[행정 판결문] 서울행정법원 2023구합81091 - 과징금부과처분취소
- 1 -
서 울 행 정 법 원
제 4 부
판 결
사 건 2023구합81091 과징금부과처분취소
원 고 A 주식회사
피 고 개인정보보호위원회
변 론 종 결 2025. 3. 7.
판 결 선 고 2025. 3. 28.
주 문
1. 원고의 청구를 기각한다.
2. 소송비용은 원고가 부담한다.
청 구 취 지
피고가 2023. 8. 30. 원고에 대하여 한 70,609,000원의 과징금 부과처분을 취소한다.
이 유
1. 처분의 경위
가. 원고는 국내외 직업정보제공사업 등을 목적으로 하는 회사로서 채용정보를 제공
- 2 -
하는 온라인 사이트((비실명화로 생략), 이하 ‘이 사건 사이트’라 한다)를 운영하고 있
으며, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 제1항 제3호의 정보통
신서비스 제공자이자, 구 개인정보보호법(2023. 3. 14. 법률 제19234호로 개정되기 전
의 것, 이하 ‘법’이라 한다) 제2조 제5호의 개인정보처리자이다.
나. 원고는 이 사건 사이트를 운영하면서 2020. 9. 30. 기준 아래 <표 1> 기재와 같
은 이용자 8,896,862명의 개인정보를 수집하여 보관하였다.
<표 1>
다. 신원미상의 자(이하 ‘해커’라 한다)는 2020. 9. 29.경부터 같은 달 30.경까지 이
사건 사이트의 로그인 페이지에 크리덴셜 스터핑 공격1)을 시도하였고, 36,458명의 계
정에 대하여 로그인에 성공하였으며, 35,076명(중복 열람된 정보주체의 수 제외)에 대
1) 크리덴셜 스터핑 공격이란 다크웹 등 타 사이트에서 아이디와 비밀번호가 불법적으로 유통되고, 이를 획득한 해커가 이용자
의 아이디와 비밀번호를 무작위로 대입하는 방식을 말한다.
구분 항목 수집일 건 수
회원정보
(필수) 이메일(아이디), 비밀번호, 이름, 생
년월일, 성별, 휴대전화번호, 소셜
계졍의 경우 동일인식별번호
(선택) 사진, 취업우대 및 특이사항(병역사
항, 보훈대상, 장애여부, 고용지원
금대상여부), 어학능력(어학시험명
등급, 취득일자), 학력사항(학교명,
재학기간, 전공, 계열, 수행프로젝
트), 자격사항(자격명, 발행처, 취득
일자), 교육수료사항(과정명, 교육
기관), 수상경력(수상내역, 수여기
관, 수상날짜), 봉사활동 및 주요활
동내용, 포트폴리오 및 기타 첨부
서류
1998. 6. 1.부터
계속
(유효)
1,951,423
(분리보관)
6,945,439
합계 8,896,862
- 3 -
한 이력서 등 개인정보를 열람하였다(이하 ‘이 사건 사고’라 한다).
라. 피고는 이 사건 사고에 대해 2020. 9. 30. 원고의 신고를 받은 후 2022. 3. 29.부
터 2022. 3. 30.까지 원고에 대하여 법 위반 여부를 조사한 다음, 원고가 아래 <표 2>
기재와 같이 법 및 구 법 시행령(2023. 9. 12. 대통령령 제33723호로 개정되기 전의
것, 이하 ’시행령‘이라 한다), 개인정보의 기술적·관리적 보호조치 기준(개인정보보호위
원회 고시 제2020-5호, 이하 ‘보호조치 기준’이라 한다)을 위반하였다(이하 ‘이 사건 위
반행위’라 한다)고 보아, 2023. 7. 12. 심의를 거쳐 2023. 8. 30. 원고에게 과징금
70,609,000원을 부과하는 처분(이하 ‘이 사건 처분’이라 한다)을 하였다.
<표 2>
[인정 근거] 다툼 없는 사실, 갑 제1 내지 3호증, 을 제1, 4호증의 각 기재, 변론 전
체의 취지
2. 관련 법령
별지 관련 법령 기재와 같다.
3. 이 사건 처분의 위법 여부
가. 원고 주장의 요지
이 사건 처분에는 아래와 같은 사유가 있어 위법하므로 취소되어야 한다.
위반행위 근거 법령 세부내용
안전조치의무위반
법 제29조, 시행령
제48조의2 제1항 제
2호
○ 개인정보처리시스템에 대한 접근제한 및 유출
탐지 등 정보통신망을 통한 불법적인 접근 및 침
해사고 방지 시스템 운영을 소홀히 한 행위(보호
조치 기준 제4조 제5항)
○ 열람 권한이 없는 자에게 공개되거나 유출되
지 않도록 필요한 조치를 소홀히 한 행위(보호조
치 기준 제4조 제9항)
- 4 -
1) 처분사유 부존재
원고는 침입탐지시스템 및 침입방지시스템을 설치·운영하고 있었고, 자체 모니터
링 시스템도 구축하여 운영하고 있었는바, 보호조치 기준 제4조 제5항의 의무를 준수
하였다. 또한, 원고는 보호조치 기준의 해설서로서 개인정보보호위원회와 한국인터넷진
흥원이 발간한 ‘개인정보의 기술적·관리적 보호조치 기준 해설서’(이하 ‘이 사건 해설
서’라 한다)에서 제시한 보호조치 기준 제4조 제9항의 의무 준수를 위한 구체적인 방
안을 모두 이행하였는바, 보호조치 기준 제4조 제9항의 의무도 준수하였다.
원고는 위와 같이 이 사건 사고 당시 사회통념상 합리적으로 기대 가능한 정도
의 보호조치를 모두 이행하였는바, 이 사건 사고는 원고의 안전조치의무 위반이 아니
라 여러 사이트에 동일한 아이디와 비밀번호를 사용한 이용자의 부주의로 인하여 발생
하였다.
2) 재량권 일탈·남용
가) 필수적 가중에 대한 주장
피고는 구 개인정보보호 법규 위반에 대한 과징금 부과기준(개인정보보보위원
회 고시 제2022-3호, 개인정보보호위원회 고시 ’개인정보 보호법 위반에 대한 과징금
부과기준‘ 2023-3호가 2023. 9. 15. 제정됨에 따라 폐지된 것, 이하 ’과징금 부과기준
‘이라 한다) 제6조에 따른 위반기간 산정 시 위반기간의 개시일을 ’원고가 설립된 날인
2018. *.경‘으로, 위반기간의 종료일을 ’이 사건 사고가 발생한 2023. 9. 30.‘로 보아 이
사건 위반행위가 ’장기 위반행위(2년 초과)‘에 해당한다고 판단하였다.
