b81

개인정보 유출 과징금 7천만원! 회사가 놓친 ‘치명적 실수’ 3가지!

0

개인정보 유출 과징금 7천만원! 회사가 놓친 ‘치명적 실수’ 3가지!

개인정보 유출 과징금 문제, 혹시 ‘우리 회사는 괜찮겠지’라고 안일하게 생각하고 계신가요?

온라인 서비스를 운영하며 수많은 고객의 개인정보를 다루고 있다면, 이 문제는 결코 남의 일이 아닙니다.

거액의-과징금-처분서를-보고-머리를-감싸-쥔-회사-대표의-모습
7천만 원의 과징금. 이 한 장의 통보서는 한순간에 회사를 위기로 몰아넣는 법적 책임의 무게를 보여줍니다.
책상-위에-놓인-과징금-처분서와-그것을-비추는-어두운-스탠드-조명
“우리 회사는 괜찮겠지”라는 안일한 생각이 어떻게 수천만 원의 금전적 손실로 이어지는지를 보여주는 시작입니다.

최근 한 채용 정보 사이트 운영 회사가 해킹 공격으로 인해 3만 5천여 명의 개인정보(이력서 등)를 유출당했고, 그 결과 무려 7천만 원이 넘는 개인정보 유출 과징금 폭탄을 맞았습니다.

회사는 “억울하다! 우리는 할 만큼 했다. 이건 이용자 부주의 탓이다!”라며 소송까지 제기했지만, 결과는 처참한 패소였습니다.

법원은 회사가 개인정보 보호를 위한 ‘안전조치 의무’를 제대로 이행하지 않았다고 판단했고, 과징금 부과는 정당하다고 판결했습니다.

도대체 이 회사는 무엇을 잘못했던 걸까요? 수천만 원의 과징금을 피할 방법은 없었을까요?

이 글에서는 실제 판결 내용을 바탕으로, 개인정보 유출 과징금이라는 최악의 시나리오를 피하기 위해 기업이 반드시 알아야 할, 그리고 이 회사가 놓쳤던 ‘치명적인 실수 3가지’ 를 집중적으로 파헤쳐 보겠습니다.

이 글을 끝까지 읽으신다면, 당신의 회사가 같은 실수를 반복하지 않도록 값진 교훈을 얻으실 수 있을 것입니다.

7천만원 과징금의 시작: A주식회사의 뼈아픈 경험 (가상 사례)

법률 이야기는 복잡할 수 있으니, 먼저 과징금 처분을 받은 가상의 ‘A 주식회사’의 사례를 통해 사건의 전말을 살펴보겠습니다.

A사는 유명 채용 정보 사이트를 운영하며 약 900만 명에 달하는 이용자의 이력서 등 방대한 개인정보를 보유하고 있었습니다.

어느 날, 신원 미상의 해커가 이 사이트의 로그인 페이지에 ‘크리덴셜 스터핑’ 공격을 감행했습니다.

크리덴셜 스터핑이란, 다른 곳에서 유출된 아이디와 비밀번호 조합을 마치 자동 로그인 프로그램처럼 대량으로 시도하여 로그인을 뚫는 방식입니다.

회사-서버-방화벽을-향해-벌떼처럼-쏟아지는-아이디와-패스워드-아이콘들
크리덴셜 스터핑 공격은 다른 곳에서 유출된 정보를 이용해 수백만 번의 자동화된 로그인을 시도하는 무차별적인 공격입니다.
계속된-공격으로-서버-보호막의-일부가-깨지며-개인정보가-유출되는-모습
기본적인 방어 조치가 없다면, 이러한 자동화된 공격에 속수무책으로 뚫릴 수밖에 없습니다.

해커는 이틀간 무려 200만 번이 넘는 로그인 시도를 했고, 결국 3만 6천여 개 계정의 로그인을 성공시켜 3만 5천여 명의 이력서 등 민감한 개인정보를 열람했습니다.

A사는 뒤늦게 이 사실을 인지하고 개인정보보호위원회(이하 ‘피고’)에 신고했지만, 조사를 피할 수는 없었습니다.

피고는 조사를 통해 A사가 개인정보 보호를 위한 ‘안전조치 의무’를 소홀히 했다고 판단하고, 결국 70,609,000원이라는 거액의 개인정보 유출 과징금을 부과했습니다.

A사는 “침입탐지시스템(IDS), 침입방지시스템(IPS)도 운영했고, 이용자들이 여러 사이트에 동일한 아이디/비밀번호를 쓴 탓이지 우리 잘못이 아니다!”라며 처분 취소 소송을 제기했습니다.

