[단독]'2만여명 개인정보 유출' 천재교과서, 9억 과징금 불복訴 패소

천재교과서 개인정보유출 경위 [자료=개인정보보호위원회]

초등온라인 학습 서비스 '밀크티' 이용자 2만3600여명 개인정보 유출 사고로 과징금 9억원을 부과받은 천재교과서가 개인정보보호위원회 처분에 불복해낸 소송에서 패소한 사실이 드러났다. 천재교과서는 재판 과정에서 "필요한 조치를 다했다"고 주장했지만 법원은 천재교과서가 개인정보 보호를 위한 법적 의무를 충실히 이행하지 않았다고 판단했다.

26일 법조계에 따르면 서울행정법원 11부(강우찬 부장판사)는 천재교과서가 개인정보보호위원회를 상대로 낸 과징금부과처분 취소소송에 대해 최근 원고 패소 판결했다.

천재교과서는 2021년 4월 개인정보유출 사고로 개인정보보호위원회에서 과징금을 부과받았다. 위원회는 천재교과서가 접근 권한이 없는 모회사 천재교육이 초등 밀크티 개인정보처리시스템에 접근할 수 있도록 운영함으로써 개인정보 보호법상 안전조치의무 위반과 개인정보 유출통지·신고를 위반했다고 봤다.

위원회에 따르면 해커는 천재교육의 천재학습백과 웹서버에서 천재교과서의 밀크티 데이터베이스로 터널링해 밀크티 이용자 2만3624명 개인정보를 빼갔다. 유출된 개인정보는 이용자의 △아이디 △이름 △생년월일 △학교 △학년 △이메일 △주소 △연락처 등으로 추정된다.

이에 위원회는 그해 10월 안전조치 의무 위반과 개인정보 유출 통지·신고 위반으로 천재교과서에 과징금 9억335만원과 과태료 1740만원을 부과했다. 천재교육에는 안전조치 의무 위반으로 과태로 540만원을 부과했다. 

그러자 천재교과서는 개인정보처리시스템에 대한 접근통제를 소홀히 하지 않았고 정보보호 관리체계 인정을 보유하고 있어 개인정보 안정성 확보를 위해 합리적으로 필요한 조치를 모두 취했다며 소송을 냈다.

하지만 법원은 천재교과서에 개인정보 유출과 관련한 책임이 있다고 판단했다. 천재교과서가 개인정보처리시스템에 조치할 법적 의무를 충분히 이행하지 않았고 유출된 개인정보 양이 적지 않다는 점 등을 봤을 때 과징금 부과 처분과 부과액은 타당하다고 본 것이다.

재판부는 "해커는 천재교육의 천재학습백과 웹서버를 통해 천재교과서 밀크티 서비스의 데이터베이스에 접근할 수 있었는데, 이는 천재교과서가 개인정보처리시스템에 대한 접근 권한을 천재교육의 천재학습백과 웹서버를 통해 접근하는 이에게도 부여했기 때문"이라며 "밀크티 서비스와 천재학습백과 서비스를 분리하지 않고 운영해 침입차단시스템과 침입탐지시스템으로 불법 유출을 사전에 예방하지 못한 책임이 있다"고 판시했다.