[개보법 판례 조사] 위메프 개인정보 유출 과징금 소송(행정소송 3심 확정)

(Claude로 요약)

개인정보보호법이 아닌 정보통신망법 적용 사건이라 애매한듯....?

1. 사건 개요 

사건 발생	2018년 11월 1~2일 '블랙프라이스데이' 이벤트 중 개인정보 노출
원인	담당 직원이 캐시(Cache) 정책을 잘못 설정 → 로그인 시 타인 개인정보 노출 (시스템 해킹 없음)
유출 규모	이용자 20명의 이름·주소·휴대전화번호 등이 다른 이용자 29명에게 노출
전력	위메프는 2017년에도 유사한 개인정보 노출 사고로 과태료·시정명령 처분을 받은 전력 있음

 

2. 적용 법률

 

※ 이 사건은 사고 발생 당시 법인 구 정보통신망법이 적용됩니다. 2020년 8월 관련 조항이 개인정보보호법으로 이관됐으나, 법 적용은 사고 당시 시행 법률 기준.

처분 근거	구 정보통신망법 제64조의3 제1항 제6호, 제28조 제1항
위반 행위	기술적·관리적 보호조치 기준 제4조 제9항 위반 (임시 저장 페이지 등에 개인정보 사용 금지 위반)
처분 기관	방송통신위원회 (2020년 이후 동종 사건은 개인정보보호위원회 관할)

 

3. 행정처분

 

처분일	2019년 11월 22일 (방통위 제57차 전체회의 의결)
과징금	18억 5,200만 원 (당초 상한 50억 9,000만 원에서 자진신고·조사협력·3년내 전력 없음 감안하여 감액)
과태료	1,000만 원
시정명령	재발방지 대책 수립 및 시행
위메프 주장	직원 단순 과실, 소규모(20명) 유출에 18억 과징금은 비례원칙 위반이며 과도하다고 반발

 

4. 행정소송 (3심 경과)

심급	사건번호	선고일	결과
1심	서울행정법원 2020구합59628	2021.11.12	위메프 일부승소 — 과징금 취소, 시정명령 유지
2심	서울고등법원 2021누73975	2022.11.18	1심 유지 (일부승소)
3심(대법원)	대법원 2022두68923	2023.10.12	상고기각 → 위메프 최종 확정 (상고비용 피고 부담)

 

▶ 모든 심급에서 시정명령은 적법, 과징금은 비례원칙(재량권 일탈·남용) 위반으로 취소 확정

 

대법원 주요 판시 (2개 쟁점 최초 명시)

•      [쟁점 1] 관련 매출액 범위 — 과징금 산정의 기초가 되는 매출액은 위반행위로 증가한 이득이 아니라, 보호조치 없이 개인정보를 영업에 활용함으로써 얻은 이득 기준. 따라서 '유출된 개인정보를 보유·관리하는 서비스 전체'를 기준으로 산정해야 함 (2심이 이벤트 매출만으로 좁게 본 것은 법리 오해)

•      [쟁점 2] 재량권 기준 — 과징금 액수는 위반행위의 원인·유형, 유출 규모, 조치의무 이행 정도, 유사 사례의 과징금 수준 등을 종합 고려해야 하며, 위반행위에 비해 현저히 과중한 경우 재량권 일탈·남용으로 위법

 

5. 학술·실무적 의의

• 개인정보 보호조치 위반 과징금 산정에 관한 최초의 대법원 판결 — 이후 카카오(2026), 골프존(2024) 등 후속 사건에서 관련 매출액 범위와 재량권 일탈·남용의 기준 판례로 반복 인용됨

• 현행 개인정보보호법에서도 동일한 과징금 산정 구조가 유지되므로 이 판결의 법리는 현재도 유효함

• 단순 직원 과실 + 소규모 유출(20명) 사안에 18억 과징금 부과는 비례원칙 위반 — 규모·경위에 비례한 제재의 필요성을 법원이 처음 명확히 선언

 

판결 출처

국가법령정보센터: https://www.law.go.kr/LSW/precInfoP.do?precSeq=237875

빅케이스: https://bigcase.ai/cases/대법원/2022두68923