[행정 판결문] 서울고등법원 2023누34486 - 과징금부과처분 취소청구의 소

[행정] 서울고등법원 2023누34486 - 과징금부과처분 취소청구의 소.pdf

0.63MB

[행정] 서울고등법원 2023누34486 - 과징금부과처분 취소청구의 소.docx

0.04MB

 

- 1 -
서 울 고 등 법 원
제 3 행 정 부
판 결
사 건 2023누34486 과징금부과처분 취소청구의 소
원고, 항소인 주식회사 A
피고, 피항소인 개인정보보호위원회
제 1심판결 서울행정법원 2023. 1. 13. 선고 2022구합61564 판결
변 론 종 결 2023. 9. 7.
판 결 선 고 2023. 11. 2.
주 문
1. 원고의 항소를 기각한다.
2. 항소비용은 원고가 부담한다.
청구취지 및 항소취지
제1심판결을 취소한다. 피고가 2021. 10. 27. 의결 B로 원고에 대하여 한 별지 1 처분 
내역 기재 각 처분 중 제2의 가, 다, 라.항 과징금납부명령 부분을 취소한다.
- 2 -
이 유
1. 처분의 경위
가. 원고의 지위와 현황
1) 원고는 영상제작업, 인터넷을 통한 교육서비스업 등을 영위하는 법인으로서 초
등온라인학습 C(인터넷주소 1 생략) 서비스를 운영하는 ｢정보통신망 이용촉진 및 정보
보호 등에 관한 법률｣ 제2조 제2호의 정보통신서비스 제공자이자 구 ｢개인정보 보호법
｣(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 ‘개인정보 보호법’이라 한다) 
제2조 제5호의 개인정보처리자이다.
2) 원고의 일반 현황은 아래 [표 1] 기재와 같다.
[표 1] 원고의 일반 현황
(해당연도 말 기준, 단위: 원)
3) 원고는 C 서비스를 운영하면서 아래 [표 2] 기재와 같이 2021. 4. 7. 기준 초등
온라인학습 C 서비스 이용자 427,221건의 정보를 수집하여 보관하였다.
[표 2] 원고의 개인정보 수집 현황
연도 전체 매출액
초등온라인학습 
C 서비스 관련 매출액
당기순이익
2018년 101,101,949,000 40,841,391,000 9,616,386,000
2019년 143,294,544,000 49,829,803,000 22,264,932,000
2020년 176,328,630,000 70,641,922,000 22,827,201,000
평균 140,241,707,000 53,771,039,000 18,236,173,000
구분 항목 수집일 건수(건)
회원정보
(유효회원)
(필수) 이름, 아이디, 비밀번호, 생년월일, 학
년, 학부모 이름, 학부모 휴대전화번
호, 학부모 생년월일
(선택) 전화번호, 이메일 주소, 주소, 학교, 
2015. 1. 4.
∼2021. 4. 7.
415,627
(분리보관) 11,594
- 3 -
나. 원고의 개인정보 유출 경위와 피고의 조사
1) 원고는 2021. 4. 7. 데이터베이스(이하 ‘DB’라 한다) 관리자가 모니터링 중 C 
DB에 저장된 개인정보를 조회하는 비정상 쿼리(Query)1)를 발견하여 회원정보 유출 사
실을 인지한 뒤, 주식회사 E(이하 ‘E’이라 한다)의 F 웹 서버에 웹 셸2)과 터널링 프로
그램3)이 존재한다는 사실을 확인하였다.
2) 이에 원고는 2021. 4. 8. 한국인터넷진흥원에 개인정보 유출 흔적이 감지되었다
고 신고하고, C 서비스의 초등온라인학습 회원 415,627명에게 이메일이나 문자메시지
로 개인정보 유출 가능성을 통지하는 한편, 원고 홈페이지에 그에 관한 공지사항을 게
시하였다. 
3) 그 후 피고는 2021. 4. 9.부터 2021. 9. 1.까지 원고의 개인정보처리시스템 등에 
남아 있는 접속기록 등을 토대로 원고에 대하여 개인정보 취급․운영 실태 및 개인정
보 보호법 위반 여부를 조사하였고, 그 결과 2021. 4. 7. C 서비스에 보관된 초등온라
인학습 이용자의 개인정보[이름, 아이디, 생년월일, 학년, 학교명(코드), 이메일, 주소, 
전화번호, 휴대전화번호, 학부모 이름, 학부모 휴대전화번호, 학부모 생년월일] 23,624
건이 유출(이하 ‘이 사건 유출사고’라 한다)되었음을 확인하였다.
다. 피고의 처분
피고는 원고가 아래 [표 3] 기재와 같이 개인정보 보호법, 구 ｢개인정보 보호법 시
1) 일반적으로 정보 수집에 대한 요청에 쓰이는 컴퓨터 언어로서 웹 서버에 특정한 정보를 보여 달라는 웹 클라이
언트 요청(주로 문자열을 기반으로 한 요청)에 의한 처리를 뜻한다.
2) 웹 서버의 관리자 권한을 불법으로 취득해 서버를 공격하는 프로그램을 뜻한다.
3) 컴퓨터 네트워크상 한 네트워크에서 다른 네트워크로 데이터 이동을 허용하는 통신 프로그램을 뜻한다. 
성별
합계 427,221
- 4 -
행령｣(2023. 9. 12. 대통령령 제33723호로 개정되기 전의 것, 이하 ‘개인정보 보호법 
시행령’이라 한다), ｢개인정보의 기술적․관리적 보호조치 기준｣(개인정보보호위원회 
고시 제2020-5호, 이하 ‘보호조치 기준’이라 한다)을 위반하였다고 보아, 2021. 10. 27. 
B로 원고에 대하여 별지 1의 제1항 기재와 같이 시정조치를 명하는 한편, 별지 1의 제
2항 기재와 같이 과징금 903,353,000원과 과태료 17,400,000원을 각 부과하고, 별지 1
의 제3항 기재와 같이 개인정보 보호법 위반행위 내용 및 결과를 피고의 홈페이지에 
공표를 명하는 처분을 하였다(이하 피고의 원고에 대한 과징금 부과처분을 ‘이 사건 과
징금납부명령’이라 한다).
[표 3] 원고에 대한 처분사유4)
구체적 처분사유 근거 법령 등
1. 개인정보처리시스템에 대한 접근통제를 소홀히 한 행위(이
하 ‘제1처분사유’라 한다)
원고는 정보통신망을 통한 불법적인 접근 및 침해사고 방지
를 위해 DB 접근제어 솔루션(D)을 설치ㆍ운영하였고, 이를 통
한 DB 접속만 가능하도록 취급자 IP 대역(IP 1 생략)에서 DB 
직접 접속을 차단하는 정책을 수립하였으나, 화이트 리스트 방
식(모든 접속을 차단하고 필요한 서비스만 허용)의 기본정책인 
Any→Any Deny 정책(이하 ‘Any→Any 차단 규칙’이라 한다)을 
기본정책으로 반영하지 않아, 취급자 IP 대역(IP 1 생략)을 제
외한 다른 IP에서 DB에 직접 접속을 하더라도 방화벽에서 차
단되지 않도록 방화벽 정책을 운영한 사실이 있다. 따라서 해커
(IP 2 생략, 미국)가 E(F) 웹 서버를 경유하고, 웹 서버에 설치
된 터널링 프로그램을 이용하여 DB 서버에 직접 접속을 시도
하였으나, 원고의 방화벽은 비정상적인 접속을 차단하지 못한 
사실이 있다.
개인정보 보호법 제29조, 
개인정보 보호법 시행령 
제48조의2 제1항 제2호, 
보호조치 기준 제4조 제5
항 위반
(안전조치의무 중 불법적인 
접근 차단 위반) 
- 5 -
라. 과징금의 산정 근거
피고는 개인정보 보호법 제39조의15 제1항 제5호, 개인정보 보호법 시행령 제48조
의11 제1항, 제4항 및 [별표 1의5], 구 ｢개인정보보호 법규 위반에 대한 과징금 부과기
준｣(2022. 10. 20. 개인정보보호위원회 고시 제2022-3호로 개정되기 전의 것, 이하 ‘과
징금 부과기준’이라 한다)에 따라 원고에 대한 과징금 액수를 산정하였는데, 이 사건 
과징금납부명령의 구체적인 산정 근거는 다음과 같다.
1) 기준금액의 산정
가) 관련 매출액의 산정
4) 아래 3개의 처분사유 중 이 사건 과징금납부명령에 대하여는 제1, 2처분사유만 관련된다.
2. 개인정보처리시스템의 접속기록 보관 및 점검을 소홀히 한 
행위(이하 ‘제2처분사유’라 한다)
원고는 개인정보취급자가 개인정보처리시스템(MSSQL)에 접
속한 정보를 DB 접근제어 솔루션(D)에서 스니핑 방식으로 수
집하여 저장하고 있으나, DB 접근제어 솔루션 연동 시 암호화
된 MSSQL 인증정보를 복호화하지 않고 저장하여 DB서버에 
접속한 개인정보취급자의 접속기록(식별자, 접속일시, 접속지, 
수행업무 등) 중 식별자를 식별할 수 없는 형태로 저장한 사실
이 있다.
개인정보 보호법 제29조, 
개인정보 보호법 시행령 
제48조의2 제1항 제3호, 
보호조치 기준 제5조 제1
항 위반
(안전조치의무 중 접속기록
의 위조ㆍ변조 방지를 위
한 조치 위반) 
3. 개인정보의 유출 사실을 추가 통지하지 않은 행위
원고는 최초 유출을 인지한 시점으로부터 24시간 내 ‘유출 
흔적이 감지되었다’고 우선 신고 및 통지를 완료하였으나, 피고
의 조사 과정에서 해커가 원고 DB의 회원정보를 외부에서 조
회ㆍ유출한 사실을 확인하여, 관련 내용을 전달하고 추가 확인
된 내용으로 신고ㆍ통지할 것을 안내(2021. 5. 7.)하였으나, 마
지막 현장조사 당일까지(2021. 6. 30.)도 추가 신고ㆍ통지하지 
않은 사실이 있다. 
