고객 3370만 명의 개인정보가 유출된 쿠팡 사건을 두고 대통령실이 직접 “징벌적 손해배상 검토”를 언급하는 등 강경 대응을 예고했다. 이에 개인정보보호위원회가 사건과 관련해 조사 역량을 집중하고 있다. 특히 송경희 개인정보위원장이 취임 일성으로 “중대한 개인정보 유출 사고가 반복적으로 발생한 기업에 대해서는 강력히 처벌하겠다”고 강조했던 만큼 쿠팡이 최대 1조 원 규모의 징벌적 과징금을 처분받을 수 있다는 전망까지 나온다.
1일 정보기술(IT) 업계에 따르면 개인정보위는 쿠팡에 최대 1조 원 수준의 과징금을 내릴 수 있을 것으로 분석된다. 개인정보위는 2023년부터 개정된 개인정보보호법을 시행하고 있다. 기존에는 기업이 개인정보보호법을 위반한 것과 관련된 매출만을 과징금 산정의 기준으로 봤으나 2년 전부터는 전체 매출의 3%까지 과징금을 부과할 수 있다. 다만 정보 유출 사고와 직접적으로 관련이 없는 매출의 경우를 제외하고 과징금을 산정한다.
올해 3분기까지 쿠팡 매출은 36조 3094억 원이다. 이미 지난해(38조 2988억 원) 전체 매출에 육박한다. 이 중 이번 유출 사고와 관련 없는 대만·쿠팡플레이·쿠팡이츠 등의 매출을 제외한 쿠팡 매출은 약 31조 2260억 원으로 추산된다. 여기에 3%를 단순 계산하면 최대 과징금으로 1조 원이 훌쩍 넘는 금액이 나올 수 있는 셈이다.
개인정보위는 위반 행위의 중대성에 따라 과징금 부과 기준을 다르게 두고 있다. ‘약한 위반 행위’의 경우 과징금 부과 기준율을 0.03%에서 0.9% 미만으로, ‘매우 중대한 위반 행위’일 경우 2.1% 이상에서 2.7% 이하로 두고 있다. 이 중 올해 약 2300만 명의 개인정보가 유출된 SK텔레콤을 두고 개인정보위는 매우 중대한 위반 행위로 판단했다. 가입자 인증에 필요한 유심 인증키 등 민감한 개인정보가 포함된 데다 SK텔레콤이 평소 안전조치 의무를 잘 지키지 않았다는 이유에서다. 쿠팡 역시 이번 정보 유출 사고의 핵심 인물로 이미 퇴사한 중국인 A 씨가 지목됐고 쿠팡이 A 씨 퇴사 후에도 서명키 등을 유효한 상태로 장시간 방치시킨 점 등이 드러나고 있어 개인정보위가 매우 중대한 위반 행위로 이번 사건을 볼 가능성이 크다.
올해 10월 취임한 송 위원장 또한 반복적인 대규모 유출 사고에 대한 강력한 처벌 의지를 보이고 있어 업계에서는 과징금 규모가 상당할 것으로 보고 있다. 쿠팡은 이번이 이미 네 번째 개인정보 유출 사고다. 송 위원장은 지난달 취임 후 처음으로 가진 기자 간담회에서 “반복적·중대적인 개인정보 유출 사고가 발생할 경우 그만큼 징벌적인 과징금을 내도록 하겠다”고 강조했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
hoje@sedaily.com