과연 법원은 A사의 주장을 받아들였을까요? 안타깝게도 결과는 ‘기각’, 즉 A사의 완전한 패소였습니다. 법원은 왜 A사가 안전조치 의무를 다하지 못했다고 판단했을까요? 여기서 우리가 주목해야 할 A사의 치명적인 실수들이 드러납니다.

실수 1: 보안 시스템, ‘설치’만 하고 ‘관리’는 나 몰라라? (치명적인 개인정보 유출 과징금 사유)

A사는 법정에서 “우리는 IDS, IPS 같은 보안 시스템을 설치하고 운영했다!”고 항변했습니다.

하지만 법원이 주목한 것은 단순히 시스템 설치 여부가 아니었습니다. 그 시스템이 ‘제대로’ 운영되고 있었는지가 핵심이었습니다.

법원이 지적한 A사의 구체적인 관리 부실, 즉 첫 번째 치명적 실수는 다음과 같습니다.

가. ‘암호 해독기’ 없는 보안 검사: HTTPS 복호화 기능 부재

암호화된-데이터-패킷이-보안-검사를-그냥-통과하는-모니터링-화면
암호화된(HTTPS) 트래픽을 복호화하여 검사하는 기능이 없다면, 보안 시스템은 사실상 장님과 다름없습니다.
보안-담당자가-모니터의-녹색-통과-신호만-믿고-안심하고-커피를-마시는-모습
‘설치’만으로는 의무를 다한 것이 아닙니다. 시스템이 제 기능을 하도록 ‘설정’하고 ‘관리’하는 것이 핵심입니다.

A사의 웹사이트는 HTTPS라는 암호화된 방식으로 통신하고 있었습니다. 이는 보안을 강화하는 좋은 방법이지만, 문제는 A사가 설치한 IDS(침입탐지시스템)에 이 암호화된 통신 내용을 풀어서(복호화) 검사하는 기능이 없거나 설정되어 있지 않았다는 점입니다.

쉽게 말해, 중요한 내용이 암호로 쓰인 편지가 오가는데, 암호 해독기 없이 겉봉투만 보고 “이상 없음!”이라고 판단한 것과 같습니다. 이러니 암호화된 통신을 통해 들어오는 교묘한 공격을 탐지할 수 없었던 것입니다.

이는 개인정보 유출 과징금 부과의 중요한 근거가 되었습니다.

나. ‘수상한 손님’ 못 잡는 탐지 시스템: 비정상 로그인 탐지 실패

비정상-접속-그래프가-치솟아도-경고등이-울리지-않는-보안-모니터
분당 수천 번의 로그인 시도는 명백한 공격 신호입니다. 이를 탐지하지 못하는 시스템은 없는 것과 같습니다.
이용자의-이메일-신고서를-보고-그제야-문제를-인지하고-놀라는-보안팀의-모습
시스템이 아닌 이용자의 신고로 문제를 인지했다는 사실 자체가 안전조치 의무를 소홀히 했다는 강력한 증거가 됩니다.

해커는 단 7개의 IP 주소(중국 3개, 국내 4개)를 사용하여 이틀 동안 무려 200만 번 넘게 로그인을 시도했습니다. 특정 IP에서는 분당 평균 2,500번, 많게는 5,000번 넘게 로그인을 시도하는 비정상적인 패턴을 보였습니다.

상식적으로 이런 비정상적인 대량 접속 시도는 즉시 탐지되고 차단되어야 합니다.

하지만 A사의 IDS는 이를 전혀 감지하지 못했습니다. 결국 A사는 해커의 공격이 시작된 지 한참 지난 후, 피해 이용자의 이메일 신고를 받고 나서야 문제를 인지했습니다.

법원은 이를 두고, 회사가 운영하는 보안 시스템이 제 역할을 전혀 하지 못했다고 판단했습니다. 이 또한 개인정보 유출 과징금을 피할 수 없었던 이유입니다.

다. ‘문 열어 둔’ 방화벽: IPS(침입방지시스템) 설정 미흡

보안-시스템-설정-화면에서-공격-탐지-시-'허용'-옵션이-선택된-모습
도둑을 보고도 문을 열어주는 설정. 법원은 이를 두고 IPS가 사실상 공격을 ‘허용’하는 형태로 운영되었다고 질타했습니다.
해커가-열려있는-방화벽-문을-비웃으며-유유히-걸어-들어오는-상상도
사소한 설정 오류 하나가 회사의 존립을 위협하는 수천만 원의 과징금으로 돌아올 수 있습니다.

더 큰 문제는 IPS(침입방지시스템) 설정에 있었습니다. IPS는 비정상적인 공격을 탐지하면 ‘차단’하는 역할을 해야 합니다.

