'블랙프라이스데이' 이벤트 진행 과정에서 이용자 20명의 개인정보 유출을 이유로 시정명령과 18억 5,200만원의 과징금 부과처분을 받은 위메프가 개인정보보호위원회를 상대로 소송을 내 과징금 부과처분 취소 판결을 받았다.
대법원 제3부(주심 안철상 대법관)는 10월 12일 위메프가 낸 소송의 상고심(2022두68923)에서 "위반행위의 위법성의 정도에 비해 과징금이 과중하게 산정되었다"며 "과징금 부과처분을 취소하라"고 판결한 원심을 확정했다. 시정명령에 대한 취소 청구는 1심부터 기각되어 시정명령이 그대로 유지되었다.
위메프는 2018년 11월 1일 특정 항목의 상품을 10만원 이상 구매하는 고객에 대해 50% 적립이용권을 배포하는 '블랙프라이스데이' 이벤트를 진행하면서 캐시(데이터 임시 저장) 정책을 잘못 설정해 이벤트에 참여한 이용자 20명의 개인정보를 다른 이용자 29명에게 노출하는 사고를 냈다.
이에 개인정보보호위원회가 위메프에 시정명령과 과징금 18억 5,200만원의 부과처분을 하자 위메프가 소송을 냈다. 개인정보보호위원회는 위메프 쇼핑몰의 전체 매출액을 구 「개인정보보호 법규 위반에 대한 과징금 부과기준」에서 정한 '관련 매출액'으로 보아 이를 기준으로 과징금을 산정했다.
1심과 항소심 재판부는 "이 사건 사고의 원인인 캐시 설정의 오류는 블랙프라이스데이 이벤트 페이지에서만 발생하였으므로, 원고의 '위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스'의 매출액은 '위메프 쇼핑몰 전체의 연매출액'이 아닌 '블랙프라이스데이 이벤트로 인한 매출액'으로 한정되어야 한다"며 과징금 부과처분을 취소하라고 판결했다.
그러나 개인정보보호위원회의 상고로 열린 상소심에서, 대법원은 과징금 부과 기준을 '쇼핑몰 전체의 매출액'으로 보는 게 맞다고 원심 판단을 뒤집었다.
대법원은 "블랙프라이스데이 이벤트 페이지를 통해 유출된 개인정보는 위메프 쇼핑몰 이용자들의 정보가 담긴 데이터베이스에서 유출된 것으로서, 그 개인정보는 위메프 쇼핑몰 서비스의 전체적인 운영을 위해 수집 · 관리되는 정보이고, 블랙프라이스데이 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수집 · 관리된 정보가 아니다"고 지적하고, "그렇다면 원고에 대한 과징금을 산정하기 위한 관련 매출액도 해당 개인정보 데이터베이스를 보유 · 관리하는 서비스인 위메프 쇼핑몰 서비스 전체의 매출액으로 보아야 한다"고 밝혔다. 대법원은 "블랙프라이스데이 이벤트 페이지로부터 개인정보 데이터베이스에 접근할 수 있는 경로가 위메프 쇼핑몰 웹사이트에서의 접근경로와 다르다는 사정만으로 관련 매출액이 블랙프라이스데이 이벤트 페이지에서 발생한 매출액으로 한정된다고 볼 수 없다"고 밝혔다.
대법원은 또 "위메프 쇼핑몰 이용자들의 개인정보가 담긴 데이터베이스에 대하여 독립된 접근경로를 가진 웹페이지에서 제공하는 서비스가 위메프 쇼핑몰이 제공하는 서비스와 외견상 구분되는 독자적인 서비스인 경우에는, 해당 서비스에서 발생한 매출액만을 관련 매출액으로 산정할 여지가 있으나, 블랙프라이스데이 이벤트 페이지는 위메프 쇼핑몰과 독립된 서비스를 제공하는 것이 아니라, 위메프 쇼핑몰의 이용자들을 대상으로 위메프 쇼핑몰에서 판매하는 상품에 대한 포인트 적립 혜택을 제공하기 위한 것일 뿐이므로, 위메프 쇼핑몰에서 제공하는 서비스와 구분될 수 없다"고 밝혔다.
대법원은 그러나 "이 사건 과징금액이 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제64조의3, 구 정보통신망법 시행령 제69조의2 제1항, 제4항 [별표 8]에서 정한 방식에 의하여 그 상한을 초과하지 않는 범위 내에서 산정되었고, 원고의 매출액이 비교적 크다는 사정 등을 모두 감안한다 하더라도, 과징금액은 제재적 성격이 지나치게 강조되어 위반행위의 위법성의 정도에 비해 과중하게 산정되었다고 볼 수 있다"며 "따라서 과징금 처분이 비례의 원칙에 반하여 재량권을 일탈 · 남용하였다고 본 원심의 판단은 정당하다"고 밝혔다.
대법원은 이렇게 판단하는 이유로, "사고의 원인이 된 캐시 정책은 2018. 11. 1. 단 하루만 블랙프라이스데이 이벤트 페이지에 적용되었고, 원고는 바로 다음 날인 2018. 11. 2. 방송통신위원회에 이 사건 사고를 신고하였다"며 "즉, 원고가 보호조치 의무를 장기간 위반하였다고 보기 어렵다"고 밝혔다. 또 이 사고로 인해 위메프 쇼핑몰 회원 20명의 이름, 이메일 주소, 휴대폰 번호, 배송지 주소 등이 노출되었으나, 주민등록번호, 비밀번호 등은 노출되지 않았고, 사고가 담당 직원의 단순한 실수를 넘어 구조적인 문제로 인하여 발생하였다고 볼 만한 자료도 없다고 밝혔다. 대법원은 "사고로 인해 유출된 20명의 개인정보는 29명의 이용자들에게 개별적으로 유출되어 추가 피해의 우려도 비교적 작았던 것으로 보인다"며 "이처럼 담당 직원의 단순한 과실로 비교적 적은 수의 개인정보 유출 사고가 발생한 경우 피고가 이 사건과 같이 거액의 과징금을 부과한 사례를 찾아보기도 어렵다"고 덧붙였다.
김앤장이 1심부터 위메프를 대리했다. 개인정보보호위원회는 법무법인 민후가 대리했다.
리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)
