brunch

매거진 뉴스레터 로스규이

라이킷 13 댓글

You can make anything
by writing

C.S.Lewis

계정을 잊어버리셨나요?

by 법무법인 미션 Aug 22. 2022

발란이 과징금을 5억이나 낸 이유

- 이 글은 법무법인 미션의 변호사들과 스타트업 포레스트가 만드는 뉴스레터 '로스규이'의 8월 22일 월요일 발행분입니다.

- 스타트업 전문 로펌의 변호사로서, 더욱 많은 스타트업 관계자들에게 도움을 드리기 위해 매주 월요일에 레터를 무료로 보내드리고 있어요.

- 변호사의 관점으로 한 주간 스타트업 씬에서 일어난 일 혹은 스타트업 종사자들이 알면 좋을 법률 지식을 먹기좋게 구워드려요!

2022년 8월 22일

지난 레터보기 | 구독하기

안녕하세요. 로스규이 v.2 의 문을 열게 된 헤바입니다. :) 2주간 휴재하면서 콘텐츠 정비를 마쳤어요. 기다려주셔서 감사합니다.

오늘은 발란의 개인 정보 유출과 처벌 소식을 가져왔어요. 개인 정보 업무를 할 때면 “이거 정말 다 지켜야 하나요?” 라는 질문을 많이 받아요. 사실 지켜야할 게 많아도 너무 많거든요. 개인정보보호법위반했는 지 누가 주기적으로 감독하는 건 아니지만, 1) 해킹 등으로 개인정보가 유출된 기업이나 2) 경쟁자의 고발이 있는 경우 개인정보보호법 위반 여부를 자세히 조사를 받게 된답니다. 최근 #토스, #삼쩜삼, #메타 등 개인정보 관련 이슈가 불거지면서 이용자들도 개인정보 수집, 이용에 더 민감해지고 있어요. 오늘은 일단 '해킹으로 개인정보 유출되면 받게되는 조사와 처벌'을 발란 개인정보 유출사건을 통해 살펴볼게요.

- 헤바의 스크랩북 -

이슈 돋보기 | 헤바가 이번 달 스크랩한 규제 이슈

미션 | 이번 이슈에 담긴 MISSION 소개

발자국 추적하기 | 이번 MISSION 해결의 실마리가 되었던 포인트

헤바의 선물 | MISSION COMPLETE! 헤바의 인사이트

해커에 공격당한 것도 서러운데 과징금 5억 원도 내라고?

럭셔리 온라인 부티크 발란은 해커의 공격으로 지난 3월, 4월 두 차례에 걸쳐 162만 건의 #개인정보가 유출되었어요. 개인정보가 유출되면, 사업자는 KISA에 신고할 의무가 있는데요. 신고하면 개인정보보호법 위반 사실이 있는지 조사를 받게 된답니다. 발란은 이 조사에 따라 2022년 8월 10일, 과징금 5억을 부과받았어요.

과징금 받는 데에는 다 이유가 있지

개인정보가 유출되기만 하면 사업주가 과징금을 내는 걸까요? 그건 아니에요. 잘못한 게 있어야 처벌을 받죠. 앞서 언급한 조사과정에서 개인정보보호법 위반 사실이 밝혀지면 과징금 처분을 받는거에요.

일례로 지난 해에는 배달의 민족 채팅봇을 위탁 운영하는 #해피톡이 해킹당해서 배달의 민족 고객 1만 1,000여 건 상담 내용이 유출되는 일이 있었는데요. 개인정보와 상담 내용이 유출되었지만, 해피톡은 개인정보보호위원회에서 별도로 제재를 받지는 않았어요. 조사 결과 개인정보보호법 위반 사실이 없었나봐요.

해커의 공격은 피하기 힘들어도 과징금은 미리 미리 대비해서 피할 수 있어요. 개인정보보호위원회는 조사 때 뭘 중점적으로 볼까요?

기업들이 개인정보보호위원회에서 과징금을 받았던 이유 TOP 3를 제가 정리해봤어요. 개인정보보호위원회 홈페이지에서 올 한해 개인정보가 유출로 처벌받은 60개 기업 자료를 직접 분석했는데요. 독자님의 회사는 지금 몇 개나 위반하고 있나요? 얼른 체크해 보세요!