하지만 A사의 IPS에 설정된 무차별 대입 공격(크리덴셜 스터핑과 유사) 탐지 정책 146개 중 무려 43개는, 공격을 탐지하더라도 접속을 ‘허용(Allow)’하고 로그조차 남기지 않도록 설정되어 있었습니다!

마치 도둑이 들어오는 것을 보고도 문을 열어주고 기록도 남기지 않은 것과 같은 어처구니없는 상황이었습니다. 법원은 이를 두고 IPS가 사실상 공격을 ‘허용’하는 형태로 운영되었다고 강하게 질타했습니다.

당신에게 주는 의미: 비싼 돈 들여 보안 시스템을 구축하는 것만으로는 면책되지 않습니다. 시스템이 최신 위협(HTTPS 공격, 크리덴셜 스터핑 등)을 탐지하고 차단할 수 있도록 ‘제대로’ 설정하고, 지속적으로 ‘관리’ 및 ‘모니터링’하는 것이 핵심입니다. 설정 오류 하나가 수천만 원의 개인정보 유출 과징금으로 이어질 수 있습니다.

실수 2: ‘소 잃고 외양간’도 늦게 고쳤다! (사전 예방 가능한 조치 미흡)

A사의 두 번째 치명적인 실수는, 사고 이후에 취한 조치들이 사실은 사고 발생 전에도 충분히 가능했던, ‘사회통념상 합리적으로 기대 가능한 보호조치’였다는 점입니다.

데이터가-모두-유출된-텅-빈-서버실에서-뒤늦게-보안-장치를-설치하는-모습
사고 후에 적용한 IP 차단, 캡챠 인증 등은 특별한 기술이 아닌, 사전에 했어야 할 기본적인 조치였습니다.
판사가-사고-전과-후의-보안-정책-문서를-비교하며-회사의-태만을-지적하는-모습
‘사전에 충분히 막을 수 있었는가?’ 이것이 법원이 기업의 책임을 판단하는 중요한 기준입니다.

A사는 사고를 인지하고 나서야 다음과 같은 조치들을 취했습니다.

  • 동일 IP에서 1시간 내 30회 이상 로그인 시도 시 IP 차단 정책 적용 (사고 당일 저녁)
  • 로그인 페이지에 캡챠(기계는 풀기 어려운 문자/이미지 인증) 적용 (사고 5일 후)
  • 휴면 계정 해제 시 비밀번호 외 추가 인증(휴대폰 또는 이메일) 요구 (사고 20여 일 후)

법원은 이러한 조치들이 당시 기술 수준으로 구현하기 어렵거나 비용이 많이 드는 특별한 기술이 아니라고 판단했습니다.

오히려 이러한 조치들은 크리덴셜 스터핑과 같은 자동화된 대량 로그인 공격을 막기 위해 보편적으로 사용되는 기본적인 보안 강화 수단이었습니다.

A사가 사고 이전에, 심지어 추가 비용을 거의 들이지 않고도 이러한 조치들을 미리 적용할 수 있었음에도 불구하고 이를 게을리했다는 것입니다.

A사는 “개인정보보호위원회가 발간한 해설서에는 휴면 계정 해제 시 추가 인증 요구가 없었다”고 항변했지만, 법원은 “해설서는 참고 자료일 뿐, 기업은 스스로의 환경에 맞는 보호조치를 취해야 하며, 추가 인증은 당시 보편적인 기술 수준이었다”고 일축했습니다.

결국, ‘사전에 충분히 막을 수 있었던 사고를 막지 못했다’는 점이 개인정보 유출 과징금 부과의 결정적인 이유가 된 것입니다.

당신에게 주는 의미: 최신 해킹 트렌드에 관심을 가지고, 알려진 취약점이나 공격 기법(특히 크리덴셜 스터핑, 무차별 대입 등)에 대한 기본적인 방어 조치를 ‘미리’ 갖추어야 합니다. IP 기반 접속 제한, 로그인 시도 횟수 제한, 캡챠 도입, 2단계 인증(추가 인증) 등은 더 이상 선택이 아닌 필수입니다. ‘나중에 문제 생기면 하지’라는 생각은 수천만 원의 개인정보 유출 과징금으로 돌아올 수 있습니다.

실수 3: ‘과징금 너무 많다!’ 항변, 제대로 먹히지 않았다! (과징금 산정 기준 이해 부족)

A사는 설령 잘못이 있다 하더라도 7천만 원이라는 과징금은 너무 과하다며, 과징금 산정 과정 자체에 문제가 있다고 주장했습니다. 이것이 A사의 세 번째 실수, 즉 과징금 산정 기준에 대한 이해 부족과 안일한 대응이었습니다.

