 일정한 관계를 가질 수밖에 없는 전자
상거래 관련 서비스(선물하기, 쇼핑하기, 라이브쇼핑, F)도 마찬가지이다. 특히 전자상
거래 서비스를 이용하기 위해서는 해당 이용자의 이름과 휴대전화번호 등에 기초한 이
용자 특정이 반드시 요구된다는 점을 고려하면 더욱 그러하다. 원고는 이 사건 해킹의 
핵심이자 매개체가 된 E를 보유ㆍ관리하는 오픈채팅 서비스만을 기준으로 관련매출액
을 산정하여야 한다고 주장하나, 단지 이 사건 정보의 취득 경로가 B 일반채팅ㆍ오픈
채팅 서비스에 기반한 이 사건 해킹을 통하였을 뿐이지, 적절한 안전조치를 취하지 않
은 개인정보를 영업을 위해 보유하는 서비스의 범위는 이러한 해킹의 구체적인 방법과 
경로와 직접적인 관계가 없다.
2) 원고가 위반행위에 관하여 ‘중과실’이 있다고 본 피고의 판단도 수긍할 수 있다.
원고는, 관계 법령이나 이 사건 해설서의 내용에 부합하는 다양한 보호조치를 이
행하여 왔고, 비인가 프로그램의 사용이나 파라미터 변조 공격을 사전에 완벽히 차단
하는 것이 불가능하며, 이 사건 해킹의 구체적인 방법이 대단히 이례적이어서 당시로
서는 도저히 이를 예상하기 어려웠으므로, 원고를 중과실로 의율할 수 없다고 주장한
다. 그러나 앞서 살펴본 것처럼 원고가 오픈채팅 서비스 도입 당시 D에 기반하여 E를 
설계ㆍ개발하는 과정에서는 보안 취약점을 구체적으로 인지하기 어려웠을지 몰라도, 
적어도 2020. 5.경 비인가 프로그램이 공개되어 D와 E의 노출 가능성이 현실화되고 원
고가 운영하는 공식 커뮤니티를 비롯한 온라인상에 이 사건 해킹의 세부 수법들과 유
사한 내용을 가진 게시글이 상당수 작성되었던 무렵에는 기존의 보안 정책을 더욱 강
화하고 위험요인을 찾아 제거하는 한편 모니터링과 로그 분석 등의 탐지ㆍ대응 조치를 
- 50 -
적극적으로 시행할 수 있었다. 그런데도 원고는 2020. 8. 5.경 오픈채팅방 E 암호화 조
치를 신규 오픈채팅방에만 적용하면서 종전의 보안 취약점을 그대로 남겨두는 선택을 
하였고, 해외 IP 주소를 이용한 대규모 친구추가 공격이나 소수 계정을 활용한 과도한 
API 호출 요청에 따른 파라미터 변조 공격을 보안시스템상 적절하게 탐지ㆍ차단하지도 
못하였다. 이러한 공격을 방어하기 위한 적절한 수단(예컨대 전체 오픈채팅방 E 암호
화, IP 주소ㆍ계정별 API 호출 요청 건수에 대한 세부적인 모니터링과 로그 분석을 통
해 과도한 API 호출 탐지, 어뷰징 유저의 친구추가 제한 강화 등)이 당시의 정보보안 
기술로도 그리 어렵지 않게 실행하는 것이 가능했을 뿐만 아니라, 원고는 이를 충분히 
실행할 수 있는 정도의 인적ㆍ물적 규모와 능력을 갖추고 있었다고 보인다. 이러한 사
정을 고려하면 원고가 위반행위에 관하여 중과실이 있다고 본 피고의 판단은 충분히 
합리적이라고 볼 수 있다.
3) ‘중대한 위반행위’로 의율한 것은 관계 규정을 그대로 따른 결과일 뿐이다.
