2021. 8. 27.

2. 원고의 나머지 청구를 기각한다.

3. 소송비용 중 1/2은 원고가, 나머지는 피고가 각 부담한다.

피고가 2019. 12. 27. 원고에 대하여 한 [별지 1] 처분 내역 기재 각 시정명령 및 과징금 납부명령을 모두 취소한다.

가. 원고는 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제2조 제1항 제2호 에 따른 정보통신서비스 제공자로서, 인터넷 및 모바일 어플리케이션을 통하여 제공되는 온라인 쇼핑몰인 ‘(쇼핑몰 명칭 생략)’(이하 ‘이 사건 쇼핑몰’이라 한다)를 운영하는 회사이다.

나. 원고는 2018. 11. 1. 특정 항목의 상품을 10만 원 이상 구매하는 고객에 대하여 50% 적립이용권을 배포하는 ‘블랙프라이스데이’ 이벤트(이하 ‘이 사건 이벤트’라 한다)를 진행하면서, 일반 웹페이지를 통해 접속할 수 있는 이 사건 쇼핑몰 홈페이지에 주1) 적용되는 캐시 정책과는 별도로 모바일 웹을 통해 접속 가능한 이 사건 이벤트 페이지((홈페이지 주소 2 생략), 이하 ‘이 사건 이벤트 페이지’라 한다)에만 적용되는 캐시 정책(이하 ‘이 사건 캐시 정책’이라 한다) 주2) 을 새로이 배포하였다.

다. 원고는 2018. 11. 2. 방송통신위원회에 이 사건 이벤트 페이지에 모바일 웹을 통해 로그인할 경우 다른 사람의 계정으로 로그인됨으로써 특정 페이지(마이페이지, 구매정보)에 접속할 수 있게 되어 20명의 이 사건 쇼핑몰 이용자의 개인정보가 노출(이하 ‘이 사건 사고’라 한다)되었다는 내용의 신고를 접수하였다.

라. 방송통신위원회(이하 처분의 주체로서 특정할 경우 ‘피고’라 한다) 주3) 는 한국인터넷진흥원과 함께 2018. 11. 14. 원고에 대한 현장조사를 실시한 결과 원고가 아래와 같이 구 정보통신망법 제28조 제1항 제2호 , 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 3. 3. 대통령령 제30509호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라 한다) 제15조 제2항 제5호 , 구 개인정보의 기술적·관리적 보호조치 기준(방송통신위원회고시 제2015-3호, 이하 ‘구 보호조치 기준’이라 한다) 제4조 제9항을 위반하여 이 사건 쇼핑몰 이용자의 개인정보를 유출한 것으로 보고, 2019. 12. 27. 원고에 대하여 구 정보통신망법 제64조 제4항 , 제64조의3 제1항 , 구 정보통신망법 시행령 제69조의2 제1항 , 제4항 관련 [별표 8], 구 개인정보보호 법규 위반에 대한 과징금 부과기준(방송통신위원회고시 제2015-30호, 이하 ‘구 과징금 부과기준’이라 한다) 등에 따라 [별지 1] 처분 내역 기재와 같이 시정명령 및 시정명령 이행결과의 보고(이하 ‘이 사건 각 시정명령’이라 한다), 과징금 18억 5,200만 원(이하 ‘이 사건 과징금’이라 한다) 등을 명하는 처분을 하였다(이하 ‘이 사건 각 시정명령’ 부분을 ‘이 사건 각 시정명령 처분’이라 하고, ‘이 사건 과징금’ 부분을 ‘이 사건 과징금 처분’이라 하며, ‘이 사건 각 시정명령 처분’ 및 ‘이 사건 과징금 처분’을 통칭할 경우 ‘이 사건 각 처분’이라 한다).

