고객 3370만 명의 개인정보가 노출된 쿠팡 사태를 두고 대통령실이 직접 "징벌적 손해배상 검토"를 언급하며 강경 대응 기조를 드러냈습니다. 

개인정보 보호당국이 반복적 대형 사고에 대해 강력한 제재를 예고해 왔던 만큼, 업계에서는 이번이 네 번째 정보유출 사고인 쿠팡에 대해 최대 1조 원 규모의 과징금이 부과될 수 있다는 전망이 커지고 있습니다. 

2일 IT 업계에 따르면 개인정보보호위원회는 현행 개인정보보호법에 따라 기업의 전체 매출의 최대 3%까지 과징금을 부과할 수 있습니다. 2023년 개정 이전에는 위반 행위와 직접 관련된 매출만을 기준으로 삼았지만, 법 개정 이후에는 전체 매출을 폭넓게 반영하는 방식으로 전환됐습니다. 다만 정보 유출과 직접적으로 관련 없는 매출은 제외해 산정합니다.

쿠팡의 올해 3분기 누적 매출은 36조 3094억 원으로 이미 지난해 전체 매출(38조 2988억 원)에 근접했습니다. 이 중 대만 사업, 쿠팡플레이, 쿠팡이츠 등 이번 유출 사고와 직접 연관되지 않은 매출을 제외하면 약 31조 2260억 원 규모로 추산됩니다. 단순 계산으로 3%를 적용할 경우 과징금은 1조 원 이상이 될 수 있어, 국내 개인정보보호 제재 역사상 최대 규모가 될 가능성이 제기되고 있습니다.

쿠팡 / 뉴스1

개인정보위는 위반 행위를 '약한 위반'부터 '매우 중대한 위반'까지 단계별로 구분해 과징금 부과율을 달리합니다. 가장 낮은 경우 기준율이 0.03% 수준이지만, '매우 중대한 위반'으로 판단되면 최대 2.7%까지 적용됩니다. 

쿠팡의 이번 사고에서는 핵심 당사자로 지목된 중국인 A 씨가 퇴사한 뒤에도 쿠팡 내부 인증에 쓰이는 서명키가 장기간 유효한 상태로 방치돼 있었던 정황이 드러났습니다. 개인정보위가 쿠팡의 사고를 '매우 중대한 위반'으로 판단할 가능성이 크다는 분석이 나옵니다.

쿠팡의 개인정보 유출은 이번이 네 번째입니다. 2021년 10월에는 앱 업데이트 오류로 고객 14명의 이름과 주소가 노출됐고, 2020~2021년에는 쿠팡이츠 배달원 13만 5000여 명의 개인정보가 음식점에 전송됐습니다. 지난해 12월에도 판매자 전용 시스템에서 주문자와 수취인 2만 2440명의 정보가 노출된 바 있습니다. 같은 유형의 사고가 반복된 점은 이번 제재 수위에 큰 영향을 미칠 전망입니다.

강훈식 대통령실 비서실장 / 뉴스1

지난 10월 취임한 송경희 개인정보위 위원장 역시 반복적·대규모 사고에 대한 강한 처벌 의지를 공개적으로 드러낸 상태입니다. 송 위원장은 지난달 취임 후 첫 기자 간담회에서 "반복적이고 중대한 개인정보 유출 사고에는 그에 상응하는 징벌적 과징금을 부과하겠다"고 강조했습니다.

정치권까지 가세해 대통령실이 징벌적 손해배상을 직접 언급한 것은 매우 이례적입니다. 개인정보 유출이 플랫폼 기업의 고질적 문제로 자리잡지 않도록 경고음을 울리겠다는 메시지가 담겨 있다는 평가가 나옵니다.

뉴스1

한편 지난 1일 오후 전은수 대통령실 부대변인은 용산 대통령실 브리핑을 통해 강훈식 대통령 비서실장이 수석보좌관 회의에서 쿠팡 개인정보 유출 사태에 대해 "근본적 제도 보완이 필요하다. 징벌적 손해배상제 강화 등을 검토하라"고 지시했다고 전했습니다.