무심코 방치한 서버, 200만 원 벌금형으로 돌아왔다 | 로톡

형사일반/기타범죄

기업법무

무심코 방치한 서버, 200만 원 벌금형으로 돌아왔다

대법원 2015도7487

상고기각

개인정보보호법 시행 전 설치한 서버의 안전조치 의무 위반 여부

사건 개요

한 미술품 화랑의 대표는 업무 공유를 위해 인터넷 파일전송서버(FTP)를 운영했어요. 하지만 이 서버에 별도 인증 절차나 접근 제한 조치를 하지 않아, 누구나 접속할 수 있는 상태로 두었죠. 결국 서버에 암호화 없이 저장되어 있던 작가 및 고객들의 이름, 주민등록번호, 연락처, 계좌번호 등 개인정보가 구글 검색을 통해 불특정 다수에게 유출되고 말았어요.

공소사실 요지

검찰은 화랑 대표가 개인정보처리자로서 개인정보의 분실·도난·유출 등을 방지하기 위한 기술적·관리적 보호조치를 해야 할 의무를 위반했다고 보았어요. 안전조치를 소홀히 하여 고객들의 개인정보를 인터넷에 유출시킨 혐의로 기소했어요.

피고인의 입장

화랑 대표는 자신은 컴퓨터에 대해 잘 모르며, 문제의 서버를 직접 설치하도록 지시하거나 운영 사실을 알지도 못했으므로 '개인정보처리자'가 아니라고 주장했어요. 또한, 서버는 개인정보보호법의 안전조치 의무 조항이 시행되기 전인 2008년에 설치되었으므로, 이 법을 적용하는 것은 형벌불소급 원칙에 어긋난다고 항변했어요. 마지막으로 1심의 벌금 200만 원 형이 너무 무겁다고도 주장했어요.

법원의 판단 (상·하급심)

법원은 화랑 대표의 주장을 모두 받아들이지 않았어요. 법원은 대표가 고객 정보를 업무 목적으로 운용했으므로 법에서 정한 '개인정보처리자'에 해당한다고 판단했어요. 또한, 개인정보 안전조치 의무는 법 시행 이후에도 계속해서 지켜야 하는 것이므로, 법 시행 전에 서버를 설치했더라도 법 시행 이후에 안전조치를 하지 않았다면 처벌 대상이 된다고 보았어요. 이는 형벌불소급 원칙에 위배되지 않는다고 명확히 했죠. 대법원 역시 원심의 판단이 옳다고 보아 상고를 기각하고 벌금 200만 원을 확정했어요.

나의 사건과 유사할까?

  • 업무상 고객이나 직원의 개인정보(이름, 연락처, 주소 등)를 파일 형태로 보관한 적 있다.
  • 개인정보가 저장된 컴퓨터나 서버에 비밀번호 설정 등 접근 제한 조치를 하지 않은 상황이다.
  • 오래전에 구축한 시스템이라 현행 개인정보보호법 기준을 충족하는지 확인하지 못했다.
  • 외부에서 파일 공유를 위해 누구나 접속 가능한 서버(FTP 등)를 운영하고 있다.

체크리스트 중 여러 항목에 해당된다면 이 사건과 유사한 상황일 수 있으며, 특히 개인정보처리자의 안전조치 의무가 주요 법적 쟁점이 될 수 있어요.