Nginx(엔진엑스) 주4)

Fast CGI 주5)

쿠키정보 주6)

(자동로그인 토큰) 주7)

[인정근거] 다툼 없는 사실, 갑 제1, 2, 3, 4호증, 을 제1, 2, 3호증의 각 기재, 변론 전체의 취지

2. 이 사건 각 처분의 적법 여부

가. 원고의 주장

1) 처분사유 부존재

가) 이 사건 사고의 원인이 된 이 사건 캐시 정책은 모바일 ‘웹서버’에 적용된 것인데, ‘웹서버’는 개인정보를 데이터베이스 형태로 저장한 상태에서 이를 관리 및 운용하는 기능이 없어 구 정보통신망법, 구 정보통신망법 시행령에서 규정하는 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 ‘개인정보처리시스템’이라 한다)‘에 해당하지 아니한다. 그럼에도 이 사건 캐시 정책이 적용된 ‘웹서버’가 구 보호조치 기준에 따라 보호조치의 대상이 되는 ‘개인정보처리시스템’에 해당함을 전제로 한 이 사건 각 처분은 위법하다.

나) 구 보호조치 기준 제4조 제9항은 같은 조 제1항 내지 제8항과 달리 개인정보 침해 등의 결과가 발생하지 않도록 하기 위한 구체적인 행위를 규정하고 있지 아니한 채 결과방지의무와 같은 추상적인 형식으로 조치의무를 부과하고 있는 일종의 백지 처벌 규정 혹은 백지 제재 조항에 해당하는바, 구 보호조치 기준 제4조 제9항을 위반하였음을 이유로 이 사건 각 처분을 하는 것은 구체적인 조치의무 위반에 대한 평가 없이 원고에게 결과책임을 묻는 것으로서 부당하다.

다) 원고는 그 동안 개인정보가 유·노출되는 사고를 방지하기 위해 구 정보통신망법 제28조 및 구 보호조치 기준 등에서 요구하는 필요한 조치를 모두 이행하여 왔을 뿐만 아니라, 이 사건 사고의 발생 가능성을 사전에 예견하고 이를 방지하는 것은 사실상 불가능하였다.

2) 이 사건 과징금 산정의 위법

가) 구 정보통신망법 제64조의3 제1항 에서는 ‘위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.’고 규정하고 있을 뿐 ‘위반행위와 관련한 매출액’의 범위에 대하여 시행령 등 하위 법령에 위임하고 있지 아니함에도 구 정보통신망법 시행령 제69조의2 제1항 본문은 ‘위반행위와 관련한 매출액이란 해당 정보통신서비스 제공자등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액을 말한다.’고 일률적으로 규정함으로써 위반행위와 시기적으로 무관한 매출액도 관련 매출액에 포함하고 있는바, 이 사건 과징금 처분의 근거 법령인 구 정보통신망법 시행령 제69조의2 제1항 은 법률의 위임이 없거나, 법률의 위임 범위를 벗어나 법률유보원칙을 위반한 위법·무효인 규정이다.

나) 구 정보통신망법 시행령 제69조의2 제1항 및 구 과징금 부과기준 제4조의 규정에 의하더라도, 이 사건 사고의 내용이나 경위 등에 비추어 보면, 위반행위(이 사건 사고)와 직접 또는 간접적으로 영향을 받는 정보통신서비스의 범위는 이 사건 이벤트의 모바일 웹 서비스 부분으로 한정되어야 하는데, 이 사건 이벤트의 모바일 웹 서비스 부분만의 매출액은 산정하기 곤란하므로, 구 정보통신망법 제64조의3 제2항 단서에 따라 정액과징금이 부과되어야 한다. 그렇지 않다고 하더라도 과징금 부과기준이 되는 ‘위반행위와 관련된 매출액’(이하 ‘관련 매출액’이라 한다)은 이 사건 이벤트가 실시된 2018. 11. 1. 하루 동안 모바일 웹 서비스 부분에서 발행한 매출액인 208,940,210원이나, 2018. 11. 1. 이 사건 이벤트를 통해 발생한 전체 매출액(모바일 웹, 모바일 앱, PC 웹)인 2,765,073,510원을 기준으로 산정되어야 한다.