위와 같이 원고에게 중과실이 인정되고(구 과징금 부과기준 제5조 제3항 본문), 이 
사건 정보가 공중에 노출되지 않은 경우(같은 항 제3호)에 해당하지 않는 이상, 원고가 
‘중대한 위반행위’를 한 경우에 해당한다는 피고의 판단은 구 과징금 부과기준 제5조 
제3항의 기준을 그대로 따른 것일 뿐이다. 위 기준이 그 자체로 헌법 또는 법률에 합
치되지 않는다고 볼 수 없을 뿐만 아니라, 이를 그대로 따른 피고의 판단이 위반행위
의 중대성 판단에 있어 고의ㆍ중과실 여부, 영리 목적의 유무, 위반행위로 인한 개인정
보의 피해규모, 개인정보의 공중 노출 여부 및 위반행위로 인하여 취득한 이익의 규모 
등을 종합적으로 고려하도록 한 관계 법령의 규정 내용과 취지에 비추어 현저히 부당
하다고 인정할 만한 합리적인 이유도 없다.
- 51 -
4) 최종 과징금액이 지나치게 과중하여 비례ㆍ평등원칙에 위반된다고 볼 수도 없다.
피고는 필수적 가중ㆍ감경 단계까지 마친 금액에 구 과징금 부과기준 제8조 및 
[별표]를 따라 무려 40%의 감경을 적용하여 최종 과징금을 결정하였다. 그런데도 원고
에게 부과된 과징금이 151억원이 넘는 거액인 이유는 관련매출액(약 1조2천억원)이 막
대한 규모였기 때문이고, 달리 말하면 이는 원고가 적절한 안전조치를 취하지 않은 개
인정보를 자신의 영업을 위해 보유함으로써 얻은 이익이 그만큼 크다는 것을 의미한
다. 원고가 들고 있는 다른 선례들은 위반행위의 태양과 성격, 내용과 정도가 이 사건
과 상이하여 각각의 과징금을 동일선상에서 비교하기 어렵다.
무엇보다 이 사건의 핵심은 앞서 여러 차례 살펴본 것처럼, 원고가 설계ㆍ개발한 
B 서비스에 본질적으로 잠재된 보안 위험성(휴대전화번호만 입력하면 이름, 사진 등의 
개인정보를 알 수 있는 친구추가 시스템 및 D와 E 사이의 연계 등)이 기술의 발전과 
함께 현실적으로 공략당하는 과정에서, 대규모 정보통신서비스 제공자로서 고도의 전
문 인력과 충분한 물적 규모를 갖춘 원고가 그에 대한 위험성이 충분히 경고된 시점에 
이르러서도 취약점이 내포된 종전 시스템을 적절한 수준으로 개선하거나 적극적인 탐
지 정책 등으로 대응하는 것을 소홀히 하였다는 데에 있다. 매출액이 큰 정보통신서비
스 제공자는 다량의 개인정보를 수집ㆍ보관하고 있을 가능성이 높으므로 개인정보 유
출에 따른 피해가 광범위하여 제재의 필요성이 더 크고, 개인정보 보호를 위한 기술적
ㆍ관리적 조치를 위해서는 상당한 비용이 소요될 수 있으므로 제재로 인한 경제적 부
담이 개인정보 보호조치에 소요되는 비용에 비해 미미하거나 매출액 규모에 비추어 무
시할 만한 수준이라면 위반행위 억지의 효과를 충분히 확보할 수 없다(헌법재판소 
2025. 10. 23. 선고 2024헌바153 전원재판부 결정 등 참조). 원고가 당초부터 개인정보 
- 52 -
보호의 가치를 일부 희생시키는 대신 이용자 편의성 증진에 특화된 사업 구조를 선택
하고 이를 하나의 기반으로 삼아 결국 현재와 같은 시장지배적 사업자의 지위에 이르
게 되었고, 자신이 제공하는 대규모 정보통신서비스에 소요되는 막대한 개인정보 보호 
비용을 충분히 지불하는 대신 이를 개인정보 유출의 위험성을 부담하는 사회에 전가하
면서 커다란 경제적 이익을 취득하였음을 고려하면, 관련매출액에 부과율 1.26%(= 구 
시행령상 중대한 위반행위의 부과기준율 2.1%에서 40%를 감경한 비율)를 곱하여 산정
한 것에 불과한 과징금액이 지나치게 과중하여 사회통념상 현저하게 타당성을 잃었다
고 보이지는 않는다.
