고객 20명의 개인정보를 유출했다가 18억여원의 과징금을 부과받은 온라인 쇼핑몰 위메프가 과징금을 취소해달라며 낸 행정소송에서 최종 승소했다.

대법원 3부(주심 안철상 대법관)는 12일 위메프가 개인정보보호위원회를 상대로 낸 시정명령 등 처분 취소 소송 상고심에서 원고 일부 승소 판결한 원심을 확정했다. 

위메프는 2018년 11월1일 '블랙프라이스데이' 행사를 열고 결제금액의 50%를 포인트로 돌려주는 이벤트를 진행했다. 그런데 이 과정에서 캐시(데이터 임시 저장) 정책을 잘못 설정해 이벤트에 참여한 이용자 20명의 개인정보를 다른 이용자 29명에게 노출시켰다. 

이에 방송통신위원회는 2019년 12월27일 위메프에 과징금 18억5200만원을 부과하고 재발 방지를 위한 시정 명령을 내렸다. 이때 방통위는 과징금을 위메프 쇼핑몰 전체의 연매출액을 기준으로 산정했다. 정보통신망법은 과징금을 '위반행위와 관련된 직전 3개 사업연도의 연평균 매출액'을 기준으로 계산할 것을 규정하고 있다.

그러자 위메프는 "노출 사고의 원인이 된 캐시 정책이 블랙프라이스데이 이벤트에만 적용된 것이므로 '전체 매출액'이 아닌 '이벤트로 인한 매출액'이 기준이 돼야 한다"고 주장하며 소송을 냈다.

1·2심은 위메프 주장을 받아들여 과징금 처분을 취소했다.

대법원 판단은 달랐다. 과징금 부과 기준을 '쇼핑몰 전체의 매출액'으로 봐야 하고 따라서 원심이 과징금 산정의 기준이 되는 관련 매출액의 범위 판단에 법리를 오해한 잘못이 있다고 판단했다.

대법원은 "유출된 개인정보는 쇼핑몰 서비스의 전체적인 운영을 위해 수집·관리되는 정보고 이 사건 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수집·관리된 정보가 아니"라며 "매출액 기준이 되는 서비스의 범위는 유출 사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단해야 한다"고 밝혔다.

다만 대법원은 "이 사건 과징금은 제재적 성격이 지나치게 강조돼 위반행위의 위법성의 정도에 비해 과중하게 산정됐다"며 과징금 처분을 취소하라고 본 결론은 타당하다고 판단했다. 

대법원 관계자는 "개인정보 유출 사고로 인한 과징금 부과 처분에서 과징금 산정의 기준이 되는 관련 매출액의 범위, 과징금의 액수를 산정할 때 고려해야 할 요소를 최초로 명시한 판결"이라고 설명했다.