다) 이 사건 사고를 통해 유출된 개인정보의 이용자도 20명에 불과하였을 뿐만 아니라 이 사건 이벤트의 모바일 웹 서비스에 한정된 사고였고, 극히 이례적인 상황에서 개인정보 유출이 이루어진 점, 유출된 개인정보 내용도 이름, 연락처, 주소 및 이메일 주소에 한정되었던 점, 이 사건 쇼핑몰 이용자의 서비스 이용 상황에서 연결오류로 인해 발생한 사고로서 1대1 구조로만 개인정보가 유출된 점, 수백에서 수천만 건의 개인정보가 유출된 다른 사고들에 비하여 이 사건 과징금의 액수가 지나치게 다액인 점 등에 비추어 보면, 이 사건 과징금 처분에는 비례의 원칙 및 평등의 원칙을 위반하여 재량권을 일탈·남용한 위법이 있다.

나. 관계 법령

[별지 2] ‘관계 법령’ 기재와 같다.

다. 판단

1) 인정사실

앞서 본 증거들에 갑 제8, 9, 10, 17, 18호증의 각 기재에 의하면, 다음과 같은 사실이 인정된다.

가) 이 사건 각 처분과정에서 작성된 2019년 제57차 방송통신위원회 심의·의결서의 주요 내용은 아래와 같다.

나) 방송통신위원회와 한국인터넷진흥원에서 2017. 12. 발간한 개인정보의 기술적·관리적 보호조치 기준 해설서(이하 ‘이 사건 보호조치 기준 해설서’라 한다) 중 이 사건과 관련된 주요 내용은 아래와 같다.

다) 이 사건 이벤트를 통한 2018. 11. 1. 원고의 매출액(위탁판매+직매입, 이하 같다)은 모바일 앱 2,093,910,609원, 모바일 웹 208,940,210원, PC 웹 462,222,691원 합계 2,765,073,510원이고, 2018. 11. 2. 원고의 매출액은 모바일 앱 1,075,787,421원, 모바일 웹 162,637,664원, PC 웹 273,847,232원 합계 1,512,272,317원으로서, 양일간 원고가 올린 매출액은 총 4,277,345,827원이다.

라) 이 사건 사고는 ‘① 자동로그인 기능을 사용하는 이용자 갑이 모바일 웹으로 이 사건 이벤트 페이지 접속 ⇨ ② 이 사건 캐시 정책에 따라 이용자 갑의 웹 페이지 정보와 자동로그인 토큰이 캐시(웹서버)에 저장 ⇨ ③ 자동로그인 기능을 사용하는 이용자 을이 이용자 갑 접속 후 특정 시간(캐시 저장 후 1분) 내 모바일 웹으로 이 사건 이벤트 페이지 접속 ⇨ ④ 이용자 을에게 이용자 갑의 웹 페이지 정보와 자동로그인 토큰 전달 ⇨ ⑤ 이용자 을이 웹 브라우저 종료 후 ‘모바일용 (쇼핑몰 명칭 생략) 웹’ 페이지(홈페이지 주소 3 생략)로 접속 시 이용자 갑의 자동로그인 토큰으로 인해 이용자 갑으로 로그인된 웹 페이지가 이용자 을에게 전달 ⇨ ⑥ 이용자 을이 특정 페이지(마이페이지, 구매정보)를 검색할 경우 이용자 갑의 이름, 이메일, 휴대폰번호, 배송지 주소 열람’ 등의 과정을 통해 발생하였다.

2) 처분사유 부존재 주장에 대한 판단

가) ‘웹서버’가 구 보호조치 기준에 따라 보호조치의 대상이 되는 ‘개인정보처리시스템’에 해당하는지 여부

(1) 관련 법령의 내용

구 정보통신망법 제2조 제1항 제6호 는 ‘개인정보란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.’고 규정하면서, 구 정보통신망법 제25조 제1항 에서는 ‘개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위’를 ‘개인정보의 처리’로 정의하고 있다. 그리고 구 정보통신망법 시행령 제15조 제2항 제1호 및 구 보호조치 기준 제2조 제4호에서는 ‘개인정보처리시스템’을 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’이라고 정의하고 있다.