8. 결론
그렇다면 원고의 청구는 모두 이유 없으므로 기각하고, 소송비용은 패소한 원고가 
부담하도록 정하여, 주문과 같이 판결한다.
- 53 -
[별지1]
목 록
비실명화로 생략
끝.
- 54 -
[별지2]
관계 법령과 규정
▣ 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것)
제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보
를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 
수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개
인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 
정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 "가명정보"라 한다)
제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손
되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전
성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례) ① 제34조제1항 및 제3항에도 불구하
고 정보통신서비스 제공자와 그로부터 제17조제1항에 따라 이용자의 개인정보를 제공받은 자
(이하 "정보통신서비스 제공자등"이라 한다)는 개인정보의 분실ㆍ도난ㆍ유출(이하 "유출등"이라 
한다) 사실을 안 때에는 지체 없이 다음 각 호의 사항을 해당 이용자에게 알리고 보호위원회 
또는 대통령령으로 정하는 전문기관에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부
터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 
정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 
수 있다.
1. 유출등이 된 개인정보 항목
2. 유출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
제39조의15(과징금의 부과 등에 대한 특례) ① 보호위원회는 정보통신서비스 제공자등에게 다
음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 
- 55 -
위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.
5. 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 제29조의 조
치(내부 관리계획 수립에 관한 사항은 제외한다)를 하지 아니한 경우(제39조의14에 따라 
준용되는 경우를 포함한다)
③ 보호위원회는 제1항에 따른 과징금을 부과하려면 다음 각 호의 사항을 고려하여야 한다.
1. 위반행위의 내용 및 정도
2. 위반행위의 기간 및 횟수
3. 위반행위로 인하여 취득한 이익의 규모
④ 제1항에 따른 과징금은 제3항을 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통
령령으로 정한다.
제64조(시정조치 등) ① 보호위원회는 개인정보가 침해되었다고 판단할 상당한 근거가 있고 
이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되면 이 법을 위반한 자
(중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대
하여 다음 각 호에 해당하는 조치를 명할 수 있다.
1. 개인정보 침해행위의 중지
2. 개인정보 처리의 일시적인 정지
3. 그 밖에 개인정보의 보호 및 침해 방지를 위하여 필요한 조치
제66조(결과의 공표) ① 보호위원회는 제61조에 따른 개선권고, 제64조에 따른 시정조치 명
령, 제65조에 따른 고발 또는 징계권고 및 제75조에 따른 과태료 부과의 내용 및 결과에 대하
여 공표할 수 있다.
▣ 구 개인정보 보호법 시행령(2023. 9. 12. 대통령령 제33723호로 개정되기 전의 것)
제48조의2(개인정보의 안전성 확보 조치에 관한 특례) ① 정보통신서비스 제공자(「정보통신
망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 
같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개
인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)
는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각 
호의 안전성 확보 조치를 해야 한다.
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치
나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영
마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.
- 56 -
제48조의11(과징금의 산정기준 등에 관한 특례) ① 법 제39조의15제1항에 따른 매출액은 해
당 정보통신서비스 제공자등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연
평균 매출액으로 한다. 다만, 해당 사업연도 첫날 현재 사업을 개시한지 3년이 되지 않은 경우
에는 그 사업개시일부터 직전 사업연도 말일까지의 매출액을 연평균 매출액으로 환산한 금액
으로 하며, 해당 사업연도에 사업을 개시한 경우에는 사업개시일부터 위반행위일까지의 매출
액을 연매출액으로 환산한 금액으로 한다.
④ 법 제39조의15제4항에 따른 과징금의 산정기준과 산정절차는 별표 1의5와 같다.
[별표 1의5] 과징금의 산정기준과 산정절차(제48조의11 제4항 관련)
1. 과징금의 산정단계
과징금은 법 제39조의15제3항 각 호에 따른 고려 사항과 이에 영향을 미치는 행위를 종합적
으로 고려하여 제2호가목에 따라 산정된 기준금액에 같은 호 나목에 따른 필수적 가중ㆍ감경, 
같은 호 다목에 따른 추가적 가중ㆍ감경, 같은 호 라목에 따른 부과과징금 결정을 순차적으로 
거쳐 산정한다. 다만, 가중하는 경우에도 법 제39조의15제1항 및 제2항에 따른 과징금 금액의 
상한을 넘을 수 없다.
