“쿠팡 판결이 기준선”…개보위 과징금 결정에 티빙·CU도 긴장

[마이데일리 = 방금숙 기자] 쿠팡의 개인정보 유출 과징금 수위가 이르면 10일 결정된다. 최근 해킹 사고가 잇따른 유통·플랫폼 업계도 결과를 예의주시하고 있다.

10일 정부와 산업계에 따르면 개인정보보호위원회는 이날 전체회의를 열고 쿠팡 개인정보 유출 사건에 대한 제재안을 심의·의결한다. 지난해 11월 말 쿠팡 고객의 성명, 이메일, 주소, 전화번호 등 3367만3817건의 정보가 노출된 지 약 6개월 만이다.

안건이 의결될 경우 개보위는 11일 오전 별도 브리핑을 통해 최종 수위를 발표할 예정이다.

이번 사건은 국내 기업 개인정보 유출 사고 가운데 최대 규모다. 현행 개인정보보호법상 과징금은 직전 3개년 평균 매출액의 최대 3%까지 부과할 수 있다. 쿠팡 모회사 쿠팡Inc의 지난해 매출 약 49조원을 기준으로 하면 이론상 최대 1조5000억원 규모의 과징금도 가능하다. 국내 매출만 한정하더라도 수천억원대에 달할 수 있다.

이날 심의에서는 매출액 산정을 두고 막판 공방이 예상된다. 최대 쟁점은 개보위가 유출 규모와 보안 관리 책임, 사후 대응 노력 중 어디에 더 무게를 둘지다.

쿠팡은 유출된 정보가 금융정보나 유심 인증키 등 고위험 정보가 아니고, 현재까지 2차 피해가 확인되지 않았다는 점을 강조한다. 사고 인지 후 개인정보 회수와 보안 강화 조치에 나선 점도 감경 요소로 앞세우고 있다.

실제로 SK텔레콤 사례에서도 민감 정보 유출로 최대 3000억원의 과징금이 거론됐으나, 사후 수습 노력이 반영되면서 1348억원으로 감경된 바 있다.

업계에서는 “2차 피해가 없었다”는 쿠팡 측 주장과 별개로, 장기간 해킹을 방치한 보안 관리 책임을 엄중히 물어야 한다는 책임론도 나온다.

과학기술정보통신부 민관합동조사단 조사 결과, 공격자는 지난해 4~11월 약 7개월간 쿠팡 시스템에 침투해 활동한 것으로 확인됐다. 이 과정에서 성명과 이메일 등 개인정보가 유출됐을 뿐 아니라 배송지 목록 페이지도 1억4805만건 조회됐다. 해당 정보에는 전화번호와 주소는 물론 비식별화된 아파트 공동현관 비밀번호도 포함된 것으로 파악됐다.

사고 직후 열린 국회 청문회에서도 퇴직자 계정 권한 관리 미비 등 내부 통제 부실 문제가 도마에 올랐다. 개보위가 이러한 관리 책임을 얼마나 중대한 위반으로 판단하느냐가 과징금 수위를 결정할 핵심 변수가 될 전망이다.

잇따른 보안 사고로 긴장감이 높아진 유통·플랫폼업계도 이번 쿠팡 제재 결과에 촉각을 곤두세우고 있다. 쿠팡 사건이 향후 개인정보 유출 사고에 대한 제재 수위를 가늠할 첫 기준선이 될 가능성이 크기 때문이다.

최근 온라인동영상서비스(OTT) 티빙과 CU 택배 서비스를 운영하는 BGF네트웍스에서도 개인정보 유출 사고가 줄이어 발생하며 업계 전반에 경각심이 커지고 있다.

유통·플랫폼 기업들은 수백만~수천만명의 회원 정보를 보유하고 있어 보안 사고 발생 시 파급력이 크다. 특히 이름, 연락처, 주소, 구매 이력 등이 결합된 데이터는 금융사기나 피싱 범죄에 악용될 가능성이 높아 해커들의 주요 표적이 되고 있다.

정부는 이 같은 대규모 정보 유출 사고에 대응하기 위해 제재 수위를 높이고 있다. 오는 9월부터는 반복적이고 중대한 개인정보 침해 행위에 대해 ‘전체 매출액의 최대 10%’까지 과징금을 부과할 수 있는 개인정보보호법 시행령 개정안도 시행된다. 쿠팡 사건은 법 개정 이전에 발생해 해당 규정이 소급 적용되지는 않는다.

일각에서는 쿠팡의 과징금 규모가 과도할 경우 산업 생태계를 위축시키고 한미 통상 마찰로 비화할 수 있다는 우려도 제기된다. 해외 제재 사례와 비교해 국내 기준이 지나치게 엄격하다는 주장이다. 2021년 메타가 5억3300만명 정보 유출 사고로 3800억원의 과징금을 부과받았고, 미국 신용평가사 에퀴팩스도 1억4700만명 정보 유출로 1180억원의 제재를 받은 사례가 있다.

그러나 김승주 고려대학교 정보보호대학원 교수는 “국내 과징금 기준이 국제적으로 과도하다고 보기는 어렵다”며 “과거에는 대규모 개인정보 유출 사고에 비해 과징금이 지나치게 낮다는 언론과 국민들의 비판이 많았고, 이후 제재 체계가 유럽 수준에 맞춰 강화된 것”이라고 설명했다.

이어 김 교수는 “과징금은 유출 규모뿐 아니라 기업이 사고 이후 피해 확산을 막기 위해 얼마나 적극적으로 대응했는지, 조사에 얼마나 성실히 협조했는지 등을 종합적으로 고려해 결정된다”며 “쿠팡 사건은 규모가 워낙 큰 만큼 적지 않은 수준의 제재가 예상되지만 최종 수위는 개보위 판단을 지켜봐야 할 것”이라고 말했다.