대규모 유출과 민감정보 유출 사례 엇갈려…매출 연동 과징금 산정 방식 재조명
[더파워 한승호 기자] 쿠팡이 개인정보 유출 사고로 역대 최대 규모의 과징금 처분을 받으면서 개인정보 제재 기준을 둘러싼 형평성 논란이 커지고 있다. 유출 인원은 쿠팡이 압도적으로 많지만, 유출된 정보의 민감도와 실제 피해 가능성을 함께 따져야 한다는 지적이 제기되면서다.
개인정보보호위원회는 지난 10일 전체회의를 열고 쿠팡에 총 6246억8100만원의 과징금과 1680만원의 과태료를 부과하기로 의결했다. 이 가운데 개인정보 유출 사고 관련 과징금은 4235억7500만원이다. 타사 온라인 활동기록 무단 수집 관련 과징금 2011억600만원, 쿠팡풀필먼트서비스 관련 과징금 2억4800만원도 별도로 부과됐다.
개인정보위 조사에 따르면 쿠팡 유출 사고에서는 회원과 비회원 정보주체를 포함해 총 3755만명 규모의 개인정보가 유출된 것으로 파악됐다. 유출 정보에는 이름, 이메일, 전화번호, 배송지 정보, 주문 관련 정보, 일부 공동현관 비밀번호 등이 포함된 것으로 알려졌다.
문제는 과징금 산정 방식이다. 업계 일각에서는 쿠팡에 대한 책임을 물어야 한다는 점에는 이견이 없지만, 유출 정보의 민감도와 실제 2차 피해 여부에 비해 과징금 규모가 지나치게 크다는 주장이 나온다.
비교 대상으로 자주 거론되는 사례는 결혼정보업체 듀오다. 듀오는 회원 약 43만명의 개인정보가 유출된 사건으로 과징금 11억9700만원과 과태료 1320만원 처분을 받았다. 유출 정보에는 이름, 생년월일, 연락처, 주소뿐 아니라 신장, 체중, 혈액형, 종교, 혼인 경력, 학력, 직장명 등 개인의 사생활과 직결되는 정보가 포함된 것으로 조사됐다.
과징금만 놓고 보면 쿠팡 개인정보 유출 사고 관련 과징금은 듀오의 약 350배에 달한다. 쿠팡의 유출 규모가 훨씬 크다는 점은 분명하지만, 듀오 사건은 정보의 민감도와 사생활 침해 가능성 측면에서 훨씬 더 무겁게 볼 여지가 있다는 반론이 나오는 이유다.
특히 결혼정보업체가 보유한 프로필 정보는 단순 연락처와 성격이 다르다. 신체 조건, 종교, 혼인 여부, 가족관계, 직장, 학력, 재산 관련 정보 등은 한 번 유출되면 바꾸기 어렵고, 사생활 침해나 범죄 악용 가능성도 상대적으로 크다. 정보 주체 입장에서는 이메일이나 전화번호보다 회복이 어려운 정보일 수 있다.
카카오페이 사례와의 비교도 논란을 키운다. 개인정보위는 앞서 카카오페이가 이용자 정보를 알리페이 등에 국외 이전한 사안과 관련해 과징금 59억6800만원을 부과했다. 당시 사건은 약 4000만명 규모의 이용자 정보가 문제 된 것으로 알려졌지만, 과징금 규모는 쿠팡 유출 사고와 큰 차이를 보였다.
이 때문에 개인정보 제재가 유출된 정보의 성격보다 기업의 매출 규모에 과도하게 연동되는 것 아니냐는 지적이 나온다. 현행 개인정보 보호법은 관련 매출액의 일정 비율을 기준으로 과징금을 부과할 수 있도록 하고 있다. 대형 플랫폼 기업일수록 같은 유형의 위반이라도 과징금 규모가 급격히 커지는 구조다.
물론 쿠팡 사건의 중대성을 낮게 볼 수는 없다. 개인정보위는 이번 사고가 단순한 외부 해킹이 아니라 인증 서명키 관리와 접근통제 등 기본적인 안전관리 체계 미비에서 비롯됐다고 판단했다. 유출 규모가 크고, 배송지 정보에는 회원 본인뿐 아니라 가족이나 지인 등 제3자의 정보도 포함됐다는 점에서 사회적 파장이 컸다.
개인정보위는 쿠팡에 대해 개인정보 유출통지, 파기 의무 위반, 개인정보보호책임자의 독립적 업무 수행 방해, 조사 방해 등 복수의 위반 사항도 지적했다. 단순히 유출 건수만으로 과징금을 산정한 것은 아니라는 게 개인정보위 판단이다.
반면 쿠팡 측은 결정에 유감을 나타내며 법적 절차를 통해 사실관계를 다투겠다는 입장이다. 쿠팡은 2차 피해 방지를 위한 조치와 사실관계가 충분히 반영되지 않았다고 주장하고 있다. 또 쿠팡 파트너스와 관련해서도 글로벌 기업들과 같은 제휴 모델을 사용하고 있으며 고객 데이터를 적법하게 보호하고 있다고 설명했다.
결국 쟁점은 개인정보 제재의 기준이다. 유출 인원이 많으면 과징금이 커지는 것은 자연스럽지만, 정보의 민감도와 피해 회복 가능성, 고의·중과실 여부, 사고 인지와 통지 시점, 2차 피해 발생 여부, 기업의 사후 대응 노력까지 종합적으로 반영돼야 한다는 목소리가 커지고 있다.
해외 주요국과의 차이도 거론된다. 유럽연합과 중국처럼 매출 연동형 과징금 체계를 운영하는 국가도 있지만, 미국과 일본, 대만 등은 정액 제재나 사법 절차, 주별 규제 등을 통해 정보의 성격과 실제 피해 가능성을 따지는 방식이 함께 작동한다는 평가가 있다.
개인정보 보호는 디지털 경제의 기본 전제다. 대규모 플랫폼 기업이 보유한 이용자 정보가 유출됐다면 강한 책임을 묻는 것은 당연하다. 그러나 제재가 신뢰를 회복하기 위한 수단이 되려면 법적 안정성과 예측 가능성도 함께 확보돼야 한다.
이번 쿠팡 처분은 한 기업의 문제가 아니라 국내 디지털 플랫폼 전반에 적용될 개인정보 제재 기준을 가늠하는 사건이 될 수 있다. 과징금 규모의 충격보다 중요한 것은 앞으로 같은 사고가 발생했을 때 어떤 기준으로 책임을 묻고, 어떤 방식으로 보안 투자를 유도할 것인지다.
유출 규모와 매출만을 기계적으로 연결하는 방식으로는 국민이 납득할 수 있는 제재 체계를 만들기 어렵다. 개인정보위가 엄정한 책임 원칙과 함께 정보의 민감도, 실제 피해 가능성, 사후 대응을 종합적으로 반영하는 정교한 기준을 제시해야 한다는 지적이 나오는 이유다.
한승호 더파워 기자 hansh1975@thepowernews.co.kr