그러나 2018. *.경을 기준으로 HTTPS 복호화 기능을 갖춘 IDS 및 IPS를 설치·
운영하는 것이 사회통념상 합리적으로 기대가능한 보호조치에 해당한다고 볼 수 없고,
- 5 -
이 사건 해설서에서도 휴면계정 해제 시 비밀번호 인증 외에 추가인증을 할 것을 요구
하고 있지 않으므로, 원고는 2018. *.경 당시 사회통념상 합리적으로 기대 가능한 정도
의 보호조치를 모두 이행하였다. 따라서 피고가 위반기간의 개시일을 2018. *.경으로
보아 위반기간을 산정한 것은 타당하지 않다.
나) 임의적 감경 내지 면제에 대한 주장
원고의 이 사건 위반행위는 그 내용과 정도가 매우 경미하므로, 시행령 [별표
1의 5] 2의 라.2)항에 따라 시행령 과징금 전부를 면제할 수 있다. 또한, 해커가 로그
인에 성공한 계정의 대부분은 휴면회원으로 전환된 장기 미사용자의 계정으로, 위 계
정들에는 대부분 유의미한 정보가 포함되어 있지 않은 점, 이 사건 사고로 인하여 정
보주체에 발생한 피해는 없거나 극히 미미한 점 등을 고려하면 원고는 시행령 [별표1
의 5] 2의 라.1)항에 따라 과징금을 100분의 90 범위에서 감경할 수 있다.
그럼에도 피고는 이 사건 처분에 적용되어야 하는 시행령이 아니라 구 법 시
행령(2022. 7. 19. 대통령령 제32813호로 개정되기 전의 것)을 적용하였다. 이에 따라
피고는 시행령 [별표1의 5] 2의 라.항에서 정한 부과과징금의 임의적 감경 내지 면제사
유를 검토조차 하지 않았는바 재량권을 일탈ㆍ남용한 위법이 있다.
다) 비례원칙 내지 평등원칙을 위반하였다는 주장
피고가 유사사례에서는 크리덴셜 스터핑이 관련 업계에서 충분히 사이버 공격
으로 인식되지 못한 사정, 여러 사이트에서 동일한 아이디 및 비밀번호를 사용한 이용
자에게 부주의가 존재한다는 사정을 임의적 감경 사유로 고려하였음에도 이 사건에서
는 위와 같은 사정을 고려하지 않은 점, 유사사례에서는 정보통신제공자에게 휴면계정
해제 시 추가인증을 할 것을 요구하지 않았음에도 원고에 대하여만 휴면계정 해제 시
- 6 -
비밀번호 이외에 추가적인 인증을 적용하여야 한다고 판단한 점 등을 종합하여 보면,
이 사건 처분은 비례원칙 내지 평등원칙에 반한다.
나. 처분사유 존부에 관한 판단
1) 인정사실
가) 원고는 침입탐지시스템(IDS)으로 ’Ahnlab AIPS‘를, 침입방지시스템(IPS)으로
’PaloAlto NGFW PA-3020‘을 각 도입하여 운영하였으나, 암호화된 웹서비스 방식인
HTTPS를 사용하면서도 위 암호화된 통신을 복호화하는 IDS를 설치ㆍ운영하지 않았다.
나) 원고는 IDS, IPS의 모니터링을 외부 보안관제업체에 위탁하여 운영하고 있으
나, 운영 중인 보안장비에서는 2020. 9. 29. 17:38부터 2020. 9. 30. 9:51까지 발생한
해커의 크리덴셜 스터핑 공격을 탐지하지 못하였다.
다) 원고는 2020. 9. 30. 7:24경 휴면계정의 이용자로부터 자신이 모르는 사이에
계정의 휴면 상태가 해제되어 아이디 도용이 의심된다는 메일을 받았고, 같은 날 9시
경 특정 IP에서 다수의 로그인이 시도된 정황을 확인하였으며, 같은 날 9:45경 다수의
로그인을 시도한 IP를 확인하여 방화벽에서 차단 조치하였다.
라) 원고는 이 사건 사고 이후인 2020. 9. 30. 18:54경 동일 IP에서 1시간 이내
에 30회 이상 접속시 IP를 차단하는 정책을 적용하였고, 2020. 10. 5.부터 2020. 10.
23.까지 휴면회원에 대한 크리덴셜 스터핑 공격을 예방하기 위하여 로그인 페이지를
대상으로 캡챠 인증 방식2)를 적용하였으며, 2020. 10. 23. 이후 휴면상태를 해제하기
위해서 핸드폰 또는 이메일로 인증하는 방식으로 변경하는 조치를 취하였다.
[인정 근거] 다툼 없는 사실, 앞서 든 증거들, 갑 제4 내지 6호증의 각 기재, 변론 전
2) 기계는 인식할 수 없고 사람이 인식할 수 있는 텍스트를 입력하여 로그인 인증을 하는 방식을 말한다.
- 7 -
체의 취지
2) 판단
가) 관련 법리
(1) 법 제29조는 “개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는
훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바
에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.”라고 규
정하고 있다. 그 위임을 받은 시행령 제48조의2 제1항은 정보통신서비스 제공자 등이
이용자의 개인정보를 처리하는 경우 취해야 할 안전성 확보 조치에 관하여 규정하고
있는데, 구체적으로 제2호에서 ‘개인정보에 대한 불법적인 접근을 차단하기 위한 다음
각 목의 조치’를 규정하면서 나목에서 ‘개인정보처리시스템에 대한 침입차단시스템 및
침입탐지시스템의 설치·운영’을, 마목에서 ‘그 밖에 개인정보에 대한 접근 통제를 위하
여 필요한 조치’를 규정하고 있다.
한편 시행령 제48조의2 제3항의 위임을 받아 안전성 확보 조치에 관한 세
부 기준을 정하고 있는 보호조치 기준은 제4조 제1항에서 ‘정보통신서비스 제공자 등
은 개인정보처리시스템에 대한 접근 권한을 서비스 제공을 위하여 필요한 개인정보 보
호책임자 또는 개인정보취급자에게만 부여한다.’고 규정하고 있고, 같은 조 제5항에서
‘정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.’고 규정하면서 제1
호에서 ‘개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않
은 접근을 제한’을, 제2호에서 ‘개인정보처리시스템에 접속한 IP주소 등을 재분석하여
불법적인 개인정보 유출 시도를 탐지’를 규정하고 있다. 또한, 보호조치 기준은 제4조
- 8 -
제9항에서 ‘정보통신서비스 제공자 등은 처리중인 개인정보가 인터넷 홈페이지, P2P,
공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개
인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한
다.’고 규정하고 있다.