감정적으로-호소하는-변호사와-원칙이-적힌-법전을-가리키는-판사
단순히 “과징금이 너무 많다”고 주장하는 것은 법원에서 받아들여지기 어렵습니다.
변호사가-다른-회사-사례를-들며-비교하지만,-판사가-두-사건-파일이-다름을-보여주는-장면
과징금 산정 기준을 명확히 이해하고, 우리 회사의 상황에 맞는 객관적인 감경 사유를 입증해야 합니다.

A사의 주장은 크게 세 가지였습니다.

  1. 위반 기간 잘못 계산했다! (회사가 설립된 시점부터 위반 기간으로 본 것은 부당하다)
  2. 감경/면제 사유 있는데 고려 안 했다! (사고 정도가 경미하고, 피해도 적으니 깎아주거나 면제해야 한다)
  3. 다른 회사랑 차별한다! (유사 사례에서는 감경해줬으면서 왜 우리는 안 해주냐)

하지만 법원은 A사의 이러한 주장을 모두 배척했습니다. 왜 그랬을까요?

가. 위반 기간 산정의 정당성: ‘설립 시점’부터 보안 미흡

법원은 A사가 설립된 시점(2018년경)부터 이번 사고가 발생하기 전까지 계속해서 기본적인 안전조치(IP 차단 정책, 추가 인증 등)를 취하지 않은 상태였다고 보았습니다. 이러한 조치들은 설립 당시에도 ‘합리적으로 기대 가능한 수준’의 보호조치였다고 판단했습니다.

따라서 위반 행위가 회사 설립 시점부터 계속된 것으로 보아 ‘장기 위반행위'(2년 초과)로 판단하고 과징금을 가산한 것은 정당하다고 보았습니다. 즉, 회사는 ‘처음부터’ 보안에 소홀했다는 지적을 피할 수 없었습니다.

나. 임의적 감경/면제 불인정: 요건 미충족 및 재량 존중

과징금 규정에는 사업자의 부담 능력, 피해 정도 등을 고려하여 과징금을 감경하거나 면제할 수 있는 ‘임의적’ 조항이 있습니다.

A사는 이 조항을 근거로 감경/면제를 주장했지만, 법원은 피고(개인정보보호위원회)가 관련 규정을 잘못 적용하지 않았고, A사의 상황이 감경/면제 요건에 해당한다고 보기 어렵다고 판단했습니다. 또한, 해당 조항은 ‘할 수 있다’는 임의 규정이므로 행정청의 재량을 존중해야 한다고 보았습니다.

즉, 단순히 “사정이 어렵다”거나 “피해가 경미하다”는 주장만으로는 부족하며, 감경/면제 요건을 충족한다는 객관적인 증명이 필요하다는 것입니다.

다. 비례/평등 원칙 위반 아님: 사안의 중대성 및 개별성 고려

법원은 A사에 부과된 7천만 원의 과징금이 회사의 매출 규모(연 200억 원 수준)나 유출된 개인정보의 중요성(이력서 상세 정보)에 비추어 지나치게 과도하다고 보기 어렵다고 판단했습니다.

또한, A사가 주장한 유사 사례들은 이 사건과 구체적인 위반 내용, 정도, 회사 규모 등이 달라 직접 비교하기 어렵다고 보아 평등 원칙 위반 주장도 받아들이지 않았습니다. 피고가 A사의 조사 협력, 자진 신고 등 긍정적인 측면은 이미 과징금 산정 시 20% 감경 요소로 반영했다는 점도 언급했습니다.

당신에게 주는 의미: 개인정보 유출 과징금이 부과되었을 때, 단순히 금액이 많다고 주장하기보다 과징금 산정 기준(관련 매출액, 위반행위 중대성, 위반 기간, 가중/감경 사유 등)을 명확히 이해하고, 우리 회사에 유리하게 적용될 수 있는 구체적인 근거(예: 명확한 감경/면제 요건 충족 증빙, 객관적인 재정 부담 능력 입증 등)를 제시해야 합니다. 다른 회사와의 단순 비교나 감정적인 호소는 법원에서 받아들여지기 어렵습니다.

표로 보는 과징금 산정 단계: 왜 7천만원이 나왔을까?

개인정보 유출 과징금은 복잡한 과정을 거쳐 산정됩니다. A사의 사례를 통해 그 단계를 간략히 살펴보겠습니다.