개인정보 보호법 제39조의
4, 개인정보 보호법 시행령 
제48조의4 위반
(개인정보 유출 등의 통지
ㆍ신고에 대한 특례 위반)
- 6 -
개인정보 보호법 제39조의15 제1항 제5호, 개인정보 보호법 시행령 제48조의11 
제1항, 과징금 부과기준 제4조 제1항은 개인정보 보호법 제29조 위반에 따른 과징금의 
관련 매출액을 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 정보통신서비스
의 직전 3개 사업연도의 연평균 매출액으로 정하고 있다. 이에 피고는 원고의 초등온
라인학습 C 서비스에서 발생한 매출을 위반행위와 관련된 매출로 보아 위 [표 1] 기재
와 같이 이에 해당하는 직전 3개 사업연도의 연평균 매출액 53,771,039,000원을 관련 
매출액으로 산정하였다.
나) 중대성의 판단
(1) 과징금 부과기준 제5조 제1항은 ‘개인정보 보호법 시행령 [별표 1의5] 2. 
가. 1)에 따른 위반행위의 중대성 판단기준 중 고의․중과실 여부는 영리 목적의 유무, 
위 시행령 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단한다’고 
규정하고 있는데, 피고는 원고가 개인정보 보호법 제29조의 안전조치의무를 소홀히 하
여 이용자 개인정보 유출에 대한 중과실이 있다고 보았다.
(2) 한편 과징금 부과기준 제5조 제3항 본문에 따르면, 위반 정보통신서비스 제
공자 등에게 고의․중과실이 있으면 위반행위의 중대성을 ‘매우 중대한 위반행위’로 판
단하게 된다. 다만 같은 항 단서에 따르면, ‘위반 정보통신서비스 제공자 등이 위반행
위로 인해 직접적으로 이득을 취득하지 않은 경우’(제1호), ‘위반행위로 인한 개인정보
의 피해규모가 위반 정보통신서비스 제공자 등이 보유하고 있는 개인정보의 100분의 
5 이내인 경우’(제2호), ‘이용자의 개인정보가 공중에 노출되지 않은 경우’(제3호) 중 모
두에 해당할 때에는 ‘보통 위반행위’로, 1개 이상 2개 이하에 해당하는 경우에는 ‘중대
한 위반행위’로 감경하는데, 피고는 원고가 개인정보 유출로 직접적인 이득을 취하지 
- 7 -
않은 점, 이용자의 개인정보가 공중에 노출되지 않은 점을 고려하여 원고의 위반행위
를 ‘중대한 위반행위’로 판단하였다. 
다) 기준금액의 산출
피고는 개인정보 보호법 시행령 [별표 1의5] 2. 가. 1) 및 과징금 부과기준 제3
조 제1항에 따라 원고의 관련 매출액 53,771,039,000원에 ‘중대한 위반행위’에 해당하
는 부과기준율 1천분의 21을 곱하여 기준금액을 1,129,192,000원으로 산정하였다.
2) 필수적 가중 및 감경
가) 피고는 과징금 부과기준 제6조, 제7조에 따라 원고의 위반행위 기간이 2년을 
초과하는 ‘장기 위반행위’에 해당한다는 이유로 기준금액의 100분의 50에 해당하는 금
액인 564,596,000원을 가산하였다.
나) 다만 피고는 원고가 최근 3년 이내에 개인정보 보호법 제39조의15 제1항 각 
호에 해당하는 행위로 과징금 부과처분을 받은 사실이 없다는 이유로 기준금액의 100
분의 50에 해당하는 금액인 564,596,000원을 감경하였다.
3) 추가적 가중 및 감경
피고는 과징금 부과기준 제8조에 따라 원고가 조사에 적극 협력한 점, 개인정보 
유출사실을 자진 신고한 점 등을 종합적으로 고려하여 필수적 가중․감경을 거친 금액
의 100분의 20에 해당하는 금액인 225,839,000원을 감경하였다.
4) 과징금의 결정
피고는 위와 같이 단계별로 산출한(이러한 산출 과정을 정리한 내역은 아래 [표 
4] 기재와 같다) 금액인 903,353,000원을 원고에 대한 최종 과징금으로 결정하였다.
[표 4] 과징금 산출 내역
- 8 -
(단위: 원)
[인정근거] 다툼 없는 사실, 갑 제1, 5호증, 을 제1호증의 각 기재, 변론 전체의 취지 
2. 이 사건 과징금납부명령의 적법 여부
가. 원고의 주장
1) 처분사유의 부존재
다음과 같은 이유로 이 사건 과징금납부명령은 처분사유가 존재하지 아니하여 
위법하다.
가) 제1처분사유의 부존재
(1) 원고는 접근 제한 기능과 유출 탐지 기능을 동시에 구현할 수 있는 침입방
지시스템(Intrusion Prevention System, IPS) 및 접근 제한 기능을 수행하는 외부 방화
벽을 설치․운영하는 방식으로 보호조치 기준 제4조 제5항을 준수하였다. 특히 원고는 
① 웹 접속을 위한 포트(TCP 80, 443)만 허용하고, ② 목적지의 IP 주소가 웹 서버인 
경우에만 접속을 허용하며, ③ 보안관제 담당업체인 주식회사 G(이하 ‘G’라 한다)에서 
원고의 시스템을 대상으로 탐지한 악성 행위 IP 주소 목록을 차단하는 기능을 가진 외
부 방화벽을 통해 접근통제 시스템을 충실히 운영하였을 뿐만 아니라, 이 사건 유출사
고 발생 당시 정보보호 관리체계(ISMS) 인증도 보유하는 등 개인정보의 안전성 확보를 
위해 필요한 조치를 모두 취하였다. 
기준금액 필수적 가중ㆍ감경 추가적 가중ㆍ감경 최종 과징금
1,129,192,000
필수적 가중
(50%: 564,596,000)
추가적 가중 없음
903,353,000필수적 감경
(50%: 564,596,000)
추가적 감경
(20%: 225,839,000)
→ 1,129,192,000 → 903,353,000
- 9 -
(2) 비록 원고가 E과의 내부 방화벽에 다른 IP에서 DB에 직접 접속하더라도 
차단되지 않게 하는 Any→Any 트래픽을 허용하는 규칙(출발 IP 주소와 도착 IP 주소
에 상관없이 모든 트래픽을 허용하는 규칙을 말한다. 이하 ‘Any→Any 허용 규칙’이라 
한다)을 운영하기는 하였으나, 보호조치 기준이 내부 방화벽을 설치해야 한다고 규정하
고 있지 않은 상황에서 원고는 외부 방화벽을 철저히 운영하여 해커가 외부로부터 DB
에 직접 접속하는 것을 차단하였으므로, 원고가 Any→Any 허용 규칙을 운용하였다고 
하여 이를 두고 접근통제를 소홀히 하였다고 평가할 수는 없다.
(3) 따라서 제1처분사유는 인정되지 아니한다.
나) 제2처분사유의 부존재
(1) 원고는 개인정보처리시스템의 접속기록 보관과 점검을 소홀히 하지 않았다.
(2) 설령 원고가 접속기록 보관과 점검에 일부 미흡한 점이 있었다고 하더라도, 
개인정보 보호법 제39조의15 제1항에 따라 과징금을 부과하기 위해서는 개인정보 유
출과 접속기록 보관, 점검의 소홀 등 개인정보 보호법 제29조의 안전조치의무 위반 사
이에 인과관계 또는 적어도 ‘관련성’이 있어야 한다고 보는 것이 합리적이고 합헌적인 
해석이다. 그런데 이 사건 유출사고는 접속기록에 식별자들이 ‘Encrypted’가 아닌 평문
으로 기록되었다고 하더라도 막을 수 없었으므로, 이 사건 유출사고와 원고의 위반행
위 사이에는 인과관계나 관련성이 인정되지 아니한다.
(3) 따라서 제2처분사유도 인정되지 아니한다.
2) 재량권의 일탈․남용
다음과 같은 이유로 이 사건 과징금납부명령은 재량권을 일탈․남용하여 위법하
다.
- 10 -
가) 기준금액 산출 위법
(1) 고의․중과실의 부존재
원고는 개인정보 보호법 시행령 제48조의2 제1항에 따른 안전성 확보 조치를 
모두 이행하였고, 침입차단시스템과 방화벽을 철저히 운영하면서 접근 권한을 개인정
보취급자에게만 부여하는 등 개인정보 보호를 위한 주의의무를 기울였으므로, 이 사건 
유출사고와 관련하여 고의 또는 중과실이 없다. 따라서 피고는 과징금 부과기준 제5조 
제2항에 따라 원고의 위반행위를 ‘보통 위반행위’로 보아 그에 해당하는 부과기준율 
1.5%를 적용하였어야 함에도, ‘중대한 위반행위’에 해당하는 부과기준율 2.1%를 적용한 
위법이 있다. 
(2) 위반행위로 인한 피해규모가 원고 보유 개인정보의 5% 이내에 해당
원고가 C 서비스와 관련하여 보유하고 있는 개인정보는 79만여 건에 달하여 
원고의 위반행위로 인한 개인정보의 피해규모가 원고 보유 개인정보의 5% 이내에 불
과하므로, 과징금 부과기준 제5조 제3항에 따르더라도 원고의 위반행위는 ‘보통 위반행
위’에 해당한다. 그럼에도 피고는 그에 따른 부과기준율 1.5%가 아닌 ‘중대한 위반행위’
에 해당하는 부과기준율 2.1%를 적용하였으므로 위법하다. 
