쇼핑몰을 운영하는 A사는 자사 개인정보시스템이 해커의 에스큐엘(SQL)인젝션 공격을 받아, 약 53만건에 달하는 판매자와 및 고객의 개인정보가 유출되는 사고가 발생하였습니다. 유출된 개인정보에는 주민등록번호 등 민감정보도 포함되어 있어, 개인정보보호위원회로부터 조사가 진행되었습니다.
A사를 대리한 대륙아주는, 개인정보 유출이 발생한 시스템이 A사가 직접 구축하여 주도적으로 운영하던 시스템이 아니라 단지 과거 합병한 법인이 운영하던 시스템을 그대로 보유하고 있던 것에 불과하고, 현재 운영 중인 시스템에 대하여는 보안관리를 위해 많은 노력을 기울였다는 점을 강조하며, 책임 정도가 낮게 평가되어야 한다는 점을 주장하였습니다.
또 대륙아주는 과징금의 산정기준이 되는 "매출액" 및 “위반행위와 관련이 없는 매출액”의 범위산정에 있어 A사가 여러 개의 서비스 부문, 상호 구분되는 다수의 웹사이트를 운영하고 있었고, 하나의 서비스에서 발생하는 매출도 여러 채널로 구성되어 있다는 점을 확인하였습니다.
이에 대륙아주는 각 부문, 웹사이트, 채널별로 해당 매출이 “위반행위와 관련이 없는 매출액”으로 인정되어야 하는 근거를 충실히 제시하고, 주위적 및 예비적 계산을 포함한 다양한 산정방식을 제시하여 과징금 산정의 기초가 되는 매출액을 최소화할 수 있도록 대응하였습니다.
이러한 노력의 결과, A사는 실제 부과받은 과징금이 당초 예상하였던 수준의 1/5 이하로 크게 감액되는 실질적인 성과를 거두었습니다.