[1위] 안전조치의무 위반(50건)

아무래도 해킹으로 개인정보가 유출되었다보니, 개인정보 보호에 얼마나 충실했는지를 중점적으로 살펴보나봐요. 회사들이 안전조치의무 위반한 사례가 가장 많았는데요. 안전조치의무를 위반하면 위반 행위 관련 매출액의 3%가 과징금으로 부과하거나, 3천만원 이하의 과태료를 부과할 수 있어요.

*개인정보보호법 제29조, 제39조의 15 제1항, 제75조 제2항

[2위] 24시간 내 통지 신고의무 위반(11건)

정보통신 서비스 제공자는 1명의 개인정보만 유출되어도, 이용자에게 통지하고, 한국인터넷진흥원에 24시간 내 신고를 해야 하는데요. 통지와 신고를 늦게 하면 3,000만 원 이하의 과태료가 부과될 수 있어요.

*개인정보 보호법 제39조의 4 제1항, 개인정보 보호법 제75조 제2항

[3위] 개인정보 유효기간제 위반(11건)

1년이상 미이용자 개인정보는 분리보관하거나 파기해야하는데요. 유효기간을 넘어서 따로 분리보관하고 있지 않거나 파기하지 않은 경우에는 5천만원 이하 과태료가 부과될 수 있어요.

*개인정보 보호법 제39조의 4 제1항, 개인정보 보호법 제75조 제2항

과징금 5억 원은 너무 많은데?

개인정보 유출로 조사받아서 개인정보보호법 위반이 밝혀지면 돈은 얼마나 내야할까요? 올 한해 개인정보 유출로 처벌받은 60개 기업이 얼마나 과징금을 받았나 살펴봤는데요. 1,000만원 이하가 39개 기업, 1000만원 이상 1억원 미만이 17개 기업, 1억 이상이 4개 기업이었어요. 발란은 올해 제일 높은 5억의 과징금을 냈어요. 발란이 5억원을 내게 된 사연을 함께 추적해 볼게요.

발란이 과징금 5억 원이나 낸 이유 ① 높은 매출

안전조치의무 위반에 대한 과징금은 기준 금액(3년간 매출액)에다가 위반행위 중대성에 따라 3% 이하의 산정비율을 곱한 금액을 부과할 수 있는데요. 발란은 명품을 취급하다보니 매출액이 높아서 기준금액 자체가 높아요. 2021년 522억원, 2020년 243억원, 2019년 150억원이래요. 3년 평균 매출하면 305억이죠. 1억 이상 과징금을 낸 기업들은 키움에셋플래너(1371억), 브랜디(작년 매출액 1261억) 등으로 매출액 자체가 굉장히 높아요.

발란이 과징금 5억 원이나 낸 이유 ② 많은 개인정보 피해자

발란이 이번에 해킹으로 유출된 개인정보 피해 규모는 162만건으로 굉장히 큰편이죠. 안전조치 의무 위반에 대해서는 사안의 중대성에 따라 과징금을 부과하거나 과태료를 부과할 수 있는데요. 대표적으로 트랜비는 안전조치의무 위반으로 개인정보 유출되었지만 피해규모가 크지 않아서 과태료로 끝났어요. 그런가하면 브랜디는 해커의 공격으로 639만 건의 개인정보가 유출되었는데요. 그래서 과징금 3억을 받았죠. 참고로 사안의 중대성은 고의 중과실 여부, 위반행위로 인한 개인정보 피해규모, 위반 행위 기간과 횟수를 종합하여 판단한대요.

매출이나 이용자가 많을수록 조심 또 조심

발란 사건에서 얻을 수 있는 교훈은 매출이 높아지거나 이용자가 많아질수록 개인정보 관리는 더 신경써야한다는 점이에요. 살펴본 것처럼 개인정보 유출로 인한 과징금은 매출액, 이용자 수 증가에 따라 과징금 액수도 많아지는 구조거든요. 개인정보보호위원회에서 발표한 자료에 따르면 매출액이 3,000만원 이하이거나 회원 수가 100건 이하인 경우에는 개인정보 유출되더라도 과징금을 면제할 수 있다고도 했어요.