[서울=뉴스핌] 김신영 기자 = 위메프가 방송통신위원회를 상대로 제기한 과징금 취소 소송에서 최종 승소했다.

대법원 3부(주심 안철상 대법관)는 12일 위메프가 방통위를 상대로 제기한 시정명령 등 처분 취소 소송 상고심에서 원고 승소 판결한 원심을 확정했다.

위메프는 2018년 11월 1월 '블랙 프라이스데이' 이벤트를 진행했다. 이벤트를 준비하면서 PC용 웹사이트와 모바일용 웹사이트에 각각 이벤트 페이지를 만들고, 각 페이지에 캐시 정책을 별도로 적용했다.

이 과정에서 위메프는 모바일 웹을 통해 접속 가능한 이벤트 페이지에 적용되는 캐시 정책을 잘못 설정했고, 해당 페이지에 로그인할 경우 다른 사람의 계정으로 로그인돼 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사건이 발생해 위메프는 방통위에 신고를 접수했다.

방통위는 한국인터넷진흥원과 위메프에 대한 현장조사를 실시한 결과 '구 정보통신망법'을 위반해 쇼핑몰 이용자들의 개인정보를 유출했다는 이유로 2019년 12월 과징금 18억 5200만원을 부과했다.

방통위는 위메프의 전체 매출액을 '구 개인정보보호 법규 위반에 대한 과징금 부과기준'이 정한 '관련 매출액'으로 보고 이를 기준으로 과징금을 산정했다.

하지만 위메프는 방통위가 연평균 매출액을 기준으로 과징금을 과도하게 산정했다며 과징금 취소 소송을 제기했다. 이 사건 이벤트로 인해 모바일 웹에서 발생한 매출액 2억8940만원이나 이벤트를 통해 발생한 전체 매출액 27억6507만원을 기준으로 산정돼야 한다고 주장했다.

1심은 위메프의 손을 들어줬다. 1심 재판부는 "이 사건 사고가 2018년 11월 1일 단 하루 동안 발생했고, 사고로 개인정보가 노출된 이용자들 역시 20명에 불과한 점 등에 비추어보면 과징금 액수가 과중하다"고 판단했다.

2심 재판부 또한 "사고의 원인인 캐시 정책의 오류는 이 사건 이벤트 페이지에서만 발생했으므로 위반행위의 영향을 받는 서비스 매출액은 연매출액이 아닌 이벤트로 인한 매출액으로 한정돼야 한다"며 1심 판단을 유지했다.

대법원도 상고를 기각하고 원심을 수긍했다. 다만 매출액 산정 기준에 대한 원심의 판단은 잘못됐다고 봤다.

대법원은 "과징금 부과를 위한 매출액을 산정할 때 유출사고가 발생한 개인정보를 보유·관리하는 서비스의 범위를 기준으로 판단해야 한다"며 "원고에 부과하는 과징금의 관련 매출액이 이 사건 이벤트로 인한 매출액에 국한된다고 본 원심판단에는 구 정보통신망법이 정한 관련 매출액의 해석에 관한 법리를 오해한 잘못이 있다"고 지적했다. 

다만 "이 사건 과징금액이 관련 규정에서 정한 상한을 초과하지 않는 범위에서 산정되었고 원고의 매출액이 비교적 크다는 사정 등을 모두 감안하더라도, 제재적 성격이 지나치게 강조돼 위반행위의 위법성의 정도에 비해 과중하게 산정됐다"고 봤다.

그러면서 "개인정보 보호조치 의무 위반에 대해 부과되는 과징금은 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려해 정해야 한다"고 말했다. 

대법원 관계자는 "이번 판결은 개인정보 유출사고로 인한 과징금 부과처분에서 과징금 산정의 기준이 되는 '관련 매출액'의 범위, 그리고 과징금의 액수를 산정할 때 고려해야 할 요소를 최초로 명시했다"고 설명했다.

sykim@newspim.com