나) 필수적 가중 위법
피고의 심의․의결서인 처분서(이하 ‘이 사건 처분서’라 한다)만으로는 원고의 
위반행위 개시일과 종료일을 알 수 없을 뿐만 아니라, 위반행위 개시일은 이 사건 유
출사고가 일어난 시점을 기준으로 보아야 한다. 따라서 원고의 위반기간이 1년 이내임
에도 피고가 원고의 위반행위를 ‘장기 위반행위’로 보아 기준금액의 50%를 가산한 것
은 위법하다. 
- 11 -
다) 비례의 원칙 및 평등의 원칙 위반
이 사건 유출사고로 인한 피해규모, 기존 과징금 부과 사례와의 형평성, 이 사
건 유출사고는 원고와 별개 법인인 E의 부주의로 발생하였고, 원고가 개인정보 유출사
실을 인지하고 곧바로 신고하는 등 비난가능성이 낮은 점 등을 감안할 때, 이 사건 과
징금납부명령은 지나치게 과다하여 비례의 원칙 내지 평등의 원칙에 위반됨으로써 재
량권을 일탈․남용한 위법이 있다.
나. 관계 법령
별지 2 기재와 같다.
다. 인정사실
다음 각 사실은 당사자 사이에 다툼이 없거나 앞서 든 증거들과 을 제2, 7호증의 
각 기재 및 변론 전체의 취지를 종합하여 인정할 수 있다. 
1) 원고와 E의 시스템 운영 현황
가) 2020. 4. 6. 기준으로 원고와 E은 각각 C 서비스와 F 에 아래 [그림 1]과 같
은 형태의 보안 시스템을 운영하였다.
[그림 1] 원고와 E의 시스템 구성도
- 12 -
- 13 -
나) 원고와 E은 각각 G와의 원격보안관제 서비스 계약에 따라 G로부터 방화벽, 
침입탐지, 웹 방화벽, 웹 셸 솔루션을 임차하여 사용하였는데, 원고가 운영한 C 서비스
는 E이 운영한 F와 일부 인프라를 공유하고 있었고(C 서비스는 2017. 5.경부터 이용자
에게 F 콘텐츠를 검색할 수 있는 기능을 제공하였다. 다만 F의 사용자 계정과는 연동
되어 있지 않아 F의 웹 서버는 C 서비스 DB와 직접 통신하지 않는 구조로 운영되었
다), DB 접근제어 솔루션(D) 역시 공동으로 사용하고 있었다. 이와 같은 서비스 운영 
현황은 아래 [그림 2]와 같다.
[그림 2] C 서비스와 F의 서비스 연동 
C
F C
다) 원고는 DB 접근제어 솔루션(D)을 이용하면서 개인정보취급자 PC는 게이트웨
이(Gateway)5) 모드를 적용하여 에이전트(Agent)6)가 설치된 PC에서만 DB 서버에 접속
할 수 있도록 운영하였으나, 일부 IP 대역은 Agent를 설치하지 않더라도 DB 서버에 
5) 현재 사용자가 위치한 네트워크에서 다른 네트워크로 이동하기 위해 반드시 거쳐야 하는 거점을 의미한다.
6) 사용자를 대표하거나 대신해 사용자가 해야 할 작업을 자동으로 수행하는 소프트웨어를 의미한다.
- 14 -
직접 접속이 가능하도록 하였다. 
라) 한편 원고는 C 서비스의 2차 방화벽(내부 방화벽)에 F 서비스의 접근 권한을 
가진 IP도 C 서비스 DB에 접속할 수 있도록 하는 Any→Any 허용 규칙을 설정하고 있
었다. 
2) 이 사건 유출사고의 경위와 과정
가) 신원 미상의 자(미국 IP: IP 3 생략)는 2019. 4. 2. F 웹 서버에 웹 셸을 업로
드한 뒤, 신원 미상의 자(미국 IP: IP 2 생략)이 2020. 4. 10. 위 웹 셸에 접속하여 터
널링 프로그램인 REGEORG를 업로드하였다.
나) 그 후 신원 미상의 자(미국 IP: IP 2 생략)은 2021. 4. 7. 터널링 프로그램을 
이용해 원고의 C 서비스 DB에 직접 접속하여 회원 테이블을 조회하고, 웹 서버와 1차 
방화벽(외부 방화벽)을 통해 C 서비스 DB에 저장된 개인정보 23,624건을 외부로 전송
하였다.
3) 원고의 이 사건 유출사고 후속조치
원고는 이 사건 유출사고 이후 2021. 9. 16.경 원고와 E 간 DB 접근제어 서버를 
분리하여 원고 단독으로 사용하는 서버를 신규 설치하고, 기존에 사용한 서버는 E이 
단독으로 사용하게 하는 한편, 원고 근무자 계정을 신규 생성하여 등록하는 조치를 취
함으로써 원고 DB 접근제어 계정 이외에는 C DB로의 접근이 불가능하도록 하였다. 
또한 원고의 IP 대역 이외 모든 출발지 IP 원격포트 접근을 차단함으로써 ‘Any→Any 
허용 규칙’을 ‘Any→Any 차단 규칙’으로 변경하는 조치를 완료하였다. 원고의 개선 전
후 조치를 개관하면 아래 [그림 3], [그림 4]와 같다.
[그림 3] 원고와 E 간 DB 접근제어 분리
- 15 -
AA
A
E
E/A
[그림 4] 원고의 방화벽 정책 개선(원고의 IP 대역 외 C DB 원격포트로의 접근 차단)
A
A
E C
4) 보호조치 기준 해설서의 주요 내용
피고와 한국인터넷진흥원이 함께 발간한 보호조치 기준 해설서(2020. 12.)에는 
다음과 같은 내용이 기재되어 있다.
- 16 -
제4조 제1항
○ 정보통신서비스 제공자 등은 개인정보처리시스템에 대한 접근 권한을 서비스 제공을 위
해 필요한 최소한의 인원에게 부여하여야 한다.
- 특히 개인정보처리시스템의 DB에의 직접 접속은 DB 운영ㆍ관리자에 한정하는 등의 
보호조치를 적용할 필요성이 있다.
○ 정보통신서비스 제공자 등은 개인정보처리시스템에 열람, 수정, 다운로드 등 접근권한을 
부여할 때에는 서비스 제공을 위해 필요한 범위에서 구체적으로 차등화하여 부여하여야 
한다.
제4조 제5항
○ 정보통신서비스 제공자 등은 불법적인 접근 및 침해사고 방지를 위해 다음과 같은 시스
템 등을 스스로의 환경을 고려하여 접근 제한 기능 및 유출 탐지 기능이 적합하게 수행
되도록 설치ㆍ운영하여야 한다.
- 해당 시스템으로는 침입차단시스템, 침입탐지시스템, 침입방지시스템, 보안 운영체제
(Secure OS), 웹방화벽, 로그분석시스템, ACL(Access Control List)을 적용한 네트워
크 장비, 통합보안관제시스템 등을 활용할 수 있다. 다만, 어느 경우라도 접근 제한 기
능 및 유출 탐지 기능이 모두 충족되어야 한다.
○ 접근 제한 기능 및 유출 탐지 기능의 충족을 위해서는 단순히 시스템을 설치하는 것만
으로는 부족하며, 신규 위협 대응 및 정책의 관리를 위하여 다음과 같은 방법 등을 활용
하여 체계적으로 운영ㆍ관리하여야 한다.
- 정책 설정 운영: 신규 위협 대응 등을 위하여 접근 제한 정책 및 유출 탐지 정책을 설
정하고 지속적인 업데이트 적용 및 운영ㆍ관리
- 이상 행위 대응: 모니터링 등을 통해 인가받지 않은 접근을 제한하거나 인가자의 비정
상적인 행동에 대응
- 로그 분석: 로그 등의 대조 또는 분석을 통하여 이상 행위를 탐지 또는 차단
○ IP 주소 등에는 IP 주소, 포트 그 자체뿐만 아니라, 해당 IP 주소의 행위(과도한 접속성
공 및 실패, 부적절한 명령어 등 이상 행위 관련 패킷)를 포함한다. 
- 17 -

라. 판단
1) 처분사유의 존재 여부
가) 관련 규정과 법리
(1) 개인정보 보호법 제29조는 “개인정보처리자는 개인정보가 분실․도난․유
출․위조․변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대
통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적․관리적 및 물리적 조치를 
제5조 제1항
○ 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 
1회 이상 정기적으로 확인ㆍ감독하여 개인정보 처리를 위한 업무수행과 관련이 없거나 
과도한 개인정보의 조회, 정정, 다운로드, 삭제 등 비정상적인 행위를 탐지하고 적절한 
대응조치를 하여야 한다.
○ 정보통신서비스 제공자 등은 개인정보처리시스템에 불법적인 접속 및 운영, 비정상적인 
행위 등 이상 유무의 확인 등을 위해 다음의 사항 등을 포함하는 접속기록을 최소 1년 
이상 보존ㆍ관리하여야 한다.
- 식별자: 개인정보처리시스템에서 개인정보취급자를 식별할 수 있도록 부여된 ID 등
- 접속일시: 개인정보처리시스템에 접속한 시점 또는 업무를 수행한 시점(연-월-일, 시:
분:초)
- 접속지: 개인정보처리시스템에 접속한 자의 컴퓨터 또는 서버의 IP 주소 등
- 수행업무: 개인정보처리시스템에서 개인정보취급자가 처리(개인정보를 수집, 생성, 연
계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파
기, 그 밖에 유사한 행위)한 내용을 알 수 있는 정보를 말한다.
- 18 -
하여야 한다.”라고 규정하고 있다.