(2) 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를
취하여야 할 법률상 의무를 위반하였는지 여부를 판단할 때는 해킹 등 침해사고 당시
보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종․영업
규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에
필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에
따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과
개인정보의 누출로 인하여 이용자가 입게 되는 피해 정도 등의 사정을 종합적으로 고
려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대
가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다(대법원 2018.
1. 25. 선고 2015다24904, 24911, 24928, 24935 판결 등 참조).
나) 구체적 판단
위에서 본 사실과 증거에 변론 전체의 취지를 더하여 알 수 있는 아래와 같은
사정들을 종합하여 보면, 원고는 법 제29조, 시행령 제48조의2 제1항 제2호, 보호조치
기준 제4조 제5항, 제9항이 정한 개인정보에 대한 불법적인 접근을 차단하기 위한 침
입차단시스템 및 침입탐지시스템의 운영 및 기타 접근 통제 조치를 이행하지 않았음이
인정되므로, 원고의 이 부분 주장은 받아들이지 아니한다.
(1) 원고는 HTTPS 방식의 웹에서 서비스를 제공하면서도, 복호화 기능이 없거
- 9 -
나 복호화 설정이 되어 있지 않은 IDS를 설치 운영하였다. 복호화설정이 되어 있지 않
은 IDS는 이 사건 사이트에 대한 암호화된 통신을 통한 공격을 탐지하기 어렵다.
(2) 이 사건 사고 당시 2,179,561회에 달하는 로그인 시도에 이용된 IP 주소는
중국 IP 3개, 국내 IP 4개로 총 7개에 불과하고, 해커는 위 7개의 IP 주소별로 적게는
4,776회, 많게는 1,222,845회 로그인을 시도하였으며, 이를 분당 크리덴셜 스터핑 공격
건수로 계산하면 1회에서 많게는 5,062회까지, 분당 평균 2,555회 로그인 시도가 이루
어졌다. 그럼에도 원고가 이 사건 사고 당시 운영한 침입탐지시스템(IDS)는 위와 같은
비정상적인 로그인 시도를 탐지하지 못하였다. 원고는 해커의 공격이 시작된 2020. 9.
29. 17:38경으로부터 상당한 시간이 지난 후인 2020. 9. 30. 7:24경 휴면계정의 이용자
로부터 자신이 모르는 사이에 계정의 휴면 상태가 해제되어 아이디 도용이 의심된다는
내용의 이메일을 받았고, 같은 날 9시경에 이르러서야 특정 IP에서 다수의 로그인이
시도된 정황을 확인하였다.
이에 대하여 원고는 2020. 9. 30. 7시경 이 사건 사고에 관한 이상징후를 최초
로 탐지하고, 로그기록을 통해 그 원인을 분석하던 중 같은 날 7:24경 휴면 상태가 해
제되었다는 이용자의 이메일을 받았다는 취지로 주장한다. 그러나 원고는 같은 날
9:45경에야 다수의 로그인을 시도한 IP를 확인하여 방화벽에서 차단 조치를 하였는데,
이와 같이 관련 조치가 이루어진 시점 등에 비추어 보면, 원고 주장과 같이 이용자의
이메일을 받기 이전에 원고가 이 사건 사고를 인지하였다거나 이용자의 개인정보 보호
를 위하여 IP 차단 등의 조치를 취하였다고 인정할 구체적인 자료가 없으므로, 원고의
위 주장은 받아들이기 어렵다.
(3) 원고가 이 사건 사고 당시 운영한 침입방지시스템(IPS)은 무차별 대입공격
- 10 -
에 대한 탐지 기준이 만족되어야 이를 차단할 수 있는데, 위 시스템은 이 사건 사고
당시 해커의 공격을 탐지 또는 차단하지 못하였다. 이 사건 사고 당시 원고의 침입방
지시스템이 운영하고 있던 크리덴셜 스터핑 방식과 유사한 무차별 대입 방식 공격을
탐지할 수 있는 정책 146개 중 43개는 이 사건 사이트에 대한 공격을 탐지하여도 접
속을 허용하고, 그에 대한 로그를 남기지 않는 ‘Allow’로 설정되어 있었다. 즉, 원고의
침입방지시스템은 이 사건 사고 당시 크리덴셜 스터핑 방식을 포함한 무차별 대입 방
식의 공격을 사실상 허용하는 형태로 운영되었다.
(4) 원고는 이 사건 사고를 인지한 당일인 2020. 9. 30. 18:54경 동일 IP에서
1시간 이내에 30회 이상 로그인 시도시 IP를 차단하는 정책을 적용하였고, 그로부터 5
일 후인 2020. 10. 5.부터 2020. 10. 23.까지 휴면회원에 대한 크리덴셜 스터핑 공격을
예방하기 위하여 로그인 페이지를 대상으로 캡챠 인증 방식를 적용하였으며, 2020. 10.
23. 이후 휴면상태를 해제하기 위해서 핸드폰 또는 이메일로 인증하는 방식으로 변경
하는 조치를 취하였다. 이 사건 사고 이후 위와 같은 조치가 이루어진 시점, 위와 같은
조치의 내용 등에 비추어 볼 때, 이러한 조치는 당시 기술수준으로 구현이 가능하고
보편적으로 알려져 있는 정보보안 기술수준에 속하며, 원고는 이 사건 사고 이전에도
추가적인 비용을 거의 들이지 않고 충분히 위와 같은 조치를 취할 수 있었을 것으로
보인다.
(5) 이 사건 사고는 위와 같이 원고가 운영한 침입탐지시스템 및 침입방지시
스템이 비정상적인 접속시도에 대하여 충분히 탐지 및 차단 기능을 하지 못하여 발생
한 것으로 보이는 점, 원고는 이용자의 이메일을 받고 난 이후에야 이 사건 사고를 인
지하였던 것으로 보이는 점, 원고가 이 사건 사고가 발생한 이후 얼마 지나지 않아 동
- 11 -
일 IP에서 로그인 시도 횟수를 제한하는 정책 및 휴면계정을 해제하기 위하여 비밀번
호 입력 외에 추가적인 인증을 요구하는 정책을 적용하였고, 이러한 조치는 이 사건
사고 이전에도 충분히 가능하였던 점 등을 고려하면, 원고가 이 사건 사고 당시 이 사
건 사이트에서 수집·보관하는 개인정보에 대해 사회통념상 합리적으로 기대 가능한 정
도의 보호조치를 다하였다고 할 수 없다.