2. 과징금의 산정단계에 따른 산정방식과 고려 사유
가. 기준금액의 산정
1) 기준금액은 제48조의11제1항에 따른 위반행위와 관련한 매출액에 위반행위의 중대성에 따
라 다음과 같이 구분된 과징금의 산정비율(부과기준율)을 곱하여 산출한 금액으로 한다.
2) 제48조의11제2항 각 호의 어느 하나에 해당하는 경우에는 1)에도 불구하고, 위반행위의 
중대성에 따라 기준금액을 다음과 같이 한다.
3) 위반행위의 중대성은 고의ㆍ중과실 여부, 영리 목적의 유무, 위반행위로 인한 개인정보의 
피해규모, 개인정보의 공중에 노출 여부 및 위반행위로 인하여 취득한 이익의 규모 등을 
위반행위의 중대성 부과기준율
매우 중대한 위반행위 1천분의 27
중대한 위반행위 1천분의 21
일반 위반행위 1천분의 15
위반행위의 중대성 기준금액
매우 중대한 위반행위 3억 6천만원
중대한 위반행위 2억 8천만원
일반 위반행위 2억원
- 57 -
종합적으로 고려하여 판단한다.
나. 필수적 가중ㆍ감경
위반행위의 기간과 횟수 등을 고려하여 기준금액의 100분의 50의 범위에서 가중하거나 감
경해야 한다.
다. 추가적 가중ㆍ감경
개인정보 보호를 위한 노력 정도, 위반행위에 대한 조사의 협조 여부, 위반행위의 주도 여부 
등을 종합적으로 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위에서 가중
하거나 감경할 수 있다. 
라. 부과과징금의 결정
1) 다음의 사항을 고려하여 다목에 따라 산정된 과징금이 과중하다고 인정되는 경우에는 해
당 금액의 100분의 90 범위에서 감경할 수 있다.
가) 위반행위자의 현실적인 부담능력
나) 위반행위로 발생한 정보주체의 피해 및 배상의 정도
다) 경제위기 등으로 위반행위자가 속한 시장ㆍ산업 여건이 현저하게 변동되거나 지속적으
로 악화된 상태인지 여부
2) 다음의 어느 하나에 해당하는 경우에는 다목에 따라 산정된 과징금을 면제할 수 있다.
가) 위반행위자의 지급불능ㆍ지급정지 또는 자본잠식 등의 사유로 위반행위자가 객관적으
로 과징금을 낼 능력이 없다고 인정되는 경우
나) 위반행위의 내용ㆍ정도가 경미한 경우
다) 다목에 따라 산정된 과징금이 소액인 경우
라) 위반행위자 본인의 행위가 위법하지 않은 것으로 잘못 인식할 만한 정당한 사유가 있
는 경우
3. 세부 기준
위반행위와 관련한 매출액의 산정에 관한 세부 기준, 위반행위의 중대성 판단 기준, 필수적 
가중ㆍ감경 및 추가적 가중ㆍ감경을 위한 세부 기준, 부과과징금의 결정을 위한 세부 기준과 
그 밖에 과징금의 부과에 필요한 사항은 보호위원회가 정하여 고시한다.
▣ 구 ｢개인정보의 기술적ㆍ관리적 보호조치 기준｣(2023. 9. 22. 개인정보보호위원회고시 제
2023-7호로 폐지되기 전의 것)
제1조(목적) ① 이 기준은 「개인정보 보호법」(이하 "법"이라 한다) 제29조 및 같은 법 시행
령 제48조의2제3항에 따라 정보통신서비스 제공자등(법 제39조의14에 따라 준용되는 자를 포
함한다. 이하 같다)이 이용자의 개인정보를 처리함에 있어서 개인정보의 분실ㆍ도난ㆍ유출ㆍ위
- 58 -
조ㆍ변조 또는 훼손을 방지하고 개인정보의 안전성 확보를 위하여 필요한 기술적ㆍ관리적 보
호조치의 최소한의 기준을 정하는 것을 목적으로 한다. 
