26일 법조계에 따르면 서울행정법원 11부(강우찬 부장판사)는 천재교과서가 개인정보보호위원회를 상대로 낸 과징금부과처분 취소소송에 대해 최근 원고 패소 판결했다.
천재교과서는 2021년 4월 개인정보유출 사고로 개인정보보호위원회에서 과징금을 부과받았다. 위원회는 천재교과서가 접근 권한이 없는 모회사 천재교육이 초등 밀크티 개인정보처리시스템에 접근할 수 있도록 운영함으로써 개인정보 보호법상 안전조치의무 위반과 개인정보 유출통지·신고를 위반했다고 봤다.
위원회에 따르면 해커는 천재교육의 천재학습백과 웹서버에서 천재교과서의 밀크티 데이터베이스로 터널링해 밀크티 이용자 2만3624명 개인정보를 빼갔다. 유출된 개인정보는 이용자의 △아이디 △이름 △생년월일 △학교 △학년 △이메일 △주소 △연락처 등으로 추정된다.
그러자 천재교과서는 개인정보처리시스템에 대한 접근통제를 소홀히 하지 않았고 정보보호 관리체계 인정을 보유하고 있어 개인정보 안정성 확보를 위해 합리적으로 필요한 조치를 모두 취했다며 소송을 냈다.
하지만 법원은 천재교과서에 개인정보 유출과 관련한 책임이 있다고 판단했다. 천재교과서가 개인정보처리시스템에 조치할 법적 의무를 충분히 이행하지 않았고 유출된 개인정보 양이 적지 않다는 점 등을 봤을 때 과징금 부과 처분과 부과액은 타당하다고 본 것이다.
재판부는 "해커는 천재교육의 천재학습백과 웹서버를 통해 천재교과서 밀크티 서비스의 데이터베이스에 접근할 수 있었는데, 이는 천재교과서가 개인정보처리시스템에 대한 접근 권한을 천재교육의 천재학습백과 웹서버를 통해 접근하는 이에게도 부여했기 때문"이라며 "밀크티 서비스와 천재학습백과 서비스를 분리하지 않고 운영해 침입차단시스템과 침입탐지시스템으로 불법 유출을 사전에 예방하지 못한 책임이 있다"고 판시했다.