(6) 원고는, 원고가 이 사건 해설서에서 제시한 보호조치 기준 제4조 제9항의
의무 준수를 위한 구체적인 방안을 모두 이행하였으므로, 원고가 휴면계정 해제 시 비
밀번호 인증 외에 추가인증을 하지 않았다고 해서 보호조치 기준 제4조 제9항의 의무
를 위반하였다고 볼 수 없다는 취지로 주장한다.
그러나 보호조치 기준 제4조 제9항의 의무에 관하여 이 사건 해설서는 ‘정보
통신서비스 제공자 등은 규모, 여건 등을 고려하여 스스로의 환경에 맞는 보호조치를
하되, 보안대책 마련, 보안 기술 마련, 운영 및 관리 측면에서 개인정보 유․노출 방지
조치를 하여야 한다.’며, 구체적인 보안대책의 예시로서 ‘인증, 접근통제 등의 보호조치
적용’을 들고 있는바, 원고가 이 사건 해설서에서 제시한 모든 보호조치를 취하였다고
보기는 어려운 점, 원고는 이 사건 사고가 발생한 때로부터 5일이 지난 때에 휴면계정
해제 시 비밀번호 인증 외에 추가인증을 요구하는 정책을 적용하였는바, 이러한 보호
조치는 이 사건 사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준으로 보이는
점, 위와 같은 보호조치는 비용이 발생하지 않거나 적게 드는 점 등에 비추어 볼 때
원고의 위 주장은 받아들이지 않는다.
다. 재량권 일탈·남용에 관한 판단
1) 인정사실
- 12 -
피고는 법 제39조의15 제1항 제5호, 시행령 제48조의11 제1항, 제4항 및 [별표1
의5], 과징금 부과기준에 따라 원고에 대한 과징금 액수를 산정하였는데, 이 사건 처분
의 구체적인 산정 근거는 다음과 같다.
가) 기준금액의 산정
(1) 관련 매출액의 산정
법 제39조의15 제1항, 시행령 제48조의 11 제1항, 과징금 부과기준 제1항
은 법 제29조 위반에 따른 과징금의 관련 매출액을 위반행위로 인하여 직접 또는 간접
적으로 영향을 받는 서비스의 직전 3개 사업연도의 연평균 매출액으로 한다고 정하면
서, 다만 해당 사업연도 첫날 현재 사업을 개시한지 3년이 되지 않은 경우에는 그 사
업개시일부터 직전 사업연도 말일까지의 매출액을 연평균 매출액으로 환산한 금액으로
한다고 정하고 있다. 이에 피고는 원고가 해당 사업연도 첫날 현재 사업을 개시한지 3
년이 되지 않은 경우에 해당하므로, 사업개시일부터 직전 사업연도 말일까지의 매출액
을 연평균 매출액으로 환산한 금액인 5,884,046,000원을 관련 매출액으로 산정하였다.
(2) 중대성의 판단
과징금 부과기준 제5조 제1항은 ‘시행령 [별표 1의5] 2. 가. 1)에 따른 위
반행위의 중대성 판단기준 중 고의·중과실 여부는 영리 목적의 유무, 위 시행령 제48
조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단한다.’고 규정하고 있는
데, 피고는 원고가 법 제29조의 안전조치의무를 소홀히 함으로써 이용자 개인정보 유
출에 대한 중과실이 있다고 보았다.
한편 과징금 부과기준 제5조 제3항 본문에 따르면, 위반 정보통신서비스
제공자 등에게 고의·중과실이 있으면 위반행위의 중대성을 ‘매우 중대한 위반행위’로
- 13 -
판단하게 된다. 다만 같은 항 단서에 따르면, ‘위반 정보통신서비스 제공자 등이 위반
행위로 인해 직접적으로 이득을 취득하지 않은 경우’(제1호), ‘위반행위로 인한 개인정
보의 피해규모가 위반 정보통신서비스 제공자 등이 보유하고 있는 개인정보의 100분의
5 이내인 경우’(제2호), ‘이용자의 개인정보가 공중에 노출되지 않은 경우’(제3호) 중 모
두에 해당할 때에는 ‘일반 위반행위’로, 1개 이상 2개 이하에 해당하는 경우에는 ‘중대
한 위반행위’로 감경하는데, 피고는 원고가 개인정보 유출로 직접적인 이득을 취하지
않은 점, 위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자 등이
보유하고 있는 개인정보의 100분의 5 이내인 점, 이용자의 개인정보가 공중에 노출되
지 않은 점을 고려하여 원고의 위반행위를 ‘일반 위반행위’로 판단하였다.
(3) 소결론
피고는 원고의 관련 매출액 5,884,046,000원에 시행령 [별표 1의5] 2. 가.
1)의 ‘일반 위반행위’의 부과기준율 1천분의 15를 적용하여 기준금액을 88,261,000원(=
5,884,046,000원 × 15/1,000, 천 원 미만 버림, 이하 같다)으로 하였다.
나) 필수적 가중 및 감경
피고는 과징금 부과기준 제6조, 제7조에 따라 원고의 위반행위 기간이 2년
을 초과하는 ‘장기 위반행위’에 해당한다는 이유로 기준금액의 100분의 50에 해당하는
금액을 가산하고, 원고가 최근 3년 이내에 이 사건 조항 각 호에 해당하는 행위로 과
징금 부과처분을 받은 사실이 없다는 이유로 기준금액의 100분의 50에 해당하는 금액
을 감경하여, 기준금액을 유지하였다.
다) 추가적 가중 및 감경
피고는 과징금 부과기준 제8조에 따라 원고가 조사에 적극 협력한 점, 개인
- 14 -
정보 유출사실을 자진 신고한 점 등을 종합적으로 고려하여 필수적 가중·감경을 거친
금액의 100분의 20에 해당하는 금액인 17,652,000원(= 88,261,000원 × 0.2)을 감경하
였다.
라) 과징금의 결정
피고는 위와 같이 단계별로 산출한 금액인 70,609,000원(= 88,261,000원 -
17,652,000원)을 원고에 대한 최종 과징금으로 결정하였다.