(2) 구체적 판단

위 각 인정사실 및 앞서 본 증거들에 의하여 드러나는 다음과 같은 사정들을 위 관련 법령의 내용에 비추어 살펴보면, 이 사건 캐시 정책이 이루어진 ‘웹서버’ 역시 개인정보처리가 이루어지는 시스템 즉, 개인정보처리시스템에 해당한다고 봄이 상당하다. 따라서 원고의 이 부분 주장은 이유 없다.

㉠ 위와 같은 ‘개인정보’ 및 ‘개인정보의 처리’의 정의 규정 및 구 정보통신망법 시행령 제15조 제2항 제1호 및 구 보호조치 기준 제2조 제4호에서 규정하는 ‘개인정보처리시스템’의 의미에다가, 구 보호조치 기준 제4조 제9항은 내·외부적 요인으로 인해 개인정보가 외부로 유출되는 사고를 방지하기 위한 목적으로 제정된 점을 아울러 고려하면, 구 보호조치 기준 제4조 제9항에서 의미하는 ‘개인정보처리시스템’이란 개인정보의 생성, 기록, 저장, 검색, 이용과정 등 데이터베이스 관리시스템(DBMS) 및 응용프로그램 전체를 의미하는 것으로, 데이터베이스(DB)와 연결되어 개인정보의 처리 과정에 관여하는 ‘웹서버’도 포함하는 개념으로 보아야 한다.

㉡ 실제로 이용자에 대한 개인정보의 출력은 ‘웹서버의 웹 어플리케이션을 통한 데이터베이스서버의 개인정보 요청 → 데이터베이스서버의 웹 어플리케이션을 통한 개인정보의 웹서버 제공 → 웹서버로 전송된 개인정보의 화면 출력’의 단계로 이루어지는 점, 이용자 개인정보의 제공·수집이나 개인정보의 제공 역시 웹서버 전송을 통하여 이루어지는 등 이용자 개인정보의 처리를 위하여는 웹서버, 웹 어플리케이션, 데이터베이스서버가 모두 필요한 점, 개인정보에 대한 불법적인 접근의 유형은 데이터베이스서버에 바로 침입하는 유형에 의해서만 이루어지는 것은 아닌 점 등에 비추어 보더라도, 데이터베이스(DB)서버만을 개인정보처리시스템이라고 해석하기 어렵다.

㉢ 이 사건 보호조치 기준 해설서에서도 ‘개인정보처리시스템에는 개인정보가 저장되는 데이터베이스(DB), 데이터베이스를 생성하고 관리하는 데이터베이스 관리시스템(DBMS), 데이터베이스를 용이하게 이용하는데 필요한 응용프로그램 등 데이터베이스시스템 구성요소가 모두 포함된다’고 설명하면서, 응용프로그램(WEB서버, WAS 등) 등이 데이터베이스의 개인정보를 처리할 수 있도록 구성한 경우 개인정보처리시스템에 포함되는 것으로 예시하고 있는 점, 2012. 9. 발간된 「개인정보의 기술적·관리적 보호조치 기준 해설서」에서도 ‘일반적으로 체계적인 데이터 처리를 위해 DBMS(Database Management System)를 사용하고 있으나, 이용자의 개인정보 보관·처리를 위해 파일처리시스템 등을 구성한 경우 개인정보처리시스템에 포함시키는 것이 타당하다’고 설명하고 있다.

