전문가칼럼

[기업법률리그 37] 위메프 사건 1, 2, 3심 판결을 통해 확인된 개인정보 관련 법리의 정리

최주선

최주선 변호사. [ⓒ 법무법인 민후]
최주선 변호사. [ⓒ 법무법인 민후]

[법무법인 민후 최주선 변호사] 대법원은 2023. 10. 12. 선고한 2022두68923 판결에서, 위메프 블랙프라이스데이 이벤트(이하 ‘이 사건 이벤트’) 당시 직원의 실수로 캐시 정책이 잘못 설정되어 이용자 20명의 개인정보가 다른 이용자 29명에게 노출된 사안과 관련하여, 개인정보보호법제 위반시의 과징금 산정 기준 및 고려 요소에 대해, 최초로 명시적인 판단을 했다.

그런데 이 사건의 경우 심급별로 유의미한 법리의 확인이 있었기에, 이를 모두 살펴볼 필요가 있다.

[1심 판결(서울행정법원 2020구합59628): 구 개인정보의 기술적∙관리적 보호조치 기준 제4조 제9항이 정한 보호조치의 내용에 대한 대법원 최신 판결을 캐시 정책 설정 오류에 적용]

구 개인정보의 기술적∙관리적 보호조치 기준 제4조 제9항은 “정보통신서비스 제공자 등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 <조치>를 취하여야 한다.”는 규정이다.

2021. 8. 19. 대법원은 KT 개인정보 유출 사건에서 위 <조치>의 내용은 “정보통신서비스 제공자 등이 취급 중인 개인정보가 인터넷 홈페이지 등에 대한 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 취하여야 할 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치”라고 최초로 명시적인 판결을 했다(대법원 2018두56404).

그런데 마침 위메프 사건 1심이 그 직후인 2021. 8. 27. 변론종결되었으며, 이 사건에서도 캐시 정책 설정 오류가 위 제4조 제9항 <조치>의무 위반에 해당하느냐가 쟁점이었고, 1심 법원은 위 대법원 판결을 반영해 아래와 같이 판시했다.

즉 직원이 실수로 캐시 정책을 잘못 설정하여 개인정보가 유출되도록 설정하고 이에 대해 검증 등 확인이 이루어지지 않은 점에 대해 과실을 인정하고 위 제4조 제9항 위반에 해당한다고 판단하여, 시정명령 처분이 적법하다고 했고 이는 확정되었다.

현재 시행되고 있는 개인정보의 안전성 확보조치 기준 제6조 제3항은 위 제4조 제9항과 거의 유사한 내용을 유지하면서 수범자는 모든 개인정보처리자로 확장했다. 때문에, 위 제4조 제9항에 대한 대법원 판결 및 위메프 사건 1심 판결의 판단 내용은 앞으로도 계속 참조할 필요가 있다.

[2심 판결(서울고등법원 2021누73975): ‘관련성’은 불확정개념으로 하위 규범이 구체화할 수 있고, 법률이 정한 ‘관련매출액’을 시행령과 고시가 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업년도의 연평균 매출액’으로 구체화한 것이 위법하지 않다고 판단]

개인정보보호법제는 과징금을 부과할 때 기준이 되는 ‘관련매출액’을 시행령과 고시가 구체화할 때에, 다른 법률과 달리, 위반행위와 직접적으로 관련이 있는 매출액이 아니라 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 <서비스>의 직전 3개 사업년도의 <연평균 매출액>’으로 구체화하고 있다.

위메프 사건 2심에서는 이에 대해 처음으로 ‘시행령과 고시가 법률의 위임 범위를 벗어나 위법하다’는 주장이 명시적으로 제기되었고, 이에 따라 법원의 명시적인 판단도 요구되었다.

그런데 마침 2022. 5. 26. 위 관련매출액에 대한 헌법재판소의 2020헌바259 결정이 있었고, 위메프 사건 2심은 2022. 9. 30. 변론종결되었기에, 2심 법원은 위 헌법재판소 결정을 반영하여 위 시행령과 고시는 모두 법률의 위임 범위를 벗어나지 않았다고 판시했다.