[인정 근거] 다툼 없는 사실, 앞서 든 증거들, 변론 전체의 취지
2) 판단
가) 필수적 가중의 위법 여부
(1) 과징금 부과기준 제6조 제1항은 ‘위반기간을 고려하여 다음 각 호와 같이
과징금을 조정한다.’고 규정하고 있는데, 제1호에서 ‘위반기간이 1년 이내인 단기 위반
행위의 경우에는 기준금액 유지’, 제2호에서 ‘위반기간이 1년 초과 2년 이내인 중기 위
반행위의 경우에는 기준금액의 100분의 25에 해당하는 금액 가산’, 제3호에서 ‘위반기
간이 2년을 초과하는 장기 위반행위의 경우에는 기준금액의 100분의 50에 해당하는
금액 가산’으로 각 규정하고 있다. 한편 과징금 부과기준 제7조 제1항은 ‘제6조 제1항
에 따른 위반기간은 위반행위의 개시일부터 종료일까지의 기간을 말한다. 다만, 위반행
위가 과징금 부과처분을 명하는 개인정보보호위원회의 심의종결일까지 종료되지 아니
한 경우에는 해당 사건에 대한 심의종결일을 위반행위의 종료일로 본다.’고 규정하고
있고, 같은 조 제2항은 ‘제1항에 따른 위반기간을 산정하면서 위반행위의 개시일 또는
종료일이 불분명한 경우에는 위반 정보통신서비스 제공자 등의 영업·재무관련 자료, 임
직원·이용자 등의 진술, 동종 유사 정보통신서비스 제공자 등의 영업 및 거래실태·관행
- 15 -
등을 고려하여 이를 산정할 수 있다.’고 규정하고 있다.
(2) 위에서 본 사실과 증거에 변론 전체의 취지를 더하여 알 수 있는 아래
와 같은 사정들을 위 규정에 비추어 보면, 원고의 위반행위는 원고가 설립된 2018. *.
경부터 개시된 것이므로, 이 사건 위반행위는 위반기간 2년을 초과하는 장기 위반행위
에 해당한다고 봄이 타당하다. 따라서 원고의 이 부분 주장은 이유 없다.
① 원고는 2018. *. *. B 주식회사를 분할하여 설립되었으나, 분할 전 회
사인 B 주식회사는 1998. 6. 1.부터 이 사건 사이트를 통하여 이용자 개인정보를 수집
하여 왔고, 원고는 2020. 9. 30.을 기준으로 이용자 8,896,862명의 개인정보를 수집하
여 보관하고 있었다.
② 원고는 설립된 2018. *. *.부터 이 사건 사이트를 운영하면서 동일 IP
에서 단시간 내에 다수의 로그인을 시도할 경우 IP를 차단하는 정책 및 휴면상태를 해
제하기 위하여 비밀번호 입력 이외에 추가 인증을 요구하는 정책 등 개인정보에 대한
불법적인 접근을 차단하기 위한 침입차단시스템 및 침입탐지시스템의 운영 및 기타 접
근 통제 조치를 이행하지 않았다. 위와 같은 보안조치를 취하기 위하여 필요한 정보기
술 수준, 보안조치에 필요한 경제적 비용 및 효용의 정도 등을 종합적으로 고려하여
보면, 위와 같은 보안조치는 2018. *. 당시 사회통념상 합리적으로 기대가능한 정도의
보호조치에 해당한다고 보인다.
나) 임의적 감경 내지 면제를 하지 않아 위법한지 여부
(1) 시행령 부칙 제2조는 ‘별표 1, 별표 1의3 및 별표 1의5의 개정규정은 이
영 시행 전의 위반행위에 대해서도 적용한다’고 정하고 있고, 이러한 부칙 규정에 의하
면 2018. *.경부터 2020. *.경까지 이루어진 이 사건 위반행위에 대하여 시행령 [별표1
- 16 -
의5]의 개정규정이 적용된다.
(2) 원고는 이에 대하여 피고가 시행령으로 개정되기 전의 구 법 시행령(2022.
7. 19. 대통령령 제32813호로 개정되기 전의 것)을 적용하여, 시행령 [별표1의5] 2의
라.항에서 정하고 있는 임의적 감경 내지 면제 사유에 대하여는 검토하지 않은 위법이
있다는 취지로 주장한다.
그러나 피고가 원고에게 송부한 이 사건 처분에 대한 사전통지서에는 부과과
징금의 결정 과정에서 90% 범위 내에서의 임의적 감경 또는 임의적 면제가 있을 수
있다는 내용이 포함되어 있는 점, 피고는 원고에 대하여 시행령 [별표1의5] 2의 라.항
에서 정하고 있는 임의적 감면 사유가 존재하지 않아 이 사건 처분 의결서에 임의적
감면에 대하여 기재하지 않았다는 취지로 주장하고 있는 점, 시행령 [별표1의5] 2의
라.항은 필요적 감면규정이 아니라 임의적 감면규정에 불과한 점 등을 종합하여 보면,
원고 주장과 같이 피고가 적용법령을 오인하여 임의적 감면사유에 대하여 검토하지 않
은 위법이 있다고 보기 어려운바, 원고의 이 부분 주장은 이유 없다.
다) 비례원칙 내지 평등원칙을 위반하였는지 여부
위에서 본 사실과 증거에 변론 전체의 취지를 더하여 알 수 있는 다음과 같은
사정들을 종합하여 보면, 원고에게 부과된 과징금이 지나치게 가혹하여 비례의 원칙이
나 평등의 원칙에 반하여 재량권을 일탈·남용하였다고 보기 어렵다. 따라서 원고의 이
부분 주장 역시 이유 없다.
① 원고의 2020년 기준 전체 매출액은 약 200억 원, 당기순이익은 약 23억
원인 사실이 인정되는바, 원고가 약 7,000만 원의 과징금을 부담할 능력이 현저히 부
족하다고 보이지 않는다.
- 17 -
② 이 사건 사고로 인해 원고가 이 사건 사이트를 통하여 보유·관리하던
35,076명의 개인정보가 유출되었다. 이 사건 사고로 인하여 유출된 개인정보는 이 사
건 사이트 이용자들의 이력서 내용으로, 구체적으로 사진, 이름, 생년월일, 성별, 연락
처, 이메일, 주소, 학력사항 등 중요한 개인정보를 포함하고 있다.
③ 피고는 원고가 조사에 적극 협력한 점, 개인정보 유출사실을 자진 신고
한 점 등을 이미 고려하여 필수적 가중·감경을 거친 금액의 20%에 해당하는 금액을
감경하였다.
④ 한편 원고는 개인정보 유출에 따라 과징금을 부과한 유사사례와 비교할
때, 피고가 원고에 대하여만 휴면계정 해제 시 비밀번호 이외에 추가적인 인증을 적용
하여야 한다고 판단하고, 여러 사이트에서 동일한 아이디 및 비밀번호를 사용한 이용
자에게 부주의가 존재한다는 사정 등을 임의적 감경사유로 고려하지 않은 것은 평등원
칙에 반한다는 취지로도 주장한다. 그러나 원고가 비교대상으로 삼은 유사사례는 위반
행위의 태양과 성격, 내용과 정도가 이 사건과 상이하므로, 위 유사사례와 이 사건을
동일선상에서 비교하는 것이 합리적이라고 보기 어렵다. 원고의 이 부분 주장도 받아
들이지 않는다.