나) 보호조치의무 위반이 구체적으로 특정되지 아니하였는지 여부

(1) 관련 법령의 내용

구 정보통신망법 제28조 제1항 은 ‘정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.’고 규정하면서, 제2호 로 ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영’을 규정하고 있고, 그 위임에 따른 구 정보통신망법 시행령 제15조 는 제2항 에서 정보통신서비스 제공자 등이 개인정보에 대한 불법적인 접근을 차단하기 위하여 취해야 할 조치로서, 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 ‘개인정보처리시스템’이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행( 제1호 ), 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영( 제2호 ), 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치( 제5호 ) 등을 열거하면서, 제6항 으로 ‘방송통신위원회는 제1항 부터 제5항 까지의 규정에 따른 사항과 법 제28조 제1항 제6호 에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.’고 규정하고 있다. 그리고 위 제6항 의 위임에 따른 구 보호조치 기준은 제1조에서 ‘ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조 제1항 및 같은 법 시행령 제15조 제6항 에 따라 정보통신서비스 제공자 등이 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조·훼손 등이 되지 아니하도록 안전성을 확보하기 위하여 취하여야 하는 기술적·관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다.’고 하면서, 구 보호조치 기준 제4조 제9항으로 ‘정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.’고 규정하고 있다.

(2) 구체적 판단

위 관련 법령의 내용에다가 위 각 인정사실 및 앞서 본 증거들에 의하여 드러나는 다음과 같은 사정들, 즉, ㉠ 개인정보에 대한 접근통제를 위하여 필요한 조치나 개인정보가 외부에 유출되지 않도록 취하여야 하는 조치 등은 그 유형이나 종류가 광범위하여 해당 법령이나 구 보호조치 기준에서는 다소 개략적으로 그에 대한 보호조치의무를 규정하는 것이 불가피한 점, ㉡ 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있는 점, ㉢ 이 사건 보호조치 기준 해설서에서도 ‘홈페이지 설계·구현 오류로 인한 개인정보 유·노출 사고’를 개인정보 보호조치의무의 위반사례로 설명하고 있는 점 등에 비추어 보면, 구 보호조치 기준 제4조 제9항이 구체적인 조치의무를 규정하지 아니한 채 사실상 결과책임을 부과하는 규정이라거나, 피고가 구체적인 개인정보 보호조치의무 위반의 내용을 특정하지 아니한 채 이 사건 각 처분을 한 것으로 보기 어렵다. 따라서 원고의 이 부분 주장 역시 받아들일 수 없다.

다) 이 사건 사고에 대한 원고의 책임이 존재하지 아니하는지 여부

이 사건 사고는 이 사건 이벤트를 운영하기 위해 이 사건 이벤트 페이지를 새롭게 제작하는 과정에서 원고 소속 직원의 설계 오류 및 캐시 설정 변경에 대한 영향도 미확인 등 원고 측 과실로 인해 발생한 것임은 명백한바, 원고가 그동안 이 사건 쇼핑몰을 운영하면서 개인정보보호 조치를 다하였다는 사정만으로 이 사건 이벤트와 관련된 이 사건 사고에 원고의 책임이 없다고 볼 수 없고, 이 사건 사고의 발생원인 및 경위 등에 비추어 보면 이 사건 사고 발생 가능성을 사전에 방지하는 것이 어려웠다고 볼 수도 없다. 따라서 이 부분 원고의 주장 역시 이유 없다.

