위메프 ‘개인정보 유출’ 과징금 최종 취소

대법 “과징금 18억5000만원은 과도”
“재량권 일탈·남용했다는 원심은 정당”

대법원 전경 <네이버지도>

개인정보 유출로 18억원대 과징금을 부과받은 온라인 쇼핑몰 위메프가 처분을 취소해달라고 낸 행정소송에서 최종 승소했다. 대법원은 위메프에 부과된 과징금이 사건의 위법성에 비해 과도하게 책정됐다고 지적했다.

대법원 3부(주심 안철상 대법관)는 12일 위메프가 개인정보보호위원회를 상대로 시정명령과 과징금 등을 취소해달라고 낸 소송에서 원고일부승소로 판결한 원심을 확정했다.

2018년 11월1일 위메프가 ‘블랙 프라이스데이’ 이벤트를 진행하는 과정에서 캐시(데이터 임시 저장) 정책을 잘못 설정해 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고가 발생했다. 방송통신위원회는 위메프에 대한 현장조사를 바탕으로 재발 방지를 위한 시정명령과 과징금 18억5200만원을 부과했다

이후 사건은 2020년 개인정보보호법 개정으로 관련 사무가 승계되면서 개인정보위로 이관됐다.

재판의 쟁점은 과징금 산정의 기준이 되는 ‘위반행위와 관련된 매출액’이었다. 당시 정보통신망법은 과징금 산정 시 매출액을 ‘정보통신서비스 제공자 등의 위반행위로 인해 직접 또는 간접적으로 영향을 받는 직전 3개 사업연도의 연평균 매출액’“으로 규정했다.

과징금 부과 당시 방통위는 위메프 쇼핑몰 전체의 연매출액을 기준으로 금액을 계산했다. 하지만 위메프는 문제가 된 캐시 정책 오류가 이벤트 페이지에서만 발생했기 때문에 ‘이벤트로 인한 매출액’이 기준이 돼야 한다고 주장했다.

1·2심은 모두 위메프의 손을 들어줬다. 1심 재판부는 ”이벤트로 인한 매출액이 아닌 이 사건 쇼핑몰 전체의 연매출액을 기준으로 하여 과징금의 액수를 산정하는 것은 이 사건 사고의 정도나 피해의 규모에 비해 과도하다“며 위메프의 손을 들어줬다. 2심도 ”위메프의 ‘위반 행위로 인해 영향을 받는 매출액’은 ‘이벤트로 인한 매출액’으로 한정돼야 한다“며 1심 판결을 유지했다.

대법원은 ‘쇼핑몰 전체 매출액’이 과징금 산정 기준이 돼야 한다며 원심과 판단을 달리했다.

대법원은 위반행위 관련 매출액 산정 시 ”유출사고가 발생한 개인 정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단해야 한다“며 ”개인정보는 쇼핑몰 서비스의 전체적인 운영을 위해 수집·관리되는 정보이고, 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수집·관리된 정보가 아니다“고 설명했다.

다만 대법원은 과징금 취소를 명령한 원심의 결론에 대해선 타당하다는 판단을 내렸다. 과징금 부과 처분이 재량권을 일탈·남용해 위법이란 설명이다.

대법원은 ”과징금의 제재적 성격이 지나치게 강조돼 위반행위의 위법성의 정도에 비해 과중하게 산정됐다“고 지적했다. 이어 ”과징금 처분에 재량권을 일탈·남용한 잘못이 있다고 본 원심의 결론은 정당하다“고 밝혔다.

대법원 관계자는 ”개인정보 유출 사고로 인한 과징금 부과 처분에서 과징금 산정의 기준이 되는 관련 매출액의 범위, 과징금의 액수를 산정할 때 고려해야 할 요소를 최초로 명시한 판결“이라고 밝혔다.