첫 상담 100% 지원!
첫 상담 100% 지원!
형사일반/기타범죄
기업법무
무심코 방치한 서버, 200만 원 벌금형으로 돌아왔다
대법원 2015도7487
개인정보보호법 시행 전 설치한 서버의 안전조치 의무 위반 여부
한 미술품 화랑의 대표는 업무 공유를 위해 인터넷 파일전송서버(FTP)를 운영했어요. 하지만 이 서버에 별도 인증 절차나 접근 제한 조치를 하지 않아, 누구나 접속할 수 있는 상태로 두었죠. 결국 서버에 암호화 없이 저장되어 있던 작가 및 고객들의 이름, 주민등록번호, 연락처, 계좌번호 등 개인정보가 구글 검색을 통해 불특정 다수에게 유출되고 말았어요.
검찰은 화랑 대표가 개인정보처리자로서 개인정보의 분실·도난·유출 등을 방지하기 위한 기술적·관리적 보호조치를 해야 할 의무를 위반했다고 보았어요. 안전조치를 소홀히 하여 고객들의 개인정보를 인터넷에 유출시킨 혐의로 기소했어요.
화랑 대표는 자신은 컴퓨터에 대해 잘 모르며, 문제의 서버를 직접 설치하도록 지시하거나 운영 사실을 알지도 못했으므로 '개인정보처리자'가 아니라고 주장했어요. 또한, 서버는 개인정보보호법의 안전조치 의무 조항이 시행되기 전인 2008년에 설치되었으므로, 이 법을 적용하는 것은 형벌불소급 원칙에 어긋난다고 항변했어요. 마지막으로 1심의 벌금 200만 원 형이 너무 무겁다고도 주장했어요.
법원은 화랑 대표의 주장을 모두 받아들이지 않았어요. 법원은 대표가 고객 정보를 업무 목적으로 운용했으므로 법에서 정한 '개인정보처리자'에 해당한다고 판단했어요. 또한, 개인정보 안전조치 의무는 법 시행 이후에도 계속해서 지켜야 하는 것이므로, 법 시행 전에 서버를 설치했더라도 법 시행 이후에 안전조치를 하지 않았다면 처벌 대상이 된다고 보았어요. 이는 형벌불소급 원칙에 위배되지 않는다고 명확히 했죠. 대법원 역시 원심의 판단이 옳다고 보아 상고를 기각하고 벌금 200만 원을 확정했어요.
이 판례는 개인정보보호법상 '안전성 확보 조치 의무'가 계속적인 의무임을 분명히 한 사례예요. 즉, 법이 시행되기 전에 정보처리 시스템을 구축했더라도, 법 시행 이후에는 현행법에 따라 기술적·관리적 보호조치를 취해야 한다는 것이죠. 사업주가 컴퓨터에 대해 잘 모른다고 주장하더라도, 업무 목적으로 개인정보 파일을 운용하는 이상 '개인정보처리자'로서의 책임을 피할 수 없다는 점을 보여줘요. 개인정보 유출은 한번 발생하면 피해 회복이 어려운 만큼, 사업자의 엄격한 관리 책임을 강조한 판결이라고 할 수 있어요.
체크리스트 중 여러 항목에 해당된다면 이 사건과 유사한 상황일 수 있으며, 특히 개인정보처리자의 안전조치 의무가 주요 법적 쟁점이 될 수 있어요.