[뉴스토마토 이혜현 기자] 쿠팡 개인정보 유출 사고에 대해 개인정보보호위원회가 6000억원대의 역대 최대 규모 과징금 부과를 결정하면서 기업들의 개인정보 보호 책임이 한층 무거워졌습니다. 이번 제재를 계기로 개인정보 관리 소홀에 대한 책임경영 요구가 커지면서 다른 기업들도 보안 체계와 내부통제 강화에 나설 것으로 전망됩니다.
11일 개인정보위에 따르면 전날 전체회의에서 쿠팡 개인정보 유출 사고 관련 처분 안건을 상정하고, 쿠팡의 안전 조치 의무 위반 및 법적 근거 없는 개인정보 수집 등에 대해 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 결정했습니다. 또한 쿠팡풀필먼트서비스(CFS)의 개인정보 수집·이용 및 민감정보 처리 제한 위반에 대해서는 과징금 2억4800만원을 부과했습니다.
이번 제재는 개인정보위가 개인정보 보호법 위반으로 부과한 과징금 중 역대 최대 규모입니다. 당초 업계에선 쿠팡이 1조원대 과징금을 부담할지 여부에 관심이 집중됐습니다. 개인정보 보호법에 따르면 중대한 개인정보 유출, 보호 조치 위반 시 전체 매출액의 3%를 초과하지 않는 범위에서 과징금을 부과할 수 있어 쿠팡의 경우 최대 1조원대까지 가능했습니다. 쿠팡의 작년 매출액은 45조5000억원으로 이번 과징금 규모는 매출액의 약 1.4%에 해당하는 수준입니다.
참여연대는 개인정보위의 과징금 발표 직후 "역대 최악의 개인정보 유출 사태를 일으킨 쿠팡에 1조원대 과징금이 부과되지 않은 것은 납득하기 어렵다"며 "법상 과징금 상한인 매출액의 3%와 비교하면 절반 수준에 그친다"고 비판했습니다.
(그래픽=뉴스토마토)
역대 최대 과징금…작년 영업이익과 맞먹어
일각에서는 이번 과징금 규모가 지난해 개인정보 유출 사고로 제재를 받은 SK텔레콤 사례와의 형평성을 고려한 결과라는 해석도 나옵니다.
앞서 개인정보위는 SK텔레콤의 유심 정보 유출 사고와 관련해 최대 3000억원 수준의 과징금 부과가 가능했지만, 사고 수습 노력 등을 반영해 매출의 1% 수준인 1348억원으로 감경했습니다.
업계에서는 쿠팡에서 유출된 정보의 민감도가 결혼정보업체 듀오나 SK텔레콤에서 유출된 개인정보보다 상대적으로 낮고, 현재까지 확인된 2차 피해가 나오지 않았다는 점도 과징금 산정에 반영됐을 것으로 분석도 나옵니다.
듀오의 경우 혼인 여부, 재산 규모, 원천징수 내역 등 개인의 경제력과 사회적 지위를 추정할 수 있는 24종의 민감한 정보가 유출됐으며, 사고 발생 후 15개월 동안 피해 사실을 알리지 않아 논란이 됐습니다. 반면 쿠팡에서 유출된 정보는 일부 변경이 가능하고 현재까지 범죄 악용 사례가 확인되지 않았다는 점에서 2차 피해 위험 수준에 차이가 있다는 것입니다.
지난 2월 쿠팡 침해사고를 조사한 과학기술정보통신부 민관합동조사단은 "공격자의 외부 전송 사실은 확인되지 않았으며 결제 피해나 2차 피해도 발견되지 않았다"고 밝혔습니다. 쿠팡Inc 역시 "다크웹과 딥웹 등에 정보 유출 정황은 발견되지 않았으며 결제 정보, 금융 정보, 정부 발급 신분증 정보 등 고도 민감정보에 대한 접근도 없었다"고 설명했습니다.
타 기업과 비교해 유출된 정보의 민감도나 2차 피해가 없었다는 점을 고려하면 쿠팡의 한 해 영업이익과 맞먹는 이번 과징금 제재 수준이 과도하다는 시각도 있습니다. 여기에 과징금을 결정한 사유들이 적절한지 그 판단 근거를 투명하게 공개해야 한다는 목소리도 나옵니다.
업계에서는 이번 제재가 쿠팡 한 기업에 대한 처벌을 넘어 고객 데이터를 보유한 모든 기업에 보내는 경고 메시지로 받아들여지고 있습니다. 과거에는 개인정보 유출 사고가 발생하더라도 일시적인 고객 불만에 그치는 경우가 많았지만, 최근에는 기업 신뢰도와 브랜드 가치 훼손으로 직결되고 있습니다.
"쿠팡만의 문제 아니다"…잇단 정보유출에 경고등
고객 개인정보 보호가 기업의 핵심 경영 과제로 부상하고 있지만, 최근에도 유사한 개인정보 유출 사고가 끊이지 않고 있습니다. 이달 초에만 2건의 개인정보 유출 사고가 잇따라 발생했습니다.
지난 3일에는 CJ ENM의 온라인동영상서비스(OTT) 플랫폼 티빙에서 개인정보 유출 사고가 발생해 이용자들이 스미싱·보이스피싱 등 범죄에 노출됐습니다. 이어 지난 6일에는 CU 편의점 택배 서비스를 운영하는 BGF네트웍스가 해킹 공격에 따른 고객 개인정보 유출 정황을 확인했습니다.
업종은 다르지만 대규모 고객 데이터를 보유한 기업에서 발생하는 정보 유출 사고는 내부자 권한 남용 또는 외부 해킹이라는 점에서 유사한 양상을 보이고 있습니다.
전문가들은 개인정보 보호를 더 이상 비용이 아닌 투자로 인식해야 한다고 강조합니다. 정보보호 인력과 시스템에 대한 선제적 투자 없이 사고 발생 이후 수습에만 집중하는 방식으로는 반복되는 해킹 위협에 대응하기 어렵다는 지적입니다.
이종우 남서울대 유통마케팅학과 교수는 "쿠팡 사태는 개인정보 유출이 특정 기업만의 문제가 아니라는 점을 보여줬다"며 "개인정보 보호 수준이 소비자 신뢰와 브랜드 가치, 기업 경쟁력으로 직결되는 만큼 대규모 데이터를 기반으로 성장한 기업일수록 정보보호를 핵심 경영 과제로 삼아야 한다"고 말했습니다.
이어 "이번 과징금은 영업이익에 맞먹는 수준으로, 개인정보보호법상 과징금이 단순 행정처분을 넘어 기업 경영에 실질적인 부담으로 작용할 수 있다는 점을 보여준 상징적 사례"라고 평가했습니다.
한편 쿠팡은 개인정보위의 과징금 제재에 불복하는 행정소송 준비에 나설 전망입니다.
쿠팡 측은 "2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 충분히 반영되지 못한 점이 유감스럽다"며 "개인정보위원회로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되길 기대한다"며 과징금 처분에 불복하는 법적 대응을 시사했습니다.
서울 송파구 쿠팡 본사. (사진=뉴시스)
이혜현 기자 hyun@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 강영관 산업2부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지