3) 이 사건 과징금 처분이 비례의 원칙에 위배되는지 여부에 대한 판단

가) 관련 법령의 규정 및 법리

(1) 구 정보통신망법 제64조의3 제1항 제6호 에서는, 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 경우로서 제28조 제1항 제2호 부터 제5호 까지의 조치를 하지 아니한 경우 해당 정보통신서비스 제공자 등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 규정하면서, 같은 조 제2항 단서에서 ‘매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 4억 원 이하의 과징금을 부과할 수 있다.’고 규정하고 있으며, 같은 조 제3항 각 호 에서는 위반행위의 내용 및 정도( 제1호 ), 위반행위의 기간 및 횟수( 제2호 ), 위반행위로 인하여 취득한 이익의 규모( 제3호 )를 고려하여 제1항 에 따른 과징금을 부과하도록 하면서, 같은 조 제4항 으로 구체적인 산정기준과 산정절차는 대통령령으로 정하도록 규정하고 있다. 그 위임에 따른 구 정보통신망법 시행령 제69조의2 는 제1항 으로 ‘ 법 제64조의3 제1항 각 호 외의 부분 본문에서 ‘위반행위와 관련한 매출액’이란 해당 정보통신서비스 제공자등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액을 말한다.’고 규정하고 있고, 같은 조 제2항 각 호 에서 구 정보통신망법 제64조의3 제2항 단서의 ‘대통령령으로 정하는 경우’를 ‘영업을 개시하지 아니하거나 영업을 중단하는 등의 사유로 영업실적이 없는 경우’( 제1호 ), ‘재해 등으로 인하여 매출액 산정자료가 소멸되거나 훼손되는 등 객관적인 매출액의 산정이 곤란한 경우’( 제2호 )를 들고 있으며, 같은 조 제4항 에서 구 정보통신망법 제64조의3 제4항 에 따른 과징금의 산정기준과 산정절차는 [별표 8] ‘과징금 산정기준과 산정절차’에서 규정하도록 하고 있다. 주8)

(2) 그리고 구 정보통신망법 제64조의3 제4항 , 구 정보통신망법 시행령 제69조의2 제4항 및 [별표 8]에 따른 과징금 부과에 필요한 세부기준을 정하기 위해 제정된 구 과징금 부과기준에서는 과징금을 법 제64조의3 제3항 각 호 에서 정한 참작사유와 이에 영향을 미치는 행위를 고려하여 산정하되, 기준금액에 필수적 가중·감경, 추가적 가중·감경을 거쳐 과징금을 산정하도록 하고 있고(제2조), 관련 매출액은 위반 정보통신서비스 제공자등의 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업년도의 연평균 매출액으로 하도록 하면서(제4조 제1항), 제1항에 따른 관련 매출액 산정시 서비스의 범위는 전기통신사업법 제5조 를 기준으로 판단하되, 구체적인 판단에 있어서는 ‘서비스 제공 방식’(제1호), ‘서비스 가입 방법’(서비스 가입시 온라인 가입인지 오프라인 가입인지 여부 및 하나의 사업자가 수 개의 웹사이트를 운영하는 경우 독립되어 각각 별개의 가입을 요구하는지 여부 등을 의미)(제2호), ‘이용약관에서 규정한 서비스 범위’(제3호), ‘개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식’(제4호)을 고려하여야 한다고 규정하고 있다(제4조 제2항).

(3) 피고는 법 위반행위에 대하여 과징금을 부과할 것인지 여부와 만일 과징금을 부과할 경우 법과 법 시행령이 정하고 있는 일정한 범위 안에서 과징금의 액수를 구체적으로 얼마로 정할 것인지에 관하여 재량을 가지고 있다고 할 것이므로, 피고의 법 위반행위자에 대한 과징금 부과처분은 재량행위라 할 것이고, 다만 이러한 재량을 행사함에 있어 과징금 부과의 기초가 되는 사실을 오인하였거나, 비례·평등의 원칙에 위배하는 등의 사유가 있다면 이는 재량권의 일탈·남용으로서 위법하다고 할 것이다( 대법원 2002. 9. 24. 선고 2000두1713 판결 , 대법원 2008. 2. 15. 선고 2006두4226 판결 등 참조).

나) 구체적 판단

앞서 본 인정사실 및 앞서 든 증거들에 의하여 드러나는 다음과 같은 사정들을 위 관련 법령의 규정 및 법리에 비추어 살펴보면, 피고가 부과한 이 사건 과징금의 액수는 이 사건 사고의 발생 경위 및 내용, 피해의 정도 등에 비추어 보면 지나치게 과다하다고 보이므로, 이 사건 과징금 처분에는 비례의 원칙에 반하여 재량권을 일탈·남용한 위법이 있다.