특히 2심 판결은 ‘위반행위와 관련한 매출액’의 ‘관련성’ 부분은 불확정개념으로서 하위 규범에서 이를 구체화하도록 위임하는 것은 자연스러우므로 시행령이 ‘관련성’ 개념의 한계를 벗어났음이 명백하지 않은 이상 그러한 시행령이 무효라고 보기 어렵다고 했다.

또한 헌법재판소의 판시를 인용하면서, 개인정보보호법제에서의 ‘관련매출액’은 ‘위반행위와 관련한 서비스 분야의 일반적인 경제적 능력’을 반영하는 것으로서 ‘해당 서비스의 연매출’을 기준으로 하는 것이고, ‘위반행위의 기간’은 과징금 부과시 여러 고려요소 중 하나이기 때문에 위반행위의 기간이 짧은 경우까지도 ‘직전 3개 사업연도’의 연평균 매출액을 기초로 과징금을 부과하도록 정했더라도 법률의 위임 범위를 벗어나지 않는다고도 했다.

한편 현행 개인정보보호법은 ‘관련매출액’을 산정하는 것이 아니라 전체매출액에서 ‘위반행위와 관련이 없는 매출액’을 제외하게 하고 있다. 그러나 시행령은 이러한 ‘관련이 없는 매출액’을 ‘개인정보의 처리와 관련이 없는 재화 또는 서비스의 매출액’ 또는 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 재화 또는 서비스의 매출액이 아닌 것’으로 구체화하였고, 위 전체매출액 역시 ‘직전 3개 사업연도의 연평균 매출액’으로 구체화했기 때문에, 위메프 사건 2심 판결 역시 향후에도 참고할 수 있을 것으로 보인다.

[대법원 판결: ①관련매출액 산정의 기준이 되는 <서비스> 범위와 ②과징금 부과시의 재량권에 대해 최초로 명시적으로 판시]

위메프 사건의 2심 판결은 시행령과 고시가 관련매출액을 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 <서비스>의 직전 3개 사업년도의 <연평균 매출액>’으로 구체화한 것이 적법하다고 하면서도, 위 <서비스> 범위를 ‘이 사건 이벤트’로 한정해야 한다고 판단했다. 이 사건 쇼핑몰 홈페이지의 웹서버와 이 사건 이벤트 페이지의 웹서버가 서로 분리 운영되었고, 이에 따라 개인정보가 보관된 데이터베이스에 대한 접근경로에도 차이가 있었는데, 이 사건 사고의 원인인 캐시 설정 오류는 이 사건 이벤트 페이지에서만 발생했다는 게 그 이유였다.

그러나 대법원은 이에 대해 아래와 같이 판단하였다.

다만 대법원은 이 사건의 경우 단 하루, 직원의 단순 실수로, 20명의 개인정보가 29명의 다른 이용자에게 개별적으로 유출되어 추가 피해 우려가 매우 작았다는 점, 그리고 위반 정도가 경미할 경우 과징금 부과를 시정조치 명령으로 갈음할 수 있고 현행 규정이 과징금 면제사유를 규정한 부분 등을 고려하여, 이 사건 과징금은 위반행위의 위법성 정도에 비해 과중하여 재량권을 일탈·남용했다고 보았다.

대법원의 판시 취지를 전체적으로 종합하면, 관련매출액 산정시 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 <서비스>의 범위는 <문제의 개인정보를 보유∙관리하고 있는 서비스>의 범위를 기준으로 판단하여야 하는 게 맞고, 다만 경미한 위반사안에 대하여 과중한 과징금이 부과되지 않도록 과징금 부과 여부 자체 등 재량권을 적절히 행사하라는 취지로 이해함이 적절해 보인다.

그리고 대법원이 이번 판시를 위해 고려한 제반 사항들은 현행법에서도 모두 유사하게 규정하고 있기 때문에, 위 대법원의 판시는 앞으로도 동일하게 참고할 수 있을 것이다.

<최주선 변호사> 법무법인 민후

<기고와 칼럼은 본지 편집방향과 무관합니다.>

디지털데일리가 직접 편집한 뉴스 채널