② 정보통신서비스 제공자등은 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 
맞는 개인정보 보호조치 기준을 수립하여 시행하여야 한다.
제4조(접근통제) ⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 
방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치ㆍ운영하여야 한다. 
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 
제한 
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
⑨ 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통
하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개
인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다. 
제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 
일방향 암호화하여 저장한다. 
② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리즘으로 암호
화하여 저장한다. 
1. 주민등록번호 
2. 여권번호 
3. 운전면허번호 
4. 외국인등록번호 
5. 신용카드번호 
6. 계좌번호 
7. 생체인식정보 
▣ 구 ｢개인정보보호 법규 위반에 대한 과징금 부과기준｣(2023. 9. 15. 개인정보보호위원회고시 
제2023-4호로 폐지되기 전의 것)
제2조(과징금 산정 절차 및 기준) 과징금은 법 제39조의15제3항 각 호에서 정한 참작사유와 
이에 영향을 미치는 행위를 고려하여 산정하되, 기준금액에 필수적 가중ㆍ감경, 추가적 가중ㆍ
감경, 부과과징금의 결정을 거쳐 과징금을 산정한다.
제3조(기준금액) ① 기준금액은 관련 매출액에 영 [별표 1의5] 2.가. 1)에 따른 부과기준율을 
곱한 금액으로 정한다. 
제4조(관련 매출액의 산정) ① 관련 매출액은 위반 정보통신서비스 제공자등의 위반행위로 인
- 59 -
하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업년도의 연평균 매출액으로 한다. 
② 제1항에 따른 관련 매출액 산정시 서비스의 범위는 「전기통신사업법」 제5조를 기준으로 
판단하되, 구체적인 판단에 있어서는 다음 각 호의 사항을 고려하여야 한다. 
1. 서비스 제공 방식 
2. 서비스 가입 방법(서비스 가입시 온라인 가입인지 오프라인 가입인지 여부 및 하나의 사
업자가 수 개의 웹사이트를 운영하는 경우 독립되어 각각 별개의 가입을 요구하는지 여
부 등을 의미한다) 
3. 이용약관에서 규정한 서비스 범위 
4. 개인정보 데이터베이스 관리 조직ㆍ인력 및 시스템 운영 방식 
③ 서비스에 대한 매출액은 회계자료를 참고하여 정하되, 이를 통해 위반행위와 관련한 서비
스의 매출액을 산정하기 곤란한 경우에는 해당 정보통신서비스 제공자등의 과거 실적, 동종 
유사 역무제공사업자의 과거 실적, 사업계획, 그 밖에 시장상황 등을 종합적으로 고려하여 매
출액을 산정할 수 있다. 
제5조(중대성의 판단) ① 영 [별표 1의5] 2. 가. 1)에 따른 위반행위의 중대성의 판단기준 중 
고의ㆍ중과실 여부는 영리 목적의 유무, 영 제48조의2에 따른 안전성 확보조치 이행 여부 등
을 고려하여 판단한다. 
② 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 없으면 위반행위의 중대성을 보통 위반
행위로 판단한다. 
③ 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 있으면 위반행위의 중대성을 매우 중대
한 위반행위로 판단한다. 다만, 위반행위의 결과가 다음 각 호의 사항 중 모두 해당하는 경우
에는 보통 위반행위로, 1개 이상 2개 이하에 해당하는 경우에는 중대한 위반행위로 감경한다. 
1. 위반 정보통신서비스 제공자등이 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우 
2. 위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 
개인정보의 100분의 5 이내인 경우 
3. 이용자의 개인정보가 공중에 노출되지 않은 경우 
제6조(필수적 가중ㆍ감경) ① 위반기간을 고려하여 다음 각 호와 같이 과징금을 조정한다. 
1. 단기 위반행위: 위반기간이 1년 이내인 경우는 기준금액을 유지한다. 
2. 중기 위반행위: 위반기간이 1년 초과 2년 이내인 경우에는 기준금액의 100분의 25에 해
당하는 금액을 가산한다. 
