고객 3370만 명의 개인정보가 유출된 쿠팡 사건을 두고 대통령실이 직접 “징벌적 손해배상 검토”를 언급하는 등 강경 대응을 예고했다. 개인정보보호위원회 또한 “중대한 개인정보 유출 사고가 반복적으로 발생한 기업에 대해서는 강력히 처벌하겠다”고 강조했던 만큼 이번이 네 번째 정보유출 사고인 쿠팡에 대해 최대 1조 원 규모의 징벌적 과징금이 부과될 수 있다는 전망이 나온다.
2일 정보기술(IT) 업계에 따르면 개인정보위는 쿠팡에 최대 1조 원 수준의 과징금을 내릴 수 있을 것으로 분석된다. 개인정보위는 2023년부터 개정된 개인정보보호법을 시행하고 있다. 기존에는 기업이 개인정보보호법을 위반한 것과 관련된 매출만을 과징금 산정의 기준으로 봤으나 2년 전부터는 전체 매출의 3%까지 과징금을 부과할 수 있다. 다만 정보 유출 사고와 직접적으로 관련이 없는 매출의 경우를 제외하고 과징금을 산정한다.
올해 3분기까지 쿠팡 매출은 36조 3094억 원이다. 이미 지난해(38조 2988억 원) 전체 매출에 육박한다. 이 중 이번 유출 사고와 관련 없는 대만·쿠팡플레이·쿠팡이츠 등의 매출을 제외한 쿠팡 매출은 약 31조 2260억 원으로 추산된다. 여기에 3%를 단순 계산하면 최대 과징금으로 1조 원이 훌쩍 넘는 금액이 나올 수 있는 셈이다.
개인정보위는 위반 행위의 중대성에 따라 과징금 부과 기준을 다르게 두고 있다. ‘약한 위반 행위’의 경우 과징금 부과 기준율을 0.03%에서 0.9% 미만으로, ‘매우 중대한 위반 행위’일 경우 2.1% 이상에서 2.7% 이하로 두고 있다. 이 중 올해 약 2300만 명의 개인정보가 유출된 SK텔레콤을 두고 개인정보위는 매우 중대한 위반 행위로 판단했다. 가입자 인증에 필요한 유심 인증키 등 민감한 개인정보가 포함된 데다 SK텔레콤이 평소 안전조치 의무를 잘 지키지 않았다는 이유에서다. 쿠팡 역시 이번 정보 유출 사고의 핵심 인물로 이미 퇴사한 중국인 A 씨가 지목됐고 쿠팡이 A 씨 퇴사 후에도 서명키 등을 유효한 상태로 장시간 방치시킨 점 등이 드러나고 있어 개인정보위가 매우 중대한 위반 행위로 이번 사건을 볼 가능성이 크다.
쿠팡은 이번이 이미 네 번째 개인정보 유출 사고다. 2021년 10월 애플리케이션(앱) 업데이트 중 발생한 오류로 상품 검색창 밑에 고객 14명의 이름과 배송지 주소가 노출됐다. 2020년 8월부터 2021년 11월까지는 음식 배달 플랫폼인 쿠팡이츠 배달원 13만 5000여명의 이름과 전화번호 등이 음식점에 전송됐다. 이어 2023년 12월에는 쿠팡의 판매자 전용 시스템에서 주문자와 수취인 2만 2440명의 개인정보가 노출된 바 있다.
지난 10월 취임한 송경희 개인정보위 위원장 또한 반복적인 대규모 유출 사고에 대한 강력한 처벌 의지를 보이고 있어 업계에서는 과징금 규모가 상당할 것으로 보고 있다. 송 위원장은 지난달 취임 후 처음으로 가진 기자 간담회에서 “반복적·중대적인 개인정보 유출 사고가 발생할 경우 그만큼 징벌적인 과징금을 내도록 하겠다”고 강조했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
hoje@sedaily.com