그 위임에 따라 개인정보 보호법 시행령 제48조의2 제1항은 정보통신서비스 
제공자 등이 이용자의 개인정보를 처리하는 경우 취해야 할 안전성 확보 조치에 관하
여 규정하고 있는데, 구체적으로 제2호 (나)목에서 ‘개인정보에 대한 불법적인 접근을 
차단하기 위한 조치’의 하나로 ‘개인정보처리시스템에 대한 침입차단시스템 및 침입탐
지시스템의 설치․운영’을 들고 있고, 제3호에서 ‘접속기록의 위조․변조 방지를 위한 
조치’로서 ‘개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 
접속일시, 처리내역 등의 저장 및 이에 대한 확인ㆍ감독’[(가)목]과 ‘개인정보처리시스
템에 대한 접속기록을 별도의 저장장치에 백업 보관’[(나)목]을 들고 있다. 
한편 개인정보 보호법 시행령 제48조의2 제3항의 위임을 받아 안전성 확보 
조치에 관한 세부 기준을 정하고 있는 보호조치 기준은 제4조 제1항에서 ‘정보통신서
비스 제공자 등은 개인정보처리시스템에 대한 접근 권한을 서비스 제공을 위하여 필요
한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다’고 규정하고 있고, 같은 
조 제5항에서 “정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접근 및 침해
사고 방지를 위해 ‘개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인
가받지 않은 접근을 제한’(제1호)하고, ‘개인정보처리시스템에 접속한 IP주소 등을 재분
석하여 불법적인 개인정보 유출 시도를 탐지’(제2호)하는 기능을 포함한 시스템을 설
치․운영하여야 한다.”라고 규정하고 있으며, 제5조에서 ‘정보통신서비스 제공자 등은 
개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확
인․감독하여야 하고, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 
보존․관리하여야 한다’고 규정하고 있다. 
- 19 -
(2) 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취
하여야 할 법률상 의무를 위반하였는지 여부를 판단할 때는 해킹 등 침해사고 당시 보
편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종․영업규
모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필
요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따
른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개
인정보의 누출로 인하여 이용자가 입게 되는 피해 정도 등의 사정을 종합적으로 고려
하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가
능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다(대법원 2018. 1. 
25. 선고 2015다24904, 24911, 24928, 24935 판결 참조). 
나) 제1처분사유 존재 여부
위 인정사실 및 앞서 든 증거들에 을 제3호증의 기재와 변론 전체의 취지를 더
하여 알 수 있는 다음과 같은 사정들을 위 관련 규정과 법리에 비추어 보면, 원고가 
개인정보처리시스템에 대한 접근통제를 소홀히 함으로써 불법적인 접근 차단을 다하지 
않았다고 인정할 수 있다. 따라서 제1처분사유는 인정되므로, 원고의 이 부분 주장은 
받아들이지 아니한다. 
(1) 보호조치 기준 제4조 제5항과 그에 관한 해설서에 따르면, 정보통신서비스 
제공자 등이 개인정보의 안전성 확보를 위하여 설치․운영하는 침입차단시스템, 침입
탐지시스템 등은 개인정보처리시스템에 대한 인가받지 않은 접근을 제한하고, 개인정
보 유출 시도를 탐지할 수 있는 기능을 갖추고 있어야 하므로, 원고로서는 접근 제한 
기능과 유출 탐지 기능을 실질적으로 갖춘 방화벽을 설치․운영하였어야 한다.
- 20 -
(2) 그런데 위 [그림 1]에서 보는 것처럼 원고 및 그와 별개 법인인 E은 최상단
의 1차 방화벽 내에서 함께 서비스를 운영하고 있었고, 그 하단의 2차 방화벽을 통해 
원고와 E이 구분되었다. 앞서 본 것처럼 원고는 C 서비스를 E의 F 콘텐츠만 제한적으
로 검색할 수 있도록 연동하였으나, F의 사용자 계정과는 연동하지 아니하여 F 서비스
는 C 서비스의 DB와 직접 통신하지 않는 구조로 운영되었고, 원고의 C 서비스 DB 서
버와 E의 F 웹 서버에는 각각 별도의 IP 주소가 할당되어 있었다. 따라서 C 서비스 
DB 서버의 경우 별도 사업자인 E의 네트워크가 실질적으로 외부망에 해당하므로, 여
기서 들어오는 트래픽을 필터링하여 개인정보처리시스템에 대한 인가받지 않은 접근을 
차단하는 기능이 수행되어야 한다. 
그러나 원고는 일반적으로 알려진 네트워크 보안방식인 Any→Any 차단 규
칙이나 이른바 ‘화이트 리스트’ 방식(기본 정책이 모두 차단인 상황에서 접근이 가능한 
대상을 특정하여 허용하는 방식) 등의 조치를 취하지 아니한 채 E과의 2차 방화벽에 
대하여 만연히 Any→Any 허용 규칙을 운용함으로써 다른 IP주소에서 C 서비스 DB 서
버에 직접 접속을 하더라도 위 방화벽에서 차단되지 않았다. 
(3) 실제로 이 사건 유출사고를 일으킨 신원 미상의 자는 F의 웹 서버를 통하
여 C 서비스의 DB에 접근할 수 있었다. 이는 원고가 Any→Any 허용 규칙 설정으로 
인하여 개인정보처리시스템에 대한 접근 권한을 C 서비스의 개인정보 보호책임자 또
는 개인정보취급자뿐만 아니라 E이 운영하는 F 서비스의 웹 서버를 통해 C 서비스에 
접근하는 이에게도 접근 권한을 부여하였기 때문이다.
(4) 모든 해커의 공격에 따른 개인정보 유출이 발생하지 않도록 조치를 취하는 
것은 현실적으로 불가능하지만, 원고는 2018. 3.경 해커로부터 웹 셸 업로드 방식을 통
- 21 -
한 C 서비스의 개인정보 유출사고를 당하는 등 외부 공격자가 공개된 웹 서버를 경유
하여 DB에 저장된 개인정보를 유출하는 수법을 이미 인지하고 있던 상태였다. 따라서 
원고로서는 개인정보처리시스템에 대한 접속 권한을 C 서비스 운영에 반드시 필요한 
IP 주소 등으로 제한하고, 다른 사업자의 서비스와 IP 대역을 분리하는 등 DB 서버에 
대하여 웹 셸을 통한 정보유출을 충분히 방지할 수 있었음에도 이러한 조치를 소홀히 
함으로써 개인정보 보호법령과 보호조치 기준 제4조 제5항을 위반하였다. 
(5) 앞서 [그림 3], [그림 4]에서 보는 것처럼 원고가 이 사건 유출사고 이후 비
교적 단기간 내에 원고와 E 간 DB 접근제어를 분리하고, Any→Any 허용 규칙을 Any
→Any 차단 규칙으로 변경하였던 점 등을 고려하면, DB 서버 분리나 Any→Any 차단 
규칙에 따른 DB 방화벽 정책을 운용하는 것이 이 사건 유출사고 당시 보편적으로 알
려져 있는 정보보안의 기술 수준, 원고의 업종․영업규모와 전체적인 보안조치의 내용, 
정보보안에 필요한 경제적 비용과 그 효용의 정도 등에 비추어 사회통념상 합리적으로 
기대할 수 없는 보호조치에 해당한다고 보기도 어렵다. 
다) 제2처분사유 존재 여부
(1) 위 인정사실 및 앞서 든 증거들과 변론 전체의 취지를 종합하면, 원고는 개
인정보취급자가 개인정보처리시스템에 접속한 기록을 식별자, 접속일시, 접속지, 수행
업무에 관한 사항을 포함하여 보존․관리하였어야 하나, 개인정보취급자의 접속기록 
중 식별자를 식별할 수 있는 형태로 저장하지 아니한 채 식별할 수 없는 형태의 
‘Encrypted’로 저장한 사실을 인정할 수 있고, 이는 개인정보 보호법령과 보호조치 기
준 제4조 제5항을 위반한 것에 해당한다.
(2) 한편 구 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣(2014. 5. 28. 
- 22 -
법률 제12681호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제64조의3 제1
항 제6호는 ‘방송통신위원회는 제28조 제1항 제2호부터 제5호까지의 조치를 하지 아니
하여 이용자의 개인정보를 분실․도난․누출․변조 또는 훼손한 경우에는 해당 정보통
신서비스 제공자 등에게 위반행위와 관련한 매출액의 100분의 1 이하 또는 1억 원 이
하에 해당하는 금액을 과징금으로 부과할 수 있다’고 규정하고 있었는데, 대규모 개인
정보 유출 사건 등을 계기로 2014. 5. 28. 법률 제12681호로 개정된 구 ｢정보통신망 
이용촉진 및 정보보호 등에 관한 법률｣(2020. 2. 4. 법률 제16955호로 개정되기 전의 
것, 이하 ‘정보통신망법’이라 한다) 제64조의3 제1항 제6호는 ‘방송통신위원회는 이용자
의 개인정보를 분실․도난․유출․위조․변조 또는 훼손한 경우로서 제28조 제1항 제
2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 조치를 하지 아니한 
경우에는 해당 정보통신서비스 제공자 등에게 위반행위와 관련한 매출액의 100분의 3 
이하에 해당하는 금액을 과징금으로 부과할 수 있다’고 규정하였다. 이처럼 정보통신망
법은 구 정보통신망법에서 정하고 있던 과징금을 상향 조정하는 한편, 기존에 개인정
보 유출 등으로 인한 과징금 부과 사유에 대해서 ‘조치를 하지 아니하여 이용자의 개
인정보를 분실…한 경우’라고 인과관계가 보다 분명하게 요구되는 표현을 사용하였던 
것을 ‘개인정보를 분실…한 경우로서 … 조치를 하지 아니한 경우’로 변경하였다. 이후 
2020. 2. 4. 개인정보 보호법이 법률 제16930호로, 정보통신망법이 법률 제16955호로 
각 개정되면서 정보통신망법에서 위 과징금 부과 조항이 삭제되고, 개인정보 보호에 
관한 규정이 모두 개인정보 보호법으로 일원화됨으로써 개인정보 보호법은 정보통신서
비스 제공자 등에 대한 특례로 정보통신망법과 같은 취지의 과징금 부과 조항을 두고 
있다(제39조의15). 구체적으로 개인정보 보호법 제39조15 제1항 제5호(이하 ‘과징금 부
- 23 -
과규정’이라 한다)는 ‘피고는 정보통신서비스 제공자 등이 이용자의 개인정보를 분실ㆍ
도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 제29조의 조치(내부 관리계획 수립에 
관한 사항은 제외한다)를 하지 아니한 경우(제39조의14에 따라 준용되는 경우를 포함
한다) 해당 정보통신서비스 제공자 등에게 위반행위와 관련한 매출액의 100분의 3 이
하에 해당하는 금액을 과징금으로 부과할 수 있다’고 규정하고 있다.
