X
최상단배너

‘고객정보 유출’ 위메프, 18억 과징금 취소 소송 최종 승소

구독
박정수 기자I 2023.10.12 11:43:33

2018년 이벤트 진행 중 고객 20명 정보 유출
방통위에 자진 신고…과징금 18억 처분
1심서 과징금 처분 취소…"지나치게 과중"
2심 이어 대법도 상고 기각…"과징금 처분 재량권 남용"

[이데일리 박정수 기자] 20명의 개인정보 유출을 이유로 위메프에 18억원의 과징금 처분을 내린 방송통신위원회의 결정은 위반행위의 위법성 정도에 비해 과중하다는 대법원 판단이 나왔다.

위메프 본사 사옥 전경. (사진=위메프)
12일 대법원 3부(주심 대법관 안철상)는 위메프가 방통위를 상대로 제기한 시정명령 등 처분 취소 소송 상고심 선고기일을 열고 원고 일부 승소(과징금 처분 취소)판결한 원심을 확정했다.

위메프는 2018년 11월 1일 ‘블랙프라이스데이’ 이벤트를 진행하던 중 캐시 정책을 잘못 설정해 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고가 발생했다.

이에 11월 2일 위메프는 방통위에 이 사건 이벤트 페이지에 모바일 웹을 통해 로그인할 경우 다른 사람의 계정으로 로그인됨으로써 특정 페이지(마이페이지, 구매정보)에 접속할 수 있게 돼 20명의 쇼핑몰 이용자의 개인정보가 노출됐다는 내용의 신고를 접수했다.

방통위는 한국인터넷진흥원과 함께 2018년 11월 위메프에 대한 현장조사를 실시했고, 2019년 12월 위메프에 시정명령과 시정명령 이행결과의 보고, 과징금 18억5200만원을 명하는 처분을 내렸다.

방통위는 위메프 전체 매출액을 구 ‘개인정보보호 법규 위반에 대한 과징금 부과기준’ 제4조 제1항에서 정한 관련 매출액으로 보아 과징금을 산정했다. 또 위반행위와 관련된 정보통신서비스의 직전 3개년도의 연평균 매출액의 100분의 3 이하에 해당하는 금액으로 과징금 상한을 정했다.

방통위는 ‘보통 위반행위’의 부과기준율(1000분의 15)로 당초 과징금을 약 53억원을 책정했지만, △3년 내 과징금 처분 사실이 없는 점 △자진신고한 점 등을 감안해 위메프에 18억5200만원의 과징금을 부과하기로 했다.

이에 대해 위메프 측은 과징금 산정의 위법을 주장했다.

위메프 측은 “위반 행위와 시기적으로 무관한 매출액도 관련 매출액에 포함하고 있다”면서 “수백에서 수천만 건의 개인정보가 유출된 다른 사고들에 비해 이 사건 과징금의 액수가 지나치게 과해 비례의 원칙과 평등의 원칙을 위반해 재량권을 일탈·남용한 위법이 있다”고 강조했다.

재판부도 이러한 위메프 측 주장에 수긍, 1심에서 위메프가 일부 승소했다.

1심 재판부는 “과징금을 부과하기 위해서는 위반행위의 내용과 정도, 기간과 횟수 등을 고려해야 하는데 이 사건 사고는 2018년 11월 1일 단 하루 동안 발생했다”며 “또 개인정보가 노출된 이용자들 역시 20명에 불과한 점 등에 비춰 보면, 연매출액을 기준으로 산정한 과징금의 액수는 이 사건 사고의 정도나 피해의 규모에 비해 지나치게 과중하다”고 설명했다.

이어 “원고에게 부과된 이 사건 과징금액은 원고 이외의 다른 정보통신서비스 제공자의 위반행위에 대해 부과된 과징금액과도 균형을 잃은 것으로 봄이 상당하다”며 “처분 내역 중 시정명령 처분은 적법하고, 과징금 처분은 비례의 원칙에 어긋나 위법하므로 취소돼야 한다”고 판시했다.

2심 재판부도 “과징금 처분이 ‘이 사건 이벤트로 인한 매출액’이 아닌 ‘이 사건 쇼핑몰 전체의 연매출액’을 기준으로 해 과징금을 산정한 것은 과도하다”며 “개인정보의 유출 규모뿐만 아니라 사고 발생의 경위, 사고의 원인이 될 수 있는 정책이 적용된 기간 등을 종합적으로 고려해 보더라도 균형을 잃은 것으로 보인다”고 지적했다.

대법원(사진=이데일리 노진환 기자)
대법원도 과징금액은 제재적 성격이 지나치게 강조돼 위반행위의 위법성의 정도에 비해 과중하게 산정됐다며 상고를 기각했다. 다만 과징금 관련 매출액이 이 사건 이벤트로 인한 매출액에 국한된다고 본 원심판단에는 구 정보통신망법 제64조의3 제1항 등에서 정한 관련 매출액의 해석에 관한 법리를 오해한 잘못이 있다고 봤다.

대법원은 “개인정보는 이 사건 쇼핑몰 서비스의 전체적인 운영을 위해 수집·관리되는 정보이고, 이 사건 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수집·관리된 정보가 아니다”며 “그렇다면 원고에 대한 과징금을 산정하기 위한 관련 매출액도 해당 개인정보 데이터베이스를 보유·관리하는 서비스인 이 사건 쇼핑몰 서비스 전체의 매출액으로 봐야 한다”고 설명했다.

이어 “원심이 이 사건 과징금 관련 매출액을 이 사건 이벤트로 인한 매출액으로 국한해야 한다고 판단한 것은 잘못이지만, 이 사건 과징금 처분에 재량권을 일탈·남용한 잘못이 있다고 본 원심의 결론은 정당하다”고 판시했다.

한편 이번 판결에 대해 대법원은 “개인정보 유출사고로 인한 과징금 부과처분에서 과징금 산정의 기준이 되는 ‘관련 매출액’의 범위, 그리고 과징금의 액수를 산정할 때 고려해야 할 요소를 최초로 명시했다”고 전했다.

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지

댓글