칠판-가득-그려진-복잡하고-체계적인-과징금-산정-플로우-차트
과징금은 주먹구구식으로 결정되지 않습니다. 관련 매출액, 위반의 중대성, 기간 등을 고려한 복잡한 산식을 통해 산정됩니다.
전문가가-플로우-차트의-각-단계를-짚어가며-산정-과정을-설명하는-모습
이 과정을 이해해야만 우리 회사에 유리한 또는 불리한 요소가 무엇인지 파악하고 제대로 대응할 수 있습니다.
산정 단계고려 요소A사의 경우 (피고의 판단)결과
1. 기준금액 산정– 관련 매출액 (최근 3년 연평균 등)
– 위반행위 중대성 (고의/중과실, 피해규모 등)		– 관련 매출액: 약 58.8억
– 중대성: ‘일반 위반행위’ (중과실이나 피해규모 등 감경요소 반영)		기준금액: 약 8,826만원 (매출액 x 부과기준율 1.5%)
2. 필수적 가중·감경– 위반 기간 (1년 이하 / 1~2년 / 2년 초과)
– 위반 횟수 (최근 3년 내 처분 여부)		– 위반 기간: ‘장기'(2년 초과) → 50% 가산
– 위반 횟수: ‘최초’ → 50% 감경		가산/감경 상쇄 → 약 8,826만원 (기준금액 유지)
3. 추가적 가중·감경– 조사 협력 여부
– 자진 신고 여부
– 개인정보 보호 노력 등		– 조사 적극 협력
– 자진 신고 등 고려		20% 감경 → 약 1,765만원 감경
4. 부과과징금 결정– 현실적 부담 능력
– 피해 배상 정도
– 시장 상황 등 최종 고려		– 특별한 추가 감경/면제 사유 불인정최종 과징금: 70,609,000원 (8,826만원 – 1,765만원)

주의: 위 표는 판결 내용을 바탕으로 이해를 돕기 위해 단순화한 예시이며, 실제 과징금 산정은 더 복잡한 세부 기준에 따라 달라질 수 있습니다.

결론: ‘기본’에 충실한 안전조치, 개인정보 유출 과징금 막는 유일한 길!

이번 판결은 개인정보 유출 과징금 문제에 대해 기업들에게 매우 엄중한 메시지를 던집니다.

개인정보 보호는 더 이상 ‘하면 좋은 것’이 아니라, ‘반드시 제대로 해야 하는’ 기업의 법적 책임이라는 것입니다.

서버실에서-보안-체크리스트의-항목들을-꼼꼼하게-점검하는-보안-담당자
개인정보 보호는 일회성 이벤트가 아닌, 지속적인 점검과 관리가 필요한 일상 업무입니다.
모든-항목에-녹색-체크가-완료된-체크리스트의-클로즈업
법에서 요구하는 ‘사회통념상 합리적으로 기대 가능한 수준’의 보호조치를 충실히 이행하는 것이 과징금을 막는 유일한 길입니다.

A회사가 뼈아픈 대가를 치르며 우리에게 알려준 3가지 치명적인 실수를 다시 한번 되새겨 봅시다.

  1. 보안 시스템, 설치만 하지 말고 제대로 관리·운영하라! (특히 최신 위협 탐지/차단 설정)
  2. 알려진 기본적인 보안 조치(IP 차단, 추가 인증 등)는 사고 전에 미리 적용하라! (‘나중’은 없다)
  3. 과징금 산정 기준을 명확히 이해하고, 불복 시에는 감정적 호소보다 객관적 근거로 대응하라!

결국, 개인정보 유출 과징금이라는 재앙을 피하는 가장 확실한 방법은 법에서 요구하는 ‘안전성 확보 조치’ 의무, 즉 ‘사회통념상 합리적으로 기대 가능한 수준’의 기술적·관리적 보호조치를 평소에 충실히 이행하는 것뿐입니다.

지금 당장 우리 회사의 개인정보 보호 시스템과 정책을 다시 한번 점검해 보십시오. 혹시 A회사와 같은 실수를 저지르고 있지는 않으신가요?

최첨단-투명-금고-안에-안전하게-보관된-회사의-고객-데이터-서버
고객의 개인정보는 회사의 가장 소중한 자산입니다. 최고의 기술과 노력으로 지켜야 합니다.
고객들이-안전하게-보관된-데이터-금고를-보며-안심하고-회사에-신뢰를-보내는-모습
철저한 개인정보 보호는 법적 의무를 넘어, 고객의 신뢰를 얻고 회사의 미래를 지키는 핵심 경쟁력입니다.

망설이지 말고 전문가의 도움을 받아 필요한 조치를 취하고, 소중한 고객 정보와 회사의 미래를 지켜나가시길 바랍니다.

Share Article

Other Articles
No Comment! Be the first one.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다