위와 같은 규정의 형식과 내용, 정보통신망법의 개정이유 등을 종합해 보면, 
개인정보 보호법의 과징금 부과규정은 과징금 부과의 요건으로 정보통신서비스 제공자
의 개인정보 보호법 제29조에 따른 안전조치의무 위반행위와 개인정보 유출 사이에 인
과관계를 명시적으로 요구하고 있지 않다고 봄이 타당하다(대법원 2020. 3. 12.자 2019
두60851 판결의 원심판결인 서울고등법원 2019. 11. 1. 선고 2018누56291 판결 참조). 
나아가 개인정보 보호법령은 개인정보에 대한 불법적인 접근을 차단하기 위한 조치, 
접속기록의 위조․변조 방지를 위한 조치 등 개인정보 보호법령에 명시된 안전성 확보 
조치를 하지 않은 경우에만 과징금을 부과할 수 있도록 하는 등 정보통신서비스 제공
자가 제3자에 의한 개인정보 유출을 방지하지 못하였더라도 위와 같은 조치 의무를 이
행하였다면 과징금 부과 대상이 되지 않으며, 개인정보가 유출되었다는 사실만으로 정
보통신서비스 제공자의 고의․과실을 묻지 않고 과징금이 부과되는 것은 아니다. 따라
서 과징금 부과규정이 안전조치의무 위반행위와 개인정보 유출 사이에 인과관계를 요
구하고 있지 않다는 사정만으로 정보통신서비스 제공자에게 책임의 범위를 넘는 지나
친 제재를 가하는 것이라고 볼 수 없으므로, 과잉금지원칙에 위반된다고 보기도 어렵
다(헌법재판소 2022. 5. 26. 선고 2020헌바259 결정 참조). 
(3) 이에 대하여 원고는 과징금 부과규정의 입법 연혁․취지 등을 고려할 때, 
- 24 -
안전조치 의무위반과 개인정보 유출 사이에 적어도 ‘관련성’은 있어야 하는데, 이 사건
의 경우 원고의 접속기록 보관 의무 미이행과 개인정보 유출 사이에 관련성이 인정되
지 않는다고 주장한다.
그러나 원고의 주장과 같이 안전조치 의무위반과 개인정보 유출 사이에 ‘관
련성’을 요건으로 하더라도, ① 앞서 본 것처럼 개인정보 보호법 시행령 제48조의2 제
1항 제3호와 보호조치 기준 제5조 제1항의 규정 내용과 취지, ② 보호조치 기준 해설
서도 정보통신서비스 제공자 등으로 하여금 개인정보처리시스템에 대한 불법적인 접속 
및 운영, 비정상적인 행위 등 이상 유무의 확인 등을 위해 식별자 등이 포함된 접속기
록을 최소 1년 이상 보존․관리하여야 한다고 정하고 있는 점, ③ 만일 접속기록의 보
존․관리 의무를 제대로 이행하지 않는다면 그만큼 불법적인 접속 및 운영, 비정상적
인 행위를 탐지하고 적절한 대응조치를 하는 것이 어려워질 뿐만 아니라, 개인정보의 
유출사고 원인 파악이 힘들어져 그로 인한 후속 대처 등이 적절히 이루어지지 못하여 
개인정보의 유출규모 등이 크게 확대될 위험도 있는 점 등을 고려하면, 원고가 식별자
를 식별할 수 있는 형태로 저장하지 않는 등 접속기록 보관 및 점검을 소홀히 한 행위
와 이 사건 유출사고 사이에는 관련성이 충분히 인정된다.
(4) 따라서 제2처분사유는 인정되므로, 원고의 이 부분 주장은 받아들이지 아니
한다.
2) 재량권의 일탈․남용 여부
가) 관련 규정과 법리
(1) 앞서 본 개인정보 보호법의 과징금 부과규정 내용 등을 고려하면, 개인정보
보호위원회는 개인정보 보호법 위반행위에 대하여 과징금을 부과할 것인지 여부와 과
- 25 -
징금을 부과한다면 일정한 범위 안에서 과징금의 액수를 구체적으로 얼마로 정할 것인
지에 관하여 재량을 가지고 있다. 다만 개인정보 보호법 제39조의15 제4항의 위임을 
받은 개인정보 보호법 시행령 제48조의11 제1항, 제4항 및 [별표 1의5]는 과징금의 산
정기준과 산정절차에 관하여 구체적으로 규정하면서, 위 [별표 1의5] 제3호에서 과징금
의 세부 기준과 그 밖에 과징금의 부과에 필요한 사항은 개인정보보호위원회가 정하여 
고시한다고 정하고 있고, 개인정보보호위원회는 이에 근거하여 과징금 부과기준을 제
정하여 시행하고 있다. 
(2) 과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적
인 경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 개인정보 
보호법 제39조의15 제1항 각 호에서 정한 행위에 대하여 부과하는 과징금의 경우도 
마찬가지이다(위 헌법재판소 2020헌바259 결정 참조). 이처럼 개인정보 보호법의 과징
금 부과규정에 따른 과징금은 개인정보 보호법 위반행위에 따르는 불법적인 경제적 이
익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 
가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수, 
위반행위로 인하여 취득한 이익의 규모 등을 고려하도록 규정하고 있다.
(3) 개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 
위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 
위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 
정하여야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 
현저하게 타당성을 잃은 경우라면 그러한 과징금 처분은 재량권을 일탈․남용하여 위
법하다고 보아야 한다(대법원 2023. 10. 12. 선고 2022두68923 판결 참조).
- 26 -
나) 기준금액 산출 위법 여부
(1) 위반행위의 중대성 판정과 관련된 규정의 내용
(가) 개인정보 보호법 시행령 제48조의11 제4항 [별표 1의5] 2. 가. 1)은 ”기
준금액은 제48조의11 제1항에 따른 위반행위와 관련한 매출액에 위반행위의 중대성에 
따라 ’매우 중대한 위반행위‘의 경우 1천분의 27, ‘중대한 위반행위’의 경우 1천분의 
21, ‘일반 위반행위‘의 경우 1천분의 15의 과징금 산정비율(부과기준율)을 곱하여 산출
한 금액으로 한다.”라고 규정하고 있고, 위 [별표 1의5] 2. 가. 3)은 ‘위반행위의 중대성
은 고의․중과실 여부, 영리 목적의 유무, 위반행위로 인한 개인정보의 피해규모, 개인
정보의 공중에 노출 여부 및 위반행위로 인하여 취득한 이익의 규모 등을 종합적으로 
고려하여 판단한다’고 정하고 있다. 
(나) 한편 과징금 부과기준 제5조 제1항은 ‘개인정보 보호법 시행령 [별표 1
의5] 2. 가. 1)에 따른 위반행위의 중대성 판단기준 중 고의․중과실 여부는 영리 목적
의 유무, 개인정보 보호법 시행령 제48조의2에 따른 안전성 확보조치 이행 여부 등을 
고려하여 판단한다’고 규정하고 있고, 같은 조 제2항은 ‘위반 정보통신서비스 제공자 
등에게 고의․중과실이 없으면 위반행위의 중대성을 보통 위반행위로 판단한다’고 규
정하고 있으며, 같은 조 제3항은 ‘위반 정보통신서비스 제공자 등에게 고의․중과실이 
있으면 위반행위의 중대성을 매우 중대한 위반행위로 판단한다. 다만, 위반행위의 결과
가 다음 각 호의 사항 중 모두 해당하는 경우에는 보통 위반행위로, 1개 이상 2개 이
하에 해당하는 경우에는 중대한 위반행위로 감경한다’고 규정하면서, 제1호에서 ‘위반 
정보통신서비스 제공자 등이 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우’, 
제2호에서 ‘위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자 등이 
- 27 -
보유하고 있는 개인정보의 100분의 5 이내인 경우’, 제3호에서 ‘이용자의 개인정보가 
공중에 노출되지 않은 경우’를 들고 있다.
(2) 고의․중과실의 존재 여부
위 인정사실 및 앞서 든 증거들에 변론 전체의 취지를 더하여 알 수 있는 다
음과 같은 사정들을 위 관련 규정과 법리에 비추어 보면, 원고는 적어도 이 사건 유출
사고에 중과실이 있다고 봄이 타당하다. 따라서 원고의 이 부분 주장은 받아들이지 아
니한다.
(가) 원고는 이 사건 유출사고 이전인 2018. 3.경에도 해커로부터 웹 셸 업로
드 방식을 통한 C 서비스의 개인정보 유출사고를 당하여 2019. 11. 22. 방송통신위원
회로부터 개인정보의 불법적인 접근차단을 위한 침입차단․탐지시스템 운영을 소홀히 
한 행위 등에 대하여 시정명령과 과태료 1,300만 원을 부과 받았다.
(나) 그럼에도 원고는 F 서비스와 공동으로 DB 접근제어 솔루션(D)을 사용하
고, C 서비스 DB에 접속하는 방식을 Any→Any 허용 규칙으로 설정하였다. 