3. 장기 위반행위: 위반기간이 2년을 초과하는 경우에는 기준금액의 100분의 50에 해당하는 
금액을 가산한다. 
② 위반횟수를 고려하여 다음 각 호와 같이 과징금을 조정한다. 
- 60 -
1. 최초 위반행위: 위반 정보통신서비스 제공자등이 최근 3년간 법 제39조의15제1항 각 호
에 해당하는 행위로 과징금 처분을 받은 적이 없는 경우에는 제1항에 따른 조정을 거친 
금액에서 기준금액의 100분의 50에 해당하는 금액을 감경한다. 
2. 2회 이상의 위반행위: 위반 정보통신서비스 제공자등이 최근 3년간 법 제39조의15제1항 
각 호에 해당하는 행위로 1회 이상의 과징금 처분을 받은 경우에는 제1항에 따른 조정을 
거친 금액을 유지한다. 
③ 제2항에서 과거 위반횟수를 산정할 때에는 시정조치 명령이나 과징금 부과의 무효 또는 취
소판결이 확정된 건을 제외한다. 
제7조(위반기간의 산정) ① 제6조제1항에 따른 위반기간은 위반행위의 개시일부터 종료일까지
의 기간을 말한다. 다만, 위반행위가 과징금 부과처분을 명하는 개인정보 보호위원회(이하 "보
호위원회"라 한다)의 심의종결일까지 종료되지 아니한 경우에는 해당 사건에 대한 보호위원회
의 심의종결일을 위반행위의 종료일로 본다. 
② 제1항에 따른 위반기간을 산정하면서 위반행위의 개시일 또는 종료일이 불분명한 경우에는 
위반 정보통신서비스 제공자등의 영업ㆍ재무관련 자료, 임직원ㆍ이용자 등의 진술, 동종 유사 
정보통신서비스 제공자등의 영업 및 거래실태ㆍ관행 등을 고려하여 이를 산정할 수 있다. 
제8조(추가적 가중ㆍ감경) ① 보호위원회는 사업자의 위반행위 주도 여부, 조사 협력 여부 등
을 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위 내에서 [별표]에 따라 추
가적으로 가중하거나 감경할 수 있다. 
② [별표]에서 정한 사유가 2개 이상 해당되는 경우에는 합산하여 가중하거나 감경하되 각 가
중ㆍ감경의 범위는 필수적 가중ㆍ감경을 거친 금액의 100분의 50을 초과할 수 없다. 
제9조(부과과징금의 결정) (생략)
[별표] 추가적 가중ㆍ감경 금액(제8조 관련)
Ⅰ. 가중사유 및 비율
1. 위반 정보통신서비스 제공자등 및 그 소속 임원ㆍ종업원이 법 제63조제1항 및 제2항에 
따른 물품이나 서류의 제출요구 또는 검사를 거부하거나 증거인멸, 조작, 허위의 정보제
공 등의 방법으로 조사를 방해하거나 관련 이용자에게 허위로 진술하도록 요청한 경우 
100분의 30 이내
2. 다수의 사업자가 관련된 상황에서 위반행위를 주도하거나 선도한 경우 100분의 20 이내
3. 기타 제1호 또는 제2호의 사항에 준하는 사유가 있는 경우 100분의 10 이내
Ⅱ. 감경 사유 및 비율
1. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위하여 노력한 경우로서 다
음 각 목의 어느 하나에 해당하는 경우
- 61 -
가. 위반 정보통신서비스 제공자등이 개인정보 보호를 위해 보호위원회가 인정하는 인증을 
받은 경우 100분의 50 이내
나. 개인정보 보호 자율규제 규약을 이행하는 등 개인정보 보호 활동을 성실히 수행한 것으
로 확인된 경우 100분의 40 이내
2. 개인정보보호위원회 조사에 적극 협력한 경우 100분의 30 이내
3. 개인정보 유출사실을 자진 신고한 경우 100분의 30 이내
4. 기타 제1호 내지 제3호의 사항에 준하는 사유가 있는 경우 100분의 10 이내
[끝]