① 구 정보통신망법 제64조의3 제1항 은 위반행위와 관련한 ‘매출액’의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다고 규정하고 있다. 구 정보통신망법 시행령 제69조의2 제1항 에서 ‘위반행위와 관련한 매출액이란 해당 정보통신서비스 제공자등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액’이라고 정하고 있다고 하더라도, 상위 법령인 구 정보통신망법에서 ‘위반행위와 매출액과의 관련성’을 요구하고 있는 이상, 연매출액 중 위반행위와 관련이 없는 매출액 부분은 과징금을 부과함에 있어서 고려될 수 없다.

② 이 사건 사고의 원인이 된 이 사건 캐시 정책은 이 사건 이벤트 페이지에 한하여 적용된 점, 위와 같은 잘못 설정된 이 사건 캐시 정책은 이 사건 이벤트가 개시된 2018. 11. 1.부터 적용된 점, 이 사건 이벤트는 별도의 이 사건 이벤트 페이지를 통해 접속이 가능하도록 되어 있고 한시적으로만 운영되었던 점 등에 비추어 보면, 이 사건 이벤트 페이지에 적용되는 이 사건 캐시 정책을 잘못 설정한 위반행위와 2018. 11. 1. 전에 판매된 상품의 매출액과의 관련성을 쉽사리 인정하기 어렵다.

③ 이 사건 사고는 원고가 이 사건 쇼핑몰과는 별도로 이 사건 이벤트를 진행하기 위해 이 사건 이벤트 페이지를 제작하는 과정에서 원고 소속 직원의 단순 실수로 잘못된 캐시 정책이 적용되는 바람에 이용자들의 개인정보가 노출된 것으로서, 원고가 이 사건 쇼핑몰을 운영함에 있어서는 이용자들의 개인정보 보호를 위한 조치가 미흡하였다고 볼 만한 사정은 발견되지 않은 점에 비추어 보아도, 이 사건 이벤트로 인한 매출액이 아닌 이 사건 쇼핑몰 전체의 연매출액을 기준으로 하여 과징금의 액수를 산정하는 것은 과도하다.

④ 구 정보통신망법 시행령 제69조의2 제1항 에 따라 이 사건 쇼핑몰의 직전 3개 사업연도의 연평균 매출액을 기준으로 과징금을 부과할 수 있다고 하더라도, 구 정보통신망법 제64조의3 제1항 에서는 위반행위와 관련한 ‘매출액’의 ‘100분의 3 이하’에 해당하는 금액을 과징금으로 부과할 수 있을 뿐인데도, 하위 법령인 구 정보통신망법 시행령에서 직전 3개 사업연도의 ‘연평균 매출액’을 기준으로 과징금을 부과하도록 정하고 있는 점, 과징금을 부과하기 위해서는 위반행위의 내용과 정도, 기간과 횟수 등을 고려하여야 하는데 이 사건 사고는 2018. 11. 1. 단 하루 동안 발생하였고, 이 사건 사고로 인해 개인정보가 노출된 이용자들 역시 20명에 불과한 점 등에 비추어 보면, 연매출액을 기준으로 산정한 이 사건 과징금의 액수는 이 사건 사고의 정도나 피해의 규모에 비해 지나치게 과중한 것으로 보지 아니할 수 없다.

⑤ 피고는 과거 166,179명의 개인정보가 해킹으로 인해 노출된 사고에 관하여 1억 1,200만 원의 과징금을, 주9) 회원정보 약 195만 건이 해킹으로 인해 노출된 사고에 관하여 과징금 1억 200만 원의 과징금을, 주10) 약 123만 3,859건의 개인정보가 노출된 사고에 관하여 2억 1,900만 원의 과징금을 주11) 각 부과한 것으로 보이는바, 이 사건 사고의 경위, 이 사건 사고로 인해 노출된 개인정보의 규모나 피해의 정도, 이 사건 사고의 원인이 된 이 사건 캐시 정책이 적용된 기간 등에 비추어 볼 때, 원고에게 부과된 이 사건 과징금액은 원고 이외의 다른 정보통신서비스 제공자의 위반행위에 대하여 부과된 과징금액과도 균형을 잃은 것으로 봄이 상당하다.