(다) 원고가 DB 접근제어 서버를 단독으로 운영하고 Any→Any 허용 규칙을 
Any→Any 차단 규칙으로 변경하는 데 큰 어려움이 있었다거나, 개인정보취급자의 접
속기록 중 식별자를 식별할 수 없는 형태로 저장할 만한 특별한 이유는 없었던 것으로 
보인다. 
(3) 위반행위로 인한 피해규모가 원고 보유 개인정보의 5% 이내에 해당하는지 
여부
(가) 원고가 개인정보 보호법 위반행위로 직접적으로 이득을 취득하지 않고, 
이용자의 개인정보가 공중에 노출되지 않은 사실에 대하여는 당사자 사이에 다툼이 없
- 28 -
으므로, 이 사건의 경우 ‘위반행위로 인한 개인정보의 피해규모가 원고가 보유하고 있
는 개인정보의 100분의 5 이내인 경우’에 해당하는지가 문제된다.
(나) 갑 제9호증의 기재와 변론 전체의 취지를 종합하면, 원고가 2015. 1. 4.
부터 2021. 4. 7.까지 보관하고 있던 초등온라인학습과 관련된 C 서비스의 개인정보가 
427,221건이었고, 같은 기간 동안 보관하고 있던 중․고등온라인학습과 관련된 C 서비
스의 개인정보가 367,647건(추정)으로, 초․중․고등학교 C 서비스 전체 개인정보가 
794,868건인 사실을 인정할 수 있기는 하다. 그러나 한편 앞서 인정한 사실 및 앞서 
든 증거들에 변론 전체의 취지를 더하여 알 수 있는 다음과 같은 사정들을 위 관련 규
정과 법리에 비추어 보면, 과징금 부과기준 제5조 제3항 제2호에서 정한 ‘원고가 보유
하고 있는 개인정보’는 C 서비스의 초등온라인학습과 관련하여 보유한 개인정보 
427,221건으로 산정해야 하고, 그중 유출된 23,624건은 위 개인정보의 5.5%(소수점 둘
째자리 이하 버림)이므로, ‘위반행위로 인한 개인정보의 피해규모가 원고가 보유하고 
있는 개인정보의 100분의 5 이내인 경우’에 해당한다고 볼 수 없다. 따라서 원고의 이 
부분 주장은 받아들이지 아니한다.
① 과징금 부과기준 제5조 제3항 제2호의 취지는 정보통신서비스 제공자 
등의 위반행위로 인한 피해규모가 상대적으로 작다는 점을 참작하여 그에 따른 위반행
위의 중대성을 감경하기 위한 것이다. 여기에 법질서 전체와의 조화, 다른 법령과의 관
계 등을 더하여 보면, 위 규정의 ‘정보통신서비스 제공자 등이 보유하고 있는 개인정
보’는 정보통신서비스 제공자 등이 보유한 모든 개인정보가 아니라 위반행위와 관련된 
개인정보에 한정된다고 해석함이 타당하다.
② 원고가 운영한 C 서비스 초등온라인학습 사이트와 C 서비스 중학온라
- 29 -
인학습 사이트 및 C 서비스 고등온라인학습 사이트는 서로 구분되는 별개의 사이트로 
이용자들은 각각의 사이트에서 별도의 회원가입 절차를 거치고, 원고는 각각의 사이트
에서 수집한 개인정보를 구분하여 서로 다른 개인정보 DB에 보관하고 있다. 실제로 이 
사건 유출사고에서 신원 미상의 자가 조회․유출한 개인정보는 C 서비스 초등온라인
학습 회원들의 DB일 뿐이고, 피고의 현장조사 당시 원고도 이 사건 유출사고와 관련하
여 보관하고 있는 개인정보는 총 427,221건이라고 진술하였다. 따라서 원고가 보유하
고 있는 개인정보의 수는 초등온라인학습에 관한 C 서비스의 개인정보를 기준으로 산
정하여야 하고, 원고의 주장과 같이 원고가 보유한 C 서비스의 모든 개인정보가 포함
되는 것으로 보아야 문언의 엄격한 해석 원칙에 부합한다고 볼 만한 합리적인 근거는 
없다.
③ 특히 앞서 본 것처럼 개인정보 보호법 제39조의15 제1항과 개인정보 
보호법 시행령 제48조의11 제1항, 과징금 부과기준 제4조 제1항이 위반행위와 관련된 
정보통신서비스, 즉 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 
매출액을 기초로 과징금을 산정하고 있는 점 등을 고려할 때, 정보통신서비스 제공자 
등이 보유한 개인정보 역시 위 과징금 산정기준과 동일하게 위반행위와 관련되는 정보
통신서비스의 개인정보로 한정함이 타당하다.
다) 필수적 가중 위법 여부
(1) 과징금 부과기준 제6조 제1항은 ‘위반기간을 고려하여 다음 각 호와 같이 
과징금을 조정한다’고 규정하고 있는데, 제1호에서 ‘위반기간이 1년 이내인 단기 위반
행위의 경우에는 기준금액 유지’, 제2호에서 ‘위반기간이 1년 초과 2년 이내인 중기 위
반행위의 경우에는 기준금액의 100분의 25에 해당하는 금액 가산’, 제3호에서 ‘위반기
- 30 -
간이 2년을 초과하는 장기 위반행위의 경우에는 기준금액의 100분의 50에 해당하는 
금액 가산’으로 각 정하고 있다. 한편 과징금 부과기준 제7조 제1항은 ‘제6조 제1항에 
따른 위반기간은 위반행위의 개시일부터 종료일까지의 기간을 말한다. 다만, 위반행위
가 과징금 부과처분을 명하는 개인정보보호위원회의 심의종결일까지 종료되지 아니한 
경우에는 해당 사건에 대한 심의종결일을 위반행위의 종료일로 본다’고 규정하고 있고, 
같은 조 제2항은 ‘제1항에 따른 위반기간을 산정하면서 위반행위의 개시일 또는 종료
일이 불분명한 경우에는 위반 정보통신서비스 제공자 등의 영업ㆍ재무관련 자료, 임직
원ㆍ이용자 등의 진술, 동종 유사 정보통신서비스 제공자 등의 영업 및 거래실태ㆍ관
행 등을 고려하여 이를 산정할 수 있다’고 규정하고 있다. 
(2) 위 인정사실 및 앞서 든 증거들에 변론 전체의 취지를 더하여 알 수 있는 
다음과 같은 사정들을 위 규정에 비추어 보면, 원고의 위반행위는 늦어도 신원 미상의 
자가 F 웹 서버에 웹 셸을 업로드한 2019. 4. 2.경 개시됨으로써 위반기간이 2년을 초
과하는 장기 위반행위에 해당한다고 봄이 타당하다. 따라서 원고의 이 부분 주장은 받
아들이지 아니한다. 
(가) 개인정보 보호법의 과징금 부과규정은 같은 법 제29조의 안전조치 의무
를 위반한 행위를 제재하려는 것이고, 과징금 부과기준 제7조 제1항 본문은 ‘위반기간’
에 관하여 ‘위반행위의 개시일부터 종료일까지의 기간’이라고 정의하고 있다. 이러한 
관련 규정의 문언과 체계, 취지 등에 비추어 보면, 위반기간은 원고가 안전조치의무를 
위반한 기간을 뜻하는 것으로 해석함이 자연스럽다.
(나) 그런데 앞서 본 것처럼 원고는 F 서비스와 공동으로 DB 접근제어 솔루
션을 사용하고, C 서비스 DB 서버에 접속하는 방식을 Any→Any 허용 규칙으로 설정
- 31 -
하는 등 개인정보처리시스템에 대한 접근통제를 소홀히 하였으며, 이에 신원 미상의 
자가 2019. 4. 2. F 웹 서버에 웹 셸을 업로드함으로써 적어도 그 무렵 위반행위가 시
작되었다고 봄이 타당하다. 따라서 이 사건 유출사고가 발생한 2021. 4. 7.을 기준으로 
할 때, 원고의 위반기간은 2년을 초과하게 된다. 
(다) 설령 이 사건 처분서에 원고의 위반행위 개시일이 명시적으로 특정되어 
있지 않다고 하더라도, 원고가 피고의 현장조사 과정에서 스스로 2019. 4. 2.을 위반행
위 개시일로 주장한 것으로 보이는 점, 이 사건 처분서에 유출경위와 관련된 일자가 
시간 순으로 나열되어 있으면서 ‘2019. 4. 2. 10:19 해커가 E의 F 웹 서버에 웹 셸을 
업로드함’이라고 기재되어 있는 점(갑 제1호증 5면 참조) 등을 고려하면, 원고로서는 
위반행위 개시일을 충분히 알 수 있었으므로 방어권을 행사하는 데 별다른 지장이 없
었던 것으로 판단된다. 
(라) 이에 대하여 원고는 방송통신위원회와 피고가 다수의 개인정보 유출 사
건에서 유출이 발생한 시점을 위반행위 개시일로 보았으므로, 이 사건의 경우에도 마
찬가지로 보아야 한다고 주장하면서, 방송통신위원회 및 피고의 심의․의결서인 갑 제
4, 10 내지 15호증을 증거로 제출하였다. 
그러나 원고가 제시하고 있는 심의․의결 사례들은 실제 위반행위의 개
시일이 불분명하였을 뿐만 아니라, 방송통신위원회 내지 피고의 조사와 진술 청취 등
의 방법을 통해서도 위반행위 개시일을 특정할 수 없었고, 그 밖에 사업자들의 영업 
및 거래실태ㆍ관행 등을 고려하여 위반행위 개시일이 개인정보가 유출된 날짜와 거의 
비슷한 시점으로 인정된 것으로 보인다. 반면에 원고는 C 서비스 초기부터 Any→Any 
허용 규칙을 운영해 왔고, E의 F 웹 서버에 웹 셸이 업로드된 2019. 4. 2.에도 위와 같
- 32 -
은 Any→Any 허용 규칙이 유지되는 등 적어도 위 날짜 무렵에는 원고의 위반행위가 
개시된 것으로 충분히 특정할 수 있었다. 따라서 원고가 들고 있는 사례들만으로 이 
사건의 경우에도 이 사건 유출사고 발생일에 위반행위가 개시되었다고 인정하기는 어
렵다. 