4. 결론
그렇다면, 원고의 청구는 이유 없으므로 이를 기각하기로 하여 주문과 같이 판결한
다.
- 18 -
별지
관련 법령
▣ 구 개인정보보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것)
제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다.
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사
람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부
관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술
적ㆍ관리적 및 물리적 조치를 하여야 한다.
제39조의15(과징금의 부과 등에 대한 특례)
① 보호위원회는 정보통신서비스 제공자등에게 다음 각 호의 어느 하나에 해당하는 행위가 있
는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이
하에 해당하는 금액을 과징금으로 부과할 수 있다.
5. 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 제29조의 조
치(내부 관리계획 수립에 관한 사항은 제외한다)를 하지 아니한 경우(제39조의14에 따라
준용되는 경우를 포함한다)
② 제1항에 따른 과징금을 부과하는 경우 정보통신서비스 제공자등이 매출액 산정자료의 제출
을 거부하거나 거짓의 자료를 제출한 경우에는 해당 정보통신서비스 제공자등과 비슷한 규
모의 정보통신서비스 제공자등의 재무제표 등 회계자료와 가입자 수 및 이용요금 등 영업
현황 자료에 근거하여 매출액을 추정할 수 있다. 다만, 매출액이 없거나 매출액의 산정이
곤란한 경우로서 대통령령으로 정하는 경우에는 4억원 이하의 과징금을 부과할 수 있다.
③ 보호위원회는 제1항에 따른 과징금을 부과하려면 다음 각 호의 사항을 고려하여야 한다.
1. 위반행위의 내용 및 정도
2. 위반행위의 기간 및 횟수
3. 위반행위로 인하여 취득한 이익의 규모
- 19 -
④ 제1항에 따른 과징금은 제3항을 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통
령령으로 정한다.
⑤ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 이를 내지 아니하면 납부
기한의 다음 날부터 내지 아니한 과징금의 연 100분의 6에 해당하는 가산금을 징수한다.
⑥ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 이를 내지 아니한 경우에
는 기간을 정하여 독촉을 하고, 그 지정된 기간에 과징금과 제5항에 따른 가산금을 내지 아
니하면 국세 체납처분의 예에 따라 징수한다.
⑦ 법원의 판결 등의 사유로 제1항에 따라 부과된 과징금을 환급하는 경우에는 과징금을 낸
날부터 환급하는 날까지의 기간에 대하여 금융회사 등의 예금이자율 등을 고려하여 대통령
령으로 정하는 이자율에 따라 계산한 환급가산금을 지급하여야 한다.
⑧ 제7항에도 불구하고 법원의 판결에 의하여 과징금 부과처분이 취소되어 그 판결이유에 따
라 새로운 과징금을 부과하는 경우에는 당초 납부한 과징금에서 새로 부과하기로 결정한
과징금을 공제한 나머지 금액에 대해서만 환급가산금을 계산하여 지급한다.
▣ 구 개인정보보호법 시행령(2023. 9. 12. 대통령령 제33723호로 개정되기 전의 것)
제48조의2(개인정보의 안전성 확보 조치에 관한 특례)
① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조 제1항
제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조 제1항 제4호
에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은
자(이하 "정보통신서비스 제공자등"이라 한다)는 이용자의 개인정보를 처리하는 경우에는
제30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.
1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립·시
행
가. 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성·운영에 관한 사항
나. 정보통신서비스 제공자등의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자(이하
이 조에서 "개인정보취급자"라 한다)의 교육에 관한 사항
다. 제2호부터 제6호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치
가. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에
- 20 -
서 "개인정보처리시스템"이라 한다)에 대한 접근 권한의 부여·변경·말소 등에 관한
기준의 수립·시행
나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영
다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망
차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가
일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등
에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문
전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신
서비스 제공자등만 해당한다]
라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영
마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치
② 보호위원회는 정보통신서비스 제공자등이 제1항에 따른 안전성 확보 조치를 하도록 시스템
을 구축하는 등 필요한 지원을 할 수 있다.
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.
제48조의11(과징금의 산정기준 등에 관한 특례)
① 법 제39조의15 제1항에 따른 매출액은 해당 정보통신서비스 제공자등의 위반행위와 관련된
정보통신서비스의 직전 3개 사업연도의 연평균 매출액으로 한다. 다만, 해당 사업연도 첫날
현재 사업을 개시한지 3년이 되지 않은 경우에는 그 사업개시일부터 직전 사업연도 말일까
지의 매출액을 연평균 매출액으로 환산한 금액으로 하며, 해당 사업연도에 사업을 개시한
경우에는 사업개시일부터 위반행위일까지의 매출액을 연매출액으로 환산한 금액으로 한다.
③ 보호위원회는 제1항에 따른 매출액 산정을 위하여 재무제표 등 자료가 필요한 경우 20일
이내의 기간을 정하여 해당 정보통신서비스 제공자등에게 관련 자료의 제출을 요청할 수
있다.
④ 법 제39조의15제4항에 따른 과징금의 산정기준과 산정절차는 별표 1의5와 같다.
부칙 <제32813호, 2022.7.19>
제2조(과징금의 산정기준에 관한 적용례) 별표 1, 별표 1의3 및 별표 1의5의 개정규정은 이 영
시행 전의 위반행위에 대해서도 적용한다.
- 21 -
[별표1의5]
과징금의 산정기준과 산정절차(제48조의11 제4항 관련)
1. 과징금의 산정단계
과징금은 법 제39조의15 제3항 각 호에 따른 고려 사항과 이에 영향을 미치는 행위를
종합적으로 고려하여 제2호 가목에 따라 산정된 기준금액에 같은 호 나목에 따른 필
수적 가중ㆍ감경, 같은 호 다목에 따른 추가적 가중ㆍ감경, 같은 호 라목에 따른 부과
과징금 결정을 순차적으로 거쳐 산정한다. 다만, 가중하는 경우에도 법 제39조의15 제
1항 및 제2항에 따른 과징금 금액의 상한을 넘을 수 없다.
2. 과징금의 산정단계에 따른 산정방식과 고려 사유
가. 기준금액의 산정
1) 기준금액은 제48조의11 제1항에 따른 위반행위와 관련한 매출액에 위반행위의
중대성에 따라 다음과 같이 구분된 과징금의 산정비율(부과기준율)을 곱하여 산
출한 금액으로 한다.
위반행위의 중대성 부과기준율
매우 중대한 위반행위 1천분의 27
중대한 위반행위 1천분의 21
일반 위반행위 1천분의 15
2) 제48조의11 제2항 각 호의 어느 하나에 해당하는 경우에는 1)에도 불구하고, 위
반행위의 중대성에 따라 기준금액을 다음과 같이 한다.
