온라인 쇼핑몰 위메프가 고객 20여명의 개인정보를 유출해 받은 18억5200만원 과징금 부과 처분을 취소해 달라고 낸 행정소송에서 최종 승소했다.
대법원 3부(주심 안철상 대법관)는 위메프가 개인정보보호위원회를 상대로 낸 시정명령 등 처분 취소 소송 상고심에서 원심의 원고일부승소 판결을 12일 확정했다.
위메프는 2018년 11월 1일 결제금액의 50%를 포인트로 돌려주는 ‘블랙프라이스데이’ 행사를 진행하면서 캐시(데이터 임시 저장) 정책을 잘못 설정해 행사에 참여한 이용자 20명의 개인정보를 다른 이용자 29명에 노출했다.
방송통신위원회는 현장 조사를 거쳐 2019년 12월 27일 과징금 18억5200만원을 부과하고 재발 방지를 위한 시정 명령을 내렸다.
방통위는 당시 정보통신망법에 따른 과징금 산정 기준 ‘위반행위와 관련된 직전 3개 사업연도의 연평균 매출액’에 따라 쇼핑몰 전체 연매출액을 기준으로 과징금을 계산했다.
위메프는 노출 사고의 원인이 된 캐시 정책이 블랙프라이스데이 행사에만 적용된 것이므로 ‘전체 매출액’이 아닌 ‘행사로 인한 매출액’이 기준이 돼야 한다고 소명했지만 받아들여지지 않았다.
위메프는 방통위 사무 중 개인정보보호 사무를 승계한 개인정보보호위원회를 상대로 과징금 처분 취소 소송을 냈다.
법원은 1·2심 모두 위메프의 주장을 받아들여 과징금 처분을 취소했다. 해당 사안의 피해 정도에 비춰보면 과징금 액수가 과하고 위반 행위와 관련 없는 매출액은 과징금 부과에 고려될 수 없다는 것이다.
대법원은 과징금 부과 기준을 쇼핑몰 전체 매출액으로 보는 게 맞는다고 판단을 뒤집으면서도 “과징금은 제재적 성격이 지나치게 강조돼 위반행위의 위법성 정도에 비해 과중하게 산정됐다”면서 과징금 처분을 취소하라고 본 원심의 결론은 타당하다고 봤다.
방통위는 2015년 온라인 커뮤니티 ‘뽐뿌’ 회원 정보 195만건이 해킹으로 노출된 사고에 1억200만원의 과징금을, 2017년 메가스터디교육 회원 123만명의 개인정보가 노출된 사고에 2억1900만원의 과징금을 부과했다.
대법원 관계자는 “개인정보 유출 사고로 인한 과징금 부과 처분에서 과징금 산정의 기준이 되는 관련 매출액의 범위, 과징금의 액수를 산정할 때 고려해야 할 요소를 최초로 명시한 판결”이라고 밝혔다.