과학기술정보통신부 민관합동조사단의 '쿠팡 전(前) 직원에 의한 정보통신망 침해사고 조사 결과'가 발표되면서 정부가 쿠팡에 내릴 제재 수위에 이목이 쏠리고 있다.
특히 3300만건을 웃도는 '역대급' 유출 규모인 것은 물론 신고 지연, 자료 보전 명령 위반 등 법적 쟁점이 다수 확인되면서 강도 높은 행정처분이 내려질 가능성이 높은 것으로 전망된다. 과징금·과태료 부과부터 시정명령, 재발 방지 계획 제출 요구까지 여러 제재가 동시에 이뤄질 공산도 크다.
과기정통부는 쿠팡에 정보통신망법 위반에 따른 과태료를 부과할 예정이다. 쿠팡이 사고 인지 후 24시간을 넘긴 '신고 지연'에 대해서는 3000만원 이하 과태료 부과가 확정적이다. 여기에 자료보전 명령 이후에도 웹·애플리케이션(앱) 접속기록이 삭제된 점은 별도 수사 의뢰 사안으로 넘어갔다. 향후 재발 방지 대책 이행 여부를 점검한 뒤 시정조치 명령이 추가될 가능성도 있다.
개인정보보호위원회(개보위)의 제재는 과기정통부보다 파급력이 클 것으로 관측된다. 조사 과정에서 확인된 유출 규모가 수천만 건에 달하고, 배송지 정보 등 비회원 개인정보까지 포함된 점이 중대성을 판단하는 데 핵심 요소로 작용할 수 있다.
개인정보보호법상 과징금 상한은 위반행위와 관련된 매출액의 3%다. 쿠팡은 지난해 41조원에 달하는 매출을 기록했다. 최대 비율인 3%를 적용하면 단순 계산으로 1조2000억원 이상을 과징금으로 내야 하는 셈이다. 물론 매출 범위를 어느 사업군까지로 해석하느냐에 따라 과징금 규모는 달라질 수 있다.
송경희 개보위 위원장은 지난달 출입기자단 신년간담회에서 “(쿠팡이) 국내 기업인지 해외기업인지는 전혀 고려하지 않는다”면서 “국민에게 준 피해의 규모가 얼마나 되는지, 제대로 조치했는지 등 위반 여부를 엄격하게 봐서 맞는 처분을 내리겠다”고 강조한 바 있다