[디지털데일리 최민지 기자] 법원이 1심에 이어 2심에서도 네이버 손을 들었다. 개인정보보호위원회(이하 개보위)가 오픈마켓을 상대로 과도한 개인정보보호 책임을 부과했다고 본 것이다.

10일 서울고법 행정4-1부는 네이버가 개보위를 상대로 낸 시정명령 취소 청구 소송에서 1심 판결을 유지하고 개보위 항소를 기각했다. 법원은 1심에서 네이버 승소 판결을 내렸다.

1심에서 법원은 “판매자가 네이버 지휘‧감독을 받는 개인정보취급자에 불과하다고 본다면, 네이버에게 111만명에 이르는 판매자에 대한 교육의무, 관리‧감독 의무를 부담하게 해 사실상 불가능하거나 과도한 의무를 요구하게 된다”며 “자기책임 원칙에도 반하며, 오히려 판매자를 네이버의 개인정보취급자로만 보고 개인정보처리자로 보지 않아, 도리어 개인정보보호 공백이 발생할 우려가 있다”고 결론을 지었다.

판매자를 개인정보취급자로 보지 않아도, 스마트스토어 시스템에 저장된 구매자 개인정보에 대한 불법접근 차단, 접속기록 위주‧변조 방지, 개인정보의 안전한 저장‧전송을 위한 각종 조치를 할 의무를 부담하고 있다는 설명이다.

앞서, 개보위는 2021년 네이버 등 7개 오픈마켓 사업자를 대상으로 5200만원 과태료와 시정명령을 부과했다. 판매자 계정을 도용한 사기 사건이 발생한 것에 대해, 오픈마켓 플랫폼 책임을 물은 것이다. 개보위는 이들 오픈마켓 사업자들이 판매자 시스템에 접근통제 조치 등을 취하지 않았다고 봤다.

오픈마켓 판매자는 네이버라는 플랫폼을 사용하는 별도 사업자일 뿐이지만, 개보위 의결에서는 네이버가 관리 및 감독해야 하는 개인정보취급자로 봤다. 이는 오픈마켓에서 활동하는 판매자 전부가 네이버와 같은 사업자의 감독을 받아야 한다는 의미로도 해석될 수 있다.

이 경우, 판매자가 개인정보를 허술하게 관리해 계정이 도용되더라도 정부는 오픈마켓에 책임을 묻게 된다. 결국 판매자의 오픈마켓 진입 장벽을 높일 수밖에 없다. 오픈마켓 생태계 선순환과 성공 조건은 많은 판매자와 구매자가 모이는 것이다. 이에 일각에선 판매자를 향한 과도한 개인정보 책임을 오픈마켓에 묻는 것은, 판매자와 이용자 모두에게 부정적으로 작용할 수 있다고 지적해 왔다.

또한, 법원에선 판매자가 오픈마켓 사업자의 개인정보취급자에 해당한다는 개보위 논리라면, 개인정보보호법에 따라 판매자는 오픈마켓 플랫폼과 시스템에 접근하기 위해 인터넷망과 분리된 별도의 망을 갖춰야 한다고 밝히기도 했다.

법리적으로 수십만명에 이르는 판매자 컴퓨터 등에 외부 인터넷망 차단 조치를 취하고, 판매자 컴퓨터와 휴대전화 등에 정보 공유 등을 제한해야 한다. 또, 오픈마켓 사업자가 전국의 판매자에게 일일이 연락해 교육시키고 개인정보 처리 업무 담당자 컴퓨터 등을 물리적으로 직접 관리해야 한다.

하지만, 판매자는 오픈마켓에 가입한 회원에 불과하기에 이를 강제하는 것을 실현하기 어렵다는 설명이다.

한편, 개보위는 지난해 9월 지마켓이 낸 시정명령 취소소송에서도 패소했다. 이때도 법원은 지마켓에서 활동하는 판매자는 지마켓의 개인정보취급자에 해당하지 않는다고 판결했다. 판매자는 개인정보처리시스템에 대한 접근권한을 받고, 구매자에게 개인정보를 제공받아 판매자 자신의 업무를 위해 개인정보를 처리 및 이용하는 ‘제3자’이라는 설명이다.