이 기사는 2025년 12월 01일 15:52 thebell 에 표출된 기사입니다.

고객 계정 3370만개, 사실상 쿠팡 가입자 대다수의 개인정보가 속수무책 유출된 가운데 이번 사건으로 개인정보보호위원회(개인정보위)로부터 과징금을 피할 수 없을 전망이다. 핵심은 그 규모가 어느 정도 될 것인지다.

현행 개인정보보호법에 따르면 매출액의 3% 내외 과징금을 부과할 수 있다고 명시하고 있다. 쿠팡의 경우 매출이 40조원에 이르는 만큼 이론적으로는 최대 1조원대 과징금이 부과될 수 있다는 의미다. 다만 쿠팡이 정보보호를 위한 노력을 다했는지 등에 따라 경감 가능성은 남아있다. SKT의 경우 지난 8월 1348억원을 부과받은 게 대표적인 사례다.

◇신고·통지 지연 없었다면 과태료는 NO부과, 과징금은 못 피해

1일 유통업계에 따르면 쿠팡에서 고객 계정 3370만 개가 유출된 것으로 파악됐다. 지금까지 국내 개인정보 유출 사태 중 손가락에 꼽히는 규모다. 당초 1차 조사보다 피해 계정이 기하급수적으로 늘어나면서 정치권에서도 질타의 목소리가 커지고 있다.

관전 포인트는 ‘행정 제재금’ 규모다. 개인정보 유출과 관련해 개인정보위는 과징금과 과태료를 각각 부과할 수 있다. 우선 과태료는 쉽게 말해 ‘신고·통지 지연’에 따른 금전벌 조치다.

개인정보 보호법 시행령에 따르면 개인정보처리자는 △1000명 이상의 정보주체에 관한 개인정보가 유출 등이 된 경우 △민감정보 또는 고유식별정보가 유출 등이 된 경우 △개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출 등이 된 경우에는 72시간 이내에 보호위원회 또는 전문기관에 신고해야 한다고 명시하고 있다.

쿠팡의 경우 개인정보 접근 시도는 지난 6월부터 시작됐지만 이달 18일 들어서야 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 최초 인지했다. 이후 이틀 뒤인 20일 개인정보위, 한국인터넷진흥원 등 관련 기관에 신고했다. 지난 25일엔 서울경찰청 사이버수사대에 내부 직원에 대한 고소장을 제출했다. 쿠팡은 유출 인지 이후 곧바로 신고를 단행해 과태료는 부과되지 않을 수 있다. 앞서 SKT의 경우 정보 유출 통지가 지연되면서 960만원 과태료를 부과받은 바 있다.

◇SKT 뛰어넘는 과징금 나올 수도, 행정소송 진행 가능성 有

다만 과징금은 피할 수 없을 전망이다. 쉽게 말해 유출행위 자체에 대한 행정상 부과금이다. 개인정보 보호법에 따르면 개인정보 유출 등 관련 법규 위반 시 보호위원회는 정보통신서비스 제공자 등에게 전체 매출액의 100분의 3 범위에서 과징금을 부과할 수 있다. 매출액이 없거나 매출액의 산정이 곤란한 경우 대통령령으로 정할 때는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.

쿠팡 사례에 대입해 보면 2024년 연간 매출액이 302억6800만달러(약 41조원)으로 처음으로 40조원 벽을 뛰어넘었다는 점을 고려하면 산술적으로 과징금이 조단위에 달할 수 있다는 계산이 나온다. 물론 이 과정에서 정보통신서비스 제공자(쿠팡)가 개인정보 관리를 위한 작업을 충분히 수행했다는 과정이 입증하면 통상적으로 과징금 규모가 경감돼 조사 결과를 지켜봐야 한다.

개인정보 유출은 해외에서도 엄격하게 다루는 사안 중 하나다. 유럽연합의 경우 개인정보보호규정(GDPR)을 위반할 시 최대 2000만 유로(약 340억원) 또는 전 세계 연간 총매출의 4퍼센트 중 더 큰 금액을 과징금으로 부과하고 있다. 아마존은 2021년 룩셈부르크의 정보보호위원회(CNPD)로부터 GDPR 위반을 이유로 7억4600만 유로(약 1조2700억원) 과징금을 부과받은 이력이 있다.

최근 국내에서 개인정보 보안 이슈로 대규모 과징금을 받은 사례로는 우리카드와 SKT 해킹사고 등이 있다. 개인정보위는 올해 3월 개인정보를 무단 활용한 우리카드에 134억원, 지난 10월에는 유심정보를 비롯한 2300만명의 개인정보 유출을 막지 못한 SKT에 1348억원에 달하는 과징금을 부과한 바 있다. 업계에서는 정보유출 규모를 봤을 때 SKT를 뛰어넘는 규모의 과징금이 부과될 가능성도 언급되고 있다.

물론 쿠팡이 과징금 결정에 불복해 행정소송을 단행할 여지도 상당하다. 이미 쿠팡은 공정위의 알고리즘 조작과 관련한 과징금(1628억원) 처분에 대해 지난해 서울고등법원에 시정명령 및 과징금 납부 명령을 취소해달라는 행정소송을 제기한 바 있다.

업계 관계자는 “아직 조사 중인 단계라 과징금 규모가 어느 정도로 책정될 진 좀 더 나와봐야 알 것같다”면서 “기존 SKT 등 사건과 다르게 해킹이 아닌 내부 보안에 허점이 있었다는 것도 주요 포인트”라고 내다봤다.