라) 비례의 원칙 및 평등의 원칙 위반 여부
위 인정사실 및 앞서 든 증거들에 변론 전체의 취지를 더하여 알 수 있는 다음
과 같은 사정들을 위 관련 규정과 법리에 비추어 보면, 원고에게 부과된 과징금이 지
나치게 가혹하여 비례의 원칙이나 평등의 원칙에 반하여 재량권을 일탈․남용하였다고 
보기 어렵다. 따라서 원고의 이 부분 주장도 받아들이지 아니한다.
(1) 원고는 2017. 5.경부터 C 서비스 이용자에게 E의 F 콘텐츠를 검색할 수 있
는 기능을 제공하면서 Any→Any 허용 규칙을 운영해 오는 등 개인정보 DB에 대한 접
근통제를 소홀히 하였고, 식별자를 식별할 수 없는 형태로 접속기록을 저장함으로써 
기본적인 안전성 확보 조치 의무를 다하지 아니하였다. 더구나 원고는 종전에 C 서비
스에서 개인정보 유출사고가 발생하여 제재를 받았음에도 개인정보 보호법상 의무를 
소홀히 함으로써 다시 이 사건 유출사고가 일어났다. 이러한 사정들을 고려하면, 원고
의 위반행위 내용과 정도가 가볍지 아니하고, 위반기간도 장기간에 해당한다.
(2) 이 사건 유출사고로 인해 C 서비스에 보관된 초등온라인학습 이용자의 개
인정보(이름, 아이디, 생년월일, 학년, 학교명, 이메일, 주소, 전화번호, 휴대전화번호, 
학부모 이름, 학부모 휴대전화번호, 학부모 생년월일) 23,624건이 유출되었을 뿐만 아
니라, 미성년자인 초등학생의 개인정보까지 유출되는 등 피해규모가 상당히 크다. 따라
서 온라인 쇼핑몰 회원 20명의 이름과 이메일 주소, 휴대전화번호, 배송지 주소 등이 
- 33 -
노출되었을 뿐 주민등록번호와 비밀번호 등은 노출되지 않았고, 이와 같이 유출된 개
인정보도 개별적으로 유출됨으로써 추가 피해의 우려도 비교적 작은 위 대법원 2022
두68923 판결의 사안과는 피해규모 측면에서 상당한 차이가 있다.
(3) 비록 과징금 부과기준이 과징금 산정과 그 부과에 관한 재량권 행사의 기
준으로 마련된 피고의 재량준칙에 불과한 것이라고 하더라도, 이는 개인정보 보호법에
서 정한 금액의 범위 내에서 적정한 과징금의 산정기준을 마련하기 위하여 제정된 것
이므로, 그 기준이 헌법 또는 법률에 합치되지 않거나 객관적으로 합리적이라고 볼 수 
없어 재량권을 남용한 것이라고 인정되지 않는 이상 피고의 의사는 가능한 한 존중될 
필요가 있다(대법원 2019. 7. 25. 선고 2016두54688 판결 취지 참조).
그런데 이 사건 과징금납부명령의 기준금액 산정 및 가중․감경은 피고가 
개인정보 보호법 제39조의15 제3항에서 정한 과징금 부과의 참작 사유로 정하고 있는 
사항을 고려하여 재량권 행사의 기준인 과징금 부과기준에 따라 정한 것으로, 위 기준
이 헌법 또는 법률에 합치되지 않거나 객관적으로 합리적이지 않다고 볼 만한 사정이 
없고, 그 산정 과정에 특별한 위법사유가 있다고 보이지도 않는다. 
(4) 더욱이 피고는 원고가 조사에 적극 협력하고, 이 사건 유출사고를 인지한 
후 곧바로 자진 신고한 점 등을 고려하여 필수적 가중․감경을 거친 금액의 20%에 해
당하는 금액을 감경하기도 하였다. 
(5) 한편 원고는 개인정보 유출에 따른 최근의 과징금 부과 심의․의결 사례들
과 비교해 볼 때, 이 사건의 경우 유출 건당 과징금 액수가 지나치게 높아 형평에 반
한다는 취지로도 주장한다. 
그러나 앞서 본 것처럼 개인정보 보호법 위반에 따른 과징금은 관련 매출액
- 34 -
을 기초로 기준금액을 산출한 후 이에 대한 가중․감경을 거쳐 결정되는 점 등을 고려
하면, 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액이 과
징금 액수 결정에 상당한 영향을 미치게 되므로, 이 사건 과징금납부명령을 관련 매출
액에서 차이가 있는 다른 사업자에게 부과된 과징금과 단순히 비교할 수 없다. 또한 
과징금 액수를 유출 건당으로 나누어 산정한 결과만을 가지고 위반행위의 태양과 성
격, 내용과 정도가 다른 위반 사업자의 경우와 동일선상에서 비교하는 것이 합리적이
라고 보기도 어렵다. 여기에 앞서 본 바와 같이 개인정보 보호법 위반에 따른 과징금
은 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고 있는 점 
등을 더하여 보면, 원고가 들고 있는 사례들만으로 이 사건 과징금납부명령이 형평에 
반하여 위법하다고 할 수 없다. 
마. 소결
결국 이 사건 과징금납부명령은 적법하고, 원고의 주장은 모두 받아들일 수 없다.
3. 결론
그렇다면 원고의 청구는 이유 없어 이를 기각하여야 한다. 제1심판결은 이와 결론을 
같이하여 정당하므로, 원고의 항소는 이유 없어 이를 기각하기로 하여 주문과 같이 판
결한다.
재판장 판사 함상훈
- 35 -
판사 표현덕
판사 박영욱
- 36 -
별지 1
처분 내역
1. 원고에 대하여 다음과 같이 시정조치를 명한다.
가. 원고는 개인정보를 처리할 때는 개인정보의 분실․도난․유출․위조․변조 또는 
훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 다음과 같은 기술적․관
리적 보호조치를 취하여야 한다.
1) 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스
템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한하
여야 한다.
2) 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으
로 확인․감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 
접속기록을 보존․관리하여야 한다.
나. 원고는 개인정보의 분실․도난․유출(이하 “유출 등”이라 한다) 사실을 안 때에
는 지체 없이 ‘유출 등이 된 개인정보 항목’, ‘유출 등이 발생한 시점’, ‘이용자가 
취할 수 있는 조치’, ‘정보통신서비스 제공자 등의 대응조치’, ‘이용자 상담 등을 
접수할 수 있는 부서 및 연락처’ 등 모든 사항을 해당 이용자에게 알려야 하며, 
구체적인 내용이 확인되지 않았으면 그때까지 확인된 내용과 ‘이용자가 취할 수 
있는 조치’, ‘정보통신서비스 제공자 등의 대응조치’, ‘이용자 상담 등을 접수할 
수 있는 부서 및 연락처’의 사항을 우선 통지․신고한 후 추가로 확인되는 내용
에 대해서는 확인되는 즉시 통지․신고하여야 한다.
다. 원고는 가.부터 나.까지의 시정명령에 따른 시정조치를 이행하고, 시정조치명령 
- 37 -
처분통지를 받은 날로부터 60일 이내에 이행결과를 피고에게 제출하여야 한다.
2. 원고에 대하여 다음과 같은 과징금과 과태료를 부과한다.
가. 과징금: 903,353,000원
나. 과태료: 17,400,000원
다. 납부기한: 고지서에 명시된 납부기한 이내
라. 납부장소: 한국은행 국고수납 대리점
3. 원고의 법 위반행위 내용 및 결과를 피고 홈페이지에 공표한다. 끝.
- 38 -
별지 2
관계 법령
▣ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 
제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다. 
3. "정보통신서비스 제공자"란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영
리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제
공을 매개하는 자를 말한다.
▣ 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 
제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다. 
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 
사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. 
제29조(안전조치의무) 
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 
관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술
적ㆍ관리적 및 물리적 조치를 하여야 한다.
제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례) 
① 제34조제1항 및 제3항에도 불구하고 정보통신서비스 제공자와 그로부터 제17조제1항에 따
라 이용자의 개인정보를 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 개인정
보의 분실ㆍ도난ㆍ유출(이하 “유출등”이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 
사항을 해당 이용자에게 알리고 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하
여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 
아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령
으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다. 
1. 유출등이 된 개인정보 항목 
- 39 -
2. 유출등이 발생한 시점 
3. 이용자가 취할 수 있는 조치 
4. 정보통신서비스 제공자등의 대응 조치 
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처 
② 제1항의 신고를 받은 대통령령으로 정하는 전문기관은 지체 없이 그 사실을 보호위원회에 
알려야 한다. 
제39조의15(과징금의 부과 등에 대한 특례) 
① 보호위원회는 정보통신서비스 제공자등에게 다음 각 호의 어느 하나에 해당하는 행위가 있
는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이
하에 해당하는 금액을 과징금으로 부과할 수 있다. 
5. 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 제29조의 조
치(내부 관리계획 수립에 관한 사항은 제외한다)를 하지 아니한 경우(제39조의14에 따라 
준용되는 경우를 포함한다) 
③ 보호위원회는 제1항에 따른 과징금을 부과하려면 다음 각 호의 사항을 고려하여야 한다.
1. 위반행위의 내용 및 정도
2. 위반행위의 기간 및 횟수
3. 위반행위로 인하여 취득한 이익의 규모
④ 제1항에 따른 과징금은 제3항을 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통
령령으로 정한다.
