12만명에 가까운 개인정보를 유출한 업체가 4억원대 과징금이 부당하다며 소송을 냈지만 1심에 이어 2심에서도 졌다.

19일 법조계에 따르면 서울고등법원 행정10부(오현규 부장판사)는 지난 12일 에스엘바이오텍이 개인정보보호위원회를 상대로 제기한 과징금 부과처분 취소 소송의 항소심에서 1심과 같은 원고 패소로 판결했다.

앞서 개인정보위는 2023년 3월 이 회사가 운영하던 ‘뉴트리코어’ 쇼핑몰에서 개인정보처리시스템에 대한 접근 권한을 제한하지 않고 악성코드 파일이 업로드되고 실행되도록 하는 등 접근통제를 소홀히 해 11만9856명의 이름·주소 등 개인정보가 유출됐다고 봤다. 개인정보 유출신고와 유출통지를 지연한 사실도 확인하고, 과징금 4억6457만원과 과태료 720만원을 부과했다.

에스엘바이오텍은 이에 불복하는 소송을 냈다. 회사는 소송에서 “원고가 관리하는 대표 도메인이 아니라 다른 회사가 관리하는 관리용 도메인의 문제로 인해 발생한 사고”라며 “원고는 결제정보를 자체 수집하지 않고 결제대행사(PG사) 결제 서비스를 이용하기 때문에 쇼핑몰 데이터베이스에 수집·보관되지 않는다”고 주장했다.

그러면서 “ PG사를 통한 매출은 이 사건 위반행위와 관련이 없어 과징금 기준금액에서 제외돼야 한다”고 강조했다.

이 사건은 PG사를 통한 간접매출도 과징금 산정에 포함되는지 여부가 쟁점이었다. 법원은 포함되지 않는다는 회사측의 주장을 받아들여주지 않았다.

항소심 재판부는 먼저 “원고는 법령에 규정된 개인정보처리시스템에 대한 침입탐지시스템의 설치·운영이나 기타 접근 통제를 위한 필요한 조치를 이행하지 않았다고 충분히 판단된다”고 짚었다.

이어 “ PG사를 통한 매출도 원고의 매출액”이라며 “이용자가 쇼핑몰에 접속해 구매버튼을 눌러 결제하면 대행사가 원고로부터 건강기능식품의 판매업무를 일부 수탁받아 수행하지만, 그에 따른 매출액은 수수료를 제외하고 모두 원고에게 귀속된다”고 설명했다. 그러면서 “ PG사를 통해 발생한 매출액도 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스 범위에 포함된다고 봄이 상당하다”고 판시했다.

1심을 맡은 서울행정법원 행정합의2부(고은설 부장판사)는 지난 6월 10일 과징금 산출 기준에 대해 “위반행위 관련 매출액은 위반행위로 인해 얻은 이익만을 의미하는 것이 아니라 그로 인한 직접 또는 간접적으로 영향을 받는 서비스의 매출액을 의미한다”며 원고 패소로 판결했다.

에스엘바이오텍 관계자는 “법원의 판단을 존중하며, 이번 판결은 온라인 커머스 환경에서 엄격한 기준을 제시한 것으로 보고 있다”며 “2023년도부터 보안을 최우선 기준으로 삼아 클라우드 인프라 전반을 신규 커머스 시스템으로 전면 재구축했다”고 밝혔다.

그러면서 “앞으로도 고객의 신뢰를 최우선 가치로 삼아 안전하고 투명한 서비스 환경을 제공할 수 있도록 최선을 다 하겠다”며 대법원 상고는 고려하지 않고 있다고 덧붙였다.

서원호 기자 os@naeil.com