위반행위의 중대성 기준금액
매우 중대한 위반행위 3억 6천만원
중대한 위반행위 2억 8천만원
일반 위반행위 2억원
3) 위반행위의 중대성은 고의ㆍ중과실 여부, 영리 목적의 유무, 위반행위로 인한 개인
정보의 피해규모, 개인정보의 공중에 노출 여부 및 위반행위로 인하여 취득한 이
익의 규모 등을 종합적으로 고려하여 판단한다.
나. 필수적 가중ㆍ감경
- 22 -
▣ 정보통신망 이용촉진 및 정보보호 등에 관한 법률
제2조(정의)
위반행위의 기간과 횟수 등을 고려하여 기준금액의 100분의 50의 범위에서 가중하
거나 감경해야 한다.
다. 추가적 가중ㆍ감경
개인정보 보호를 위한 노력 정도, 위반행위에 대한 조사의 협조 여부, 위반행위의
주도 여부 등을 종합적으로 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50
의 범위에서 가중하거나 감경할 수 있다.
라. 부과과징금의 결정
1) 다음의 사항을 고려하여 다목에 따라 산정된 과징금이 과중하다고 인정되는 경우
에는 해당 금액의 100분의 90 범위에서 감경할 수 있다.
가) 위반행위자의 현실적인 부담능력
나) 위반행위로 발생한 정보주체의 피해 및 배상의 정도
다) 경제위기 등으로 위반행위자가 속한 시장ㆍ산업 여건이 현저하게 변동되거나
지속적으로 악화된 상태인지 여부
2) 다음의 어느 하나에 해당하는 경우에는 다목에 따라 산정된 과징금을 면제할 수
있다.
가) 위반행위자의 지급불능ㆍ지급정지 또는 자본잠식 등의 사유로 위반행위자가 객
관적으로 과징금을 낼 능력이 없다고 인정되는 경우
나) 위반행위의 내용ㆍ정도가 경미한 경우
다) 다목에 따라 산정된 과징금이 소액인 경우
라) 위반행위자 본인의 행위가 위법하지 않은 것으로 잘못 인식할 만한 정당한 사
유가 있는 경우
3. 세부 기준
위반행위와 관련한 매출액의 산정에 관한 세부 기준, 위반행위의 중대성 판단 기준,
필수적 가중ㆍ감경 및 추가적 가중ㆍ감경을 위한 세부 기준, 부과과징금의 결정을 위
한 세부 기준과 그 밖에 과징금의 부과에 필요한 사항은 보호위원회가 정하여 고시한
다.
- 23 -
① 이 법에서 사용하는 용어의 뜻은 다음과 같다.
3. “정보통신서비스 제공자”란 「전기통신사업법」 제2조 제8호에 따른 전기통신사업자와 영
리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제
공을 매개하는 자를 말한다.
4. “이용자”란 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.
▣ 개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회 고시 제2020-5호)
제4조(접근통제)
① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여
필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.
⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다
음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을
제한
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를
탐지
⑨ 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통
하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및
개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.
▣ 구 개인정보보호 법규 위반에 대한 과징금 부과기준(개인정보보보위원회 고시 제2022-3호,
개인정보보호위원회 고시 ’개인정보 보호법 위반에 대한 과징금 부과기준‘ 2023-3호가
2023. 9. 15. 제정됨에 따라 폐지된 것)
제1조(목적) 이 고시는 「개인정보 보호법」(이하 "법"이라 한다) 제39조의15 제4항, 같은 법 시
행령(이하 "영"이라 한다) 제48조의11 제4항 및 [별표 1의5]에 따른 과징금 부과에 필요한 세
부기준을 정함을 목적으로 한다.
제2조(과징금 산정 절차 및 기준)
과징금은 법 제39조의15 제3항 각 호에서 정한 참작사유와 이에 영향을 미치는 행위를 고려하
여 산정하되, 기준금액에 필수적 가중ㆍ감경, 추가적 가중ㆍ감경, 부과과징금의 결정을 거쳐 과
- 24 -
징금을 산정한다.
제3조(기준금액)
① 기준금액은 관련 매출액에 영 [별표 1의5] 2.가. 1)에 따른 부과기준율을 곱한 금액으로 정
한다.
② 영 제48조의11 제2항 각 호의 어느 하나에 해당하여 제1항을 적용할 수 없는 경우에는 아
래 표에 따라 기준금액을 정한다.
제4조(관련 매출액의 산정)
① 관련 매출액은 위반 정보통신서비스 제공자등의 위반행위로 인하여 직접 또는 간접적으로
영향을 받는 서비스의 직전 3개 사업년도의 연평균 매출액으로 한다.
② 제1항에 따른 관련 매출액 산정시 서비스의 범위는 「전기통신사업법」 제5조를 기준으로 판
단하되, 구체적인 판단에 있어서는 다음 각 호의 사항을 고려하여야 한다.
1. 서비스 제공 방식
2. 서비스 가입 방법(서비스 가입시 온라인 가입인지 오프라인 가입인지 여부 및 하나의 사
업자가 수 개의 웹사이트를 운영하는 경우 독립되어 각각 별개의 가입을 요구하는지 여
부 등을 의미한다)
3. 이용약관에서 규정한 서비스 범위
4. 개인정보 데이터베이스 관리 조직ㆍ인력 및 시스템 운영 방식
③ 서비스에 대한 매출액은 회계자료를 참고하여 정하되, 이를 통해 위반행위와 관련한 서비스
의 매출액을 산정하기 곤란한 경우에는 해당 정보통신서비스 제공자등의 과거 실적, 동종
유사 역무제공사업자의 과거 실적, 사업계획, 그 밖에 시장상황 등을 종합적으로 고려하여
매출액을 산정할 수 있다.
제5조(중대성의 판단)
① 영 [별표 1의5] 2. 가. 1)에 따른 위반행위의 중대성의 판단기준 중 고의ㆍ중과실 여부는 영
리 목적의 유무, 영 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단한다.
- 25 -
② 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 없으면 위반행위의 중대성을 보통 위반
행위로 판단한다.
③ 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 있으면 위반행위의 중대성을 매우 중대
한 위반행위로 판단한다. 다만, 위반행위의 결과가 다음 각 호의 사항 중 모두 해당하는 경
우에는 보통 위반행위로, 1개 이상 2개 이하에 해당하는 경우에는 중대한 위반행위로 감경
한다.
1. 위반 정보통신서비스 제공자등이 위반행위로 인해 직접적으로 이득을 취득하지 않은 경
우
2. 위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는
개인정보의 100분의 5 이내인 경우
3. 이용자의 개인정보가 공중에 노출되지 않은 경우
제6조(필수적 가중ㆍ감경)
① 위반기간을 고려하여 다음 각 호와 같이 과징금을 조정한다.