라. 소결론

따라서 [별지 1] 기재 처분 내역 중 이 사건 각 시정명령 처분은 적법하고, 이 사건 과징금 처분은 비례의 원칙에 위배되어 위법하므로 취소되어야 한다.

3. 결론

그렇다면 원고의 이 사건 청구는 위 인정범위 내에서 이유 있어 이를 인용하고, 나머지 청구는 이유 없으므로 이를 기각하기로 하여, 주문과 같이 판결한다.

[별지 생략]

주1) (홈페이지 주소 1 생략)

주2) ‘캐시’는 ‘고속의 중앙처리장치(CPU)와 CPU에 비해 속도가 느린 주기억 장치 사이에 데이터와 명령어들을 일시적으로 저장하는 기억장소를 제공하며, CPU가 데이터 등을 주기억 장치로부터 읽고, 주기억 장치에 기록할 때보다 더욱 빠른 속도로 접근할 있도록 해주는 임시저장소’를 의미하고, ‘캐시 정책’은 ‘어떠한 데이터 등을 임시저장할 것인지(즉 어떤 데이터 등을 임시저장소에 임시저장하였다가 이용자들에게 전송할 것인지) 등을 결정하는 규칙’을 의미한다.

주3) 2020. 2. 4. 법률 제16930호로 개정되어 2020. 8. 5. 시행된 개인정보 보호법 부칙 제3조 제1항에 따라 방송통신위원회의 소관사무 중 개인정보보호에 해당하는 사무가 피고에게 승계되었고, 위 부칙 제3조 제4항에 따라 방송통신위원회가 개인정보보호에 해당하는 사항에 관하여 행한 행정처분은 피고의 행위로 보게 되었다.

주4) 오픈 소스 기반 웹서버 프로그램으로 Fast CGI를 이용한 Cache 기능을 기본적으로 제공.

주5) 하나의 프로세스가 다중 CGI 요청을 처리하도록 하여 속도를 향상시킨 웹서버 플러그 인 프로그램으로, 모든 프로세스 요청이 하나의 프로세스를 공유하기 때문에 많은 프로그램 명령이 절약되어 처리 속도가 빠름

주6) 웹사이트에 접속할 때 자동적으로 만들어지는 임시 파일로서, 이용자가 검색한 내용, 상품 구매 내역, 아이디, 비밀번호 IP 주소 등을 담고 있는 정보 파일

주7) 이용자가 웹사이트에 아이디, 비밀번호 등을 입력하여 본인임을 인증한 뒤, 서버가 ‘이 이용자는 인증에 통과하였음’을 표시하는 의미로 웹 브라우저(클라이언트)에게 발급하는 전자적인 표식으로서 자동로그인 토큰은 1회용으로서 검증 직후 폐기됨.

주8) 2020. 2. 4. 법률 제16930호로 개정되어 2020. 8. 5. 시행된 개인정보 보호법 부칙 제3조 제1항에 따라 방송통신위원회의 소관사무 중 개인정보보호에 해당하는 사무가 피고에게 승계됨에 따라, 구 과징금 부과기준 역시 2020. 8. 5. 제정된 ‘(개인정보보호위원회)개인정보보호 법규 위반에 대한 과징금 부과기준’으로 대체되었으나, 용어만 일부 변경되었을 뿐 그 내용은 구 과징금 부과기준과 동일하다.

주9) 주식회사 이스트소프트에 대한 과징금 부과처분(서울행정법원 2018구합65682 참조)

주10) 주식회사 뽐뿌커뮤니케이션에 대한 과징금 부과처분(서울행정법원 2016구합77667 참조)

주11) 주식회사 메가스터디(엠베스트)에 대한 과징금(갑 제8호증의 피고 2018년 제33차 속기록 참조)