SBS Biz

고객 20명의 개인정보를 유출한 위메프에 18억여원의 과징금을 부과한 처분이 대법원에서 취소됐습니다.

대법원 3부는 위메프가 개인정보보호위원회를 상대로 낸 시정명령 등 처분 취소 소송 상고심에서 원심의 원고일부승소 판결을 오늘(12일) 확정했습니다.

위메프는 2018년 11월 1일 결제금액의 50%를 포인트로 돌려주는 '블랙프라이스데이' 행사를 진행하면서 캐시(데이터 임시 저장) 정책을 잘못 설정해 이벤트에 참여한 이용자 20명의 개인정보를 다른 이용자 29명에게 노출하는 사고를 냈습니다.

방송통신위원회는 현장 조사를 거쳐 2019년 12월 과징금 18억5천200만원을 부과하고 재발 방지를 위한 시정 명령을 내렸습니다.

당시 정보통신망법에 따른 과징금 산정 기준은 '위반행위와 관련된 직전 3개 사업연도의 연평균 매출액'이었으며, 방통위는 이에 따라 위메프 쇼핑몰 전체의 연매출액을 기준으로 과징금을 계산했습니다.

위메프는 노출 사고의 원인이 된 캐시 정책이 블랙프라이스데이 이벤트에만 적용된 것이므로 '전체 매출액'이 아닌 '이벤트로 인한 매출액'이 기준이 돼야 한다고 소명했지만 받아들여지지 않자 소송을 냈습니다.

법원은 1·2심 모두 위메프의 주장을 받아들여 과징금 처분을 취소했습니다.

상고심에서 대법원은 과징금 부과 기준을 '쇼핑몰 전체의 매출액'으로 보는 게 맞다고 판단을 뒤집었습니다.

대법원은 "유출된 개인정보는 쇼핑몰 서비스의 전체적인 운영을 위해 수집·관리되는 정보이고 이 사건 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수집·관리된 정보가 아니"라며 "(매출액 기준이 되는) 서비스의 범위는 유출 사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단해야 한다"고 밝혔습니다.

대법원은 다만 원심판결에 법리를 오해한 잘못이 있지만 과징금 처분을 취소하라고 본 결론은 타당하다고 봤습니다.

대법원은 "이 사건 과징금은 제재적 성격이 지나치게 강조돼 위반행위의 위법성의 정도에 비해 과중하게 산정됐다"고 지적했습니다.

실제로 방통위는 2015년 온라인 커뮤니티 '뽐뿌' 회원 정보 195만건이 해킹으로 노출된 사고에 1억200만원의 과징금을, 2017년 메가스터디교육 회원 123만명의 개인정보가 노출된 사고에 2억1천900만원의 과징금을 부과했습니다.

대법원 관계자는 "개인정보 유출 사고로 인한 과징금 부과 처분에서 과징금 산정의 기준이 되는 관련 매출액의 범위, 과징금의 액수를 산정할 때 고려해야 할 요소를 최초로 명시한 판결"이라고 밝혔습니다.