1. 단기 위반행위: 위반기간이 1년 이내인 경우는 기준금액을 유지한다.
2. 중기 위반행위: 위반기간이 1년 초과 2년 이내인 경우에는 기준금액의 100분의 25에 해
당하는 금액을 가산한다.
3. 장기 위반행위: 위반기간이 2년을 초과하는 경우에는 기준금액의 100분의 50에 해당하는
금액을 가산한다.
② 위반횟수를 고려하여 다음 각 호와 같이 과징금을 조정한다.
1. 최초 위반행위: 위반 정보통신서비스 제공자등이 최근 3년간 법 제39조의15제1항 각 호
에 해당하는 행위로 과징금 처분을 받은 적이 없는 경우에는 제1항에 따른 조정을 거친
금액에서 기준금액의 100분의 50에 해당하는 금액을 감경한다.
2. 2회 이상의 위반행위: 위반 정보통신서비스 제공자등이 최근 3년간 법 제39조의15제1항
각 호에 해당하는 행위로 1회 이상의 과징금 처분을 받은 경우에는 제1항에 따른 조정
을 거친 금액을 유지한다.
③ 제2항에서 과거 위반횟수를 산정할 때에는 시정조치 명령이나 과징금 부과의 무효 또는 취
소판결이 확정된 건을 제외한다.
제7조(위반기간의 산정)
① 제6조 제1항에 따른 위반기간은 위반행위의 개시일부터 종료일까지의 기간을 말한다. 다만,
- 26 -
위반행위가 과징금 부과처분을 명하는 개인정보 보호위원회(이하 "보호위원회"라 한다)의
심의종결일까지 종료되지 아니한 경우에는 해당 사건에 대한 보호위원회의 심의종결일을
위반행위의 종료일로 본다.
② 제1항에 따른 위반기간을 산정하면서 위반행위의 개시일 또는 종료일이 불분명한 경우에는
위반 정보통신서비스 제공자등의 영업ㆍ재무관련 자료, 임직원ㆍ이용자 등의 진술, 동종 유
사 정보통신서비스 제공자등의 영업 및 거래실태ㆍ관행 등을 고려하여 이를 산정할 수 있
다.
제8조(추가적 가중ㆍ감경)
① 보호위원회는 사업자의 위반행위 주도 여부, 조사 협력 여부 등을 고려하여 필수적 가중ㆍ
감경을 거친 금액의 100분의 50의 범위 내에서 [별표]에 따라 추가적으로 가중하거나 감경
할 수 있다.
② [별표]에서 정한 사유가 2개 이상 해당되는 경우에는 합산하여 가중하거나 감경하되 각 가
중ㆍ감경의 범위는 필수적 가중ㆍ감경을 거친 금액의 100분의 50을 초과할 수 없다.
제9조(부과과징금의 결정)
① 위반행위자의 현실적인 부담능력, 위반행위로 발생한 정보주체의 피해 및 배상의 정도, 위
반행위자가 속한 시장ㆍ산업 여건 등을 고려하여 제8조에 따라 산정된 과징금이 과중하다
고 인정되는 경우에는 다음 각 호와 같이 해당 금액의 100분의 90 범위에서 감경할 수 있
다.
1. 위반행위자의 자산, 자기자본 등 재무상황에 비추어 위반행위자가 과징금을 부담할 능력
이 현저히 부족하다고 객관적으로 인정되는 경우
2. 개인정보 분쟁조정, 민사조정 등을 통해 정보주체에게 발생한 피해에 대한 원상회복, 손
해배상 또는 이에 상당하는 필요한 피해구제 조치를 한 경우
3. 경제위기 등으로 위반행위자가 속한 시장ㆍ산업 여건이 현저하게 변동되거나 지속적으로
악화된 상태인 경우
② 다음 각 호의 어느 하나에 해당하는 경우에는 제8조에 따라 산정된 과징금을 면제할 수 있
다.
1. 위반행위자의 지급불능ㆍ지급정지 또는 자본잠식 등의 사유로 위반행위자가 객관적으로
과징금을 낼 능력이 없다고 인정되는 경우
2. 정보주체에게 피해가 발생하지 않았거나 경미한 경우로서 다음 각 목의 어느 하나에 해
- 27 -
당하는 경우
가. 제8조에 따라 산정된 과징금이 300만원 이하인 경우
나. 사소한 부주의나 오류로 인한 위반행위인 경우
다. 개인정보가 유출된 경우로서 유출된 정보주체의 수가 100명 미만인 경우
3. 위반행위자 본인의 행위가 위법하지 않은 것으로 잘못 인식할 만한 정당한 사유가 있는
경우
③ 제1항에 따른 위반행위자의 현실적 부담 능력과 관련한 감경은 다음 각 호의 경우에는 적
용하지 아니한다.
1. 보호위원회로부터 부과받을 과징금 납부로 인해 단순히 자금사정에 어려움이 예상되는
경우
2. 위반행위자가 현실적 부담능력 입증과 관련된 객관적인 자료를 제출하지 않은 경우.
[별표]
추가적 가중ㆍ감경 금액(제8조 관련)
Ⅰ. 가중사유 및 비율
1. 위반 정보통신서비스 제공자등 및 그 소속 임원ㆍ종업원이 법 제63조 제1항 및 제2항에
따른 물품이나 서류의 제출요구 또는 검사를 거부하거나 증거인멸, 조작, 허위의 정보제공
등의 방법으로 조사를 방해하거나 관련 이용자에게 허위로 진술하도록 요청한 경우 100
분의 30 이내
2. 다수의 사업자가 관련된 상황에서 위반행위를 주도하거나 선도한 경우 100분의 20 이내
3. 기타 제1호 또는 제2호의 사항에 준하는 사유가 있는 경우 100분의 10 이내
Ⅱ. 감경 사유 및 비율
1. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위하여 노력한 경우로서 다
음 각 목의 어느 하나에 해당하는 경우
가. 위반 정보통신서비스 제공자등이 개인정보 보호를 위해 보호위원회가 인정하는 인증
을 받은 경우 100분의 50 이내
나. 개인정보 보호 자율규제 규약을 이행하는 등 개인정보 보호 활동을 성실히 수행한 것
으로 확인된 경우 100분의 40 이내
- 28 -
2. 개인정보보호위원회 조사에 적극 협력한 경우 100분의 30 이내
3. 개인정보 유출사실을 자진 신고한 경우 100분의 30 이내
4. 기타 제1호 내지 제3호의 사항에 준하는 사유가 있는 경우 100분의 10 이내. 끝.