'이벤트하다 고객정보 유출' 위메프 과징금 취소소송 승소 확정

최석진 2023. 10. 12. 12:24
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
"과징금 산정기준은 전체 매출액… 2심 판단 잘못"
"과징금 액수 지나치게 커 '재량권 일탈·남용' 결론은 타당"

이벤트를 진행하는 과정에서 고객 정보가 유출돼 18억원대 과징금을 부과받은 온라인 쇼핑몰 위메프가 과징금 부과처분을 취소해달라고 낸 소송에서 최종 승소했다.

대법원 3부(주심 안철상 대법관)는 12일 주식회사 위메프가 개인정보보호위원회를 상대로 낸 시정명령 등 처분 취소소송에서 과징금 부과처분을 취소하라고 판결한 원심을 확정했다.

위메프 행사 포스터.

위메프 행사 포스터.

위메프는 2018년 11월 1일 특정 항목의 상품을 10만원 이상 구매하는 고객에게 50% 적립이용권을 배포하는 '블랙프라이스데이' 이벤트를 진행했다.

당시 위메프는 일반 웹페이지를 통해 접속할 수 있는 쇼핑몰 홈페이지에 적용되는 캐시 정책과는 별도로 모바일 웹을 통해 접속 가능한 이벤트 페이지에만 적용되는 캐시 정책을 새로 배포했다.

그런데 이 과정에서 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고가 발생했다.

위메프는 이벤트 행사 다음날인 2018년 11월 2일 방송통신위원회에 이벤트 페이지에 모바일 웹을 통해 로그인할 경우 다른 사람의 계정으로 로그인됨으로써 특정 페이지(마이페이지, 구매정보)에 접속할 수 있게 돼 고객 20명의 개인정보가 노출됐다고 신고했다.

한국인터넷진흥원과 함께 현장조사를 실시한 방송통신위원회는 위메프가 정보통신망법을 위반했다고 보고 과징금 18억5200만원과 시정명령을 부과하기로 의결했다.

이후 방통위 사무 중 개인정보보호 사무는 개인정보보호위원회에 승계됐다. 위메프는 개인정보위를 상대로 시정명령과 과징금 부과처분을 취소해달라는 소송을 냈다.

앞서 1심과 2심은 위메프의 손을 들어줬다.

재판부는 "사고 발생 경위와 내용, 피해 정도에 비춰보면 과징금 액수가 지나치게 과다하다"라며 "이 사건 과징금 부과처분은 재량권을 일탈·남용한 위법이 있다"고 판단했다.

또 개인정보위가 과징금을 산정할 때 이벤트와 직접 관련이 없는 쇼핑몰 전체 매출액을 기준으로 삼은 것도 잘못됐다고 지적했다.

재판부는 "정보통신망법에 따르면 위반행위와 관련이 없는 매출액 부분은 과징금 부과에 고려될 수 없는데도, 방통위가 이벤트로 인한 매출이 아닌 쇼핑몰 전체의 연매출액을 기준으로 해 과징금 액수를 산정한 것은 과도하다"고 밝혔다.

대법원은 매출액 산정 기준에 대해서는 하급심의 판단에 문제가 있다고 봤다. 다만 과징금 부과처분이 재량권을 벗어나 취소돼야 한다는 결론은 타당하다고 봤다.

재판부는 "과징금 부과를 위한 관련 매출액을 산정할 때 '위반행위로 인해 직접 또는 간접적으로 영향을 받는 서비스'의 범위는 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단해야 한다"고 전제했다.

재판부는 "이 사건 이벤트 페이지를 통해 유출된 개인정보는 이 사건 쇼핑몰 이용자들의 정보가 담긴 데이터베이스에서 유출된 것으로, 그 개인정보는 이 사건 쇼핑몰 서비스의 전체적인 운영을 위해 수집·관리되는 정보이고, 이 사건 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수집·관리된 정보가 아니다"라며 "그렇다면 원고에 대한 과징금을 산정하기 위한 관련 매출액도 해당 개인정보 데이터베이스를 보유·관리하는 서비스인 이 사건 쇼핑몰 서비스 전체의 매출액으로 봐야 한다"고 밝혔다.

이어 "원고에 대해 부과돼야 하는 과징금의 관련 매출액이 이 사건 이벤트로 인한 매출액에 국한된다고 본 원심판단에는 정보통신망법에서 정한 관련 매출액의 해석에 관한 법리를 오해한 잘못이 있다"고 지적했다.

재판부는 "이 사건 과징금액이 관련 규정에서 정한 상한을 초과하지 않는 범위 내에서 산정됐고 원고의 매출액이 비교적 크다는 사정 등을 모두 감안한다 하더라도, 이 사건 과징금액은 제재적 성격이 지나치게 강조돼 위반행위의 위법성의 정도에 비해 과중하게 산정됐다고 볼 수 있다"고 덧붙였다.

다만 재판부는 "개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려해 정해야 한다"라며 "과징금의 액수가 위반행위의 내용에 비해 과중해 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 처분은 재량권을 일탈·남용해 위법하다고 봐야 한다"고 밝혔다.

이어 "따라서 원심이 이 사건 과징금의 관련 매출액을 이 사건 이벤트로 인한 매출액으로 국한해야 한다고 판단한 것은 잘못이지만, 이 사건 과징금 처분에 재량권을 일탈·남용한 잘못이 있다고 본 원심의 결론은 정당하다"고 상고를 기각한 이유를 밝혔다.

대법원 관계자는 "개인정보 유출사고로 인한 과징금 부과처분에서 과징금 산정의 기준이 되는 '관련 매출액'의 범위, 그리고 과징금의 액수를 산정할 때 고려해야 할 요소를 최초로 명시한 판결"이라고 말했다.

최석진 법조전문기자 csj0404@asiae.co.kr

Copyright © 아시아경제. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
아시아경제에서 직접 확인하세요. 해당 언론사로 이동합니다.