▣ 구 개인정보 보호법 시행령(2023. 9. 12. 대통령령 제33723호로 개정되기 전의 것)
제48조의2(개인정보의 안전성 확보 조치에 관한 특례) 
① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항
제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 
해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자
(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제
30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다. 
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치 
나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영 
- 40 -
3. 접속기록의 위조ㆍ변조 방지를 위한 다음 각 목의 조치 
가. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 
처리내역 등의 저장 및 이의 확인ㆍ감독 
나. 개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관 
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다. 
제48조의4(개인정보 유출 등의 통지ㆍ신고에 관한 특례) 
① 법 제39조의4제1항 각 호 외의 부분 본문 및 제2항에서 "대통령령으로 정하는 전문기관"이
란 한국인터넷진흥원을 말한다.
② 정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ유출의 사실을 안 때에는 지체 없이 
법 제39조의4제1항 각 호의 모든 사항을 서면등의 방법으로 이용자에게 알리고 보호위원
회 또는 한국인터넷진흥원에 신고해야 한다.
③ 정보통신서비스 제공자등은 제2항에 따른 통지ㆍ신고를 하려는 경우에는 법 제39조의4제1
항제1호 또는 제2호의 사항에 관한 구체적인 내용이 확인되지 않았으면 그때까지 확인된 
내용과 같은 항 제3호부터 제5호까지의 사항을 우선 통지ㆍ신고한 후 추가로 확인되는 내
용에 대해서는 확인되는 즉시 통지ㆍ신고해야 한다.
④ 정보통신서비스 제공자등은 법 제39조의4제1항 각 호 외의 부분 단서에 따른 정당한 사유
가 있는 경우에는 법 제39조의4제1항 각 호의 사항을 자신의 인터넷 홈페이지에 30일 이
상 게시하는 것으로 제2항의 통지를 갈음할 수 있다.
⑤ 천재지변이나 그 밖의 부득이한 사유로 제4항에 따른 홈페이지 게시가 곤란한 경우에는 
「신문 등의 진흥에 관한 법률」에 따른 전국을 보급지역으로 하는 둘 이상의 일반일간신
문에 1회 이상 공고하는 것으로 제4항에 따른 홈페이지 게시를 갈음할 수 있다.
⑥ 정보통신서비스 제공자등은 법 제39조의4제1항 각 호 외의 부분 본문 및 단서에 따른 정당
한 사유를 지체 없이 서면으로 보호위원회에 소명해야 한다.
제48조의11(과징금의 산정기준 등에 관한 특례)
① 법 제39조의15제1항에 따른 매출액은 해당 정보통신서비스 제공자등의 위반행위와 관련된 
정보통신서비스의 직전 3개 사업연도의 연평균 매출액으로 한다. 다만, 해당 사업연도 첫날 
현재 사업을 개시한지 3년이 되지 않은 경우에는 그 사업개시일부터 직전 사업연도 말일까
지의 매출액을 연평균 매출액으로 환산한 금액으로 하며, 해당 사업연도에 사업을 개시한 
경우에는 사업개시일부터 위반행위일까지의 매출액을 연매출액으로 환산한 금액으로 한다. 
- 41 -
④ 법 제39조의15제4항에 따른 과징금의 산정기준과 산정절차는 별표 1의5와 같다. 
부칙<대통령령 제32813호, 2022. 7. 19.> 
제2조(과징금의 산정기준에 관한 적용례) 
별표 1, 별표 1의3 및 별표 1의5의 개정규정은 이 영 시행 전의 위반행위에 대해서도 적용한
다.
[별표 1의5]
과징금의 산정기준과 산정절차(제48조의11제4항 관련)
1. 과징금의 산정단계 
과징금은 법 제39조의15제3항 각 호에 따른 고려 사항과 이에 영향을 미치는 행위를 종합
적으로 고려하여 제2호 가목에 따라 산정된 기준금액에 같은 호 나목에 따른 필수적 가중ㆍ
감경, 같은 호 다목에 따른 추가적 가중ㆍ감경을 순차적으로 거쳐 산정한다. 다만, 가중하는 
경우에도 법 제39조의15제1항 및 제2항에 따른 과징금 금액의 상한을 넘을 수 없다. 
2. 과징금의 산정단계에 따른 산정방식과 고려 사유
가. 기준금액의 산정
1) 기준금액은 제48조의11제1항에 따른 위반행위와 관련한 매출액에 위반행위의 중대성에 
따라 다음과 같이 구분된 과징금의 산정비율(부과기준율)을 곱하여 산출한 금액으로 한
다.
3) 위반행위의 중대성은 고의ㆍ중과실 여부, 영리 목적의 유무, 위반행위로 인한 개인정보
의 피해규모, 개인정보의 공중에 노출 여부 및 위반행위로 인하여 취득한 이익의 규모 
등을 종합적으로 고려하여 판단한다.
나. 필수적 가중ㆍ감경 
위반행위의 기간과 횟수 등을 고려하여 기준금액의 100분의 50의 범위에서 가중하거나 
위반행위의 중대성 부과기준율
매우 중대한 위반행위 1천분의 27
중대한 위반행위 1천분의 21
일반 위반행위 1천분의 15
- 42 -
감경해야 한다. 
다. 추가적 가중ㆍ감경 
개인정보 보호를 위한 노력 정도, 위반행위에 대한 조사의 협조 여부, 위반행위의 주도 여
부 등을 종합적으로 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위에서 
가중하거나 감경할 수 있다. 
3. 세부 기준 
위반행위와 관련한 매출액의 산정에 관한 세부 기준, 위반행위의 중대성 판단 기준, 필수적 
가중ㆍ감경 및 추가적 가중ㆍ감경을 위한 세부 기준과 그 밖에 과징금의 부과에 필요한 사
항은 보호위원회가 정하여 고시한다. 
▣ 개인정보의 기술적ㆍ관리적 보호조치 기준(개인정보보호위원회고시 제2020-5호)
제4조(접근통제) 
① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 
필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다. 
⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다
음 각 호의 기능을 포함한 시스템을 설치ㆍ운영하여야 한다. 
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 
제한 
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지 
제5조(접속기록의 위ㆍ변조방지) 
① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 
이상 정기적으로 확인ㆍ감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이
상 접속기록을 보존ㆍ관리하여야 한다.
▣ 구 개인정보보호 법규 위반에 대한 과징금 부과기준(2022. 10. 20. 개인정보보호위원회고
시 제2022-3호로 개정되기 전의 것)
제1조(목적)
이 고시는 「개인정보 보호법」(이하 "법"이라 한다) 제39조의15제4항, 같은 법 시행령(이하 
“영”이라 한다) 제48조의11제4항 및 [별표 1의5]에 따른 과징금 부과에 필요한 세부기준을 
- 43 -
정함을 목적으로 한다.
제2조(과징금 산정 절차 및 기준) 
과징금은 법 제39조의15제3항 각 호에서 정한 참작사유와 이에 영향을 미치는 행위를 고려하
여 산정하되, 기준금액에 필수적 가중ㆍ감경, 추가적 가중ㆍ감경을 거쳐 과징금을 산정한다.
제4조(관련 매출액의 산정) 
① 관련 매출액은 위반 정보통신서비스 제공자등의 위반행위로 인하여 직접 또는 간접적으로 
영향을 받는 서비스의 직전 3개 사업년도의 연평균 매출액으로 한다.
제5조(중대성의 판단) 
① 영 [별표 1의5] 2. 가. 1)에 따른 위반행위의 중대성의 판단기준 중 고의ㆍ중과실 여부는 
영리 목적의 유무, 영 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단한
다. 
② 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 없으면 위반행위의 중대성을 보통 위반
행위로 판단한다. 
③ 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 있으면 위반행위의 중대성을 매우 중대
한 위반행위로 판단한다. 다만, 위반행위의 결과가 다음 각 호의 사항 중 모두 해당하는 경
우에는 보통 위반행위로, 1개 이상 2개 이하에 해당하는 경우에는 중대한 위반행위로 감경
한다. 
1. 위반 정보통신서비스 제공자등이 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우 
2. 위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 
개인정보의 100분의 5 이내인 경우 
3. 이용자의 개인정보가 공중에 노출되지 않은 경우 
제6조(필수적 가중ㆍ감경) 
① 위반기간을 고려하여 다음 각 호와 같이 과징금을 조정한다. 
1. 단기 위반행위: 위반기간이 1년 이내인 경우는 기준금액을 유지한다. 
2. 중기 위반행위: 위반기간이 1년 초과 2년 이내인 경우에는 기준금액의 100분의 25에 해
당하는 금액을 가산한다. 
3. 장기 위반행위: 위반기간이 2년을 초과하는 경우에는 기준금액의 100분의 50에 해당하는 
금액을 가산한다. 
제7조(위반기간의 산정) 
- 44 -
① 제6조제1항에 따른 위반기간은 위반행위의 개시일부터 종료일까지의 기간을 말한다. 다만, 
위반행위가 과징금 부과처분을 명하는 개인정보 보호위원회(이하 "보호위원회"라 한다)의 
심의종결일까지 종료되지 아니한 경우에는 해당 사건에 대한 보호위원회의 심의종결일을 
위반행위의 종료일로 본다. 
② 제1항에 따른 위반기간을 산정하면서 위반행위의 개시일 또는 종료일이 불분명한 경우에는 
위반 정보통신서비스 제공자등의 영업ㆍ재무관련 자료, 임직원ㆍ이용자 등의 진술, 동종 유
사 정보통신서비스 제공자등의 영업 및 거래실태ㆍ관행 등을 고려하여 이를 산정할 수 있
다. 
제8조(추가적 가중ㆍ감경) 
개인정보보호위원회는 사업자의 위반행위 주도 여부, 조사 협력 여부 등을 고려하여 필수적 
가중ㆍ감경을 거친 금액의 100분의 50의 범위 내에서 [별표]에 따라 추가적으로 가중하거나 
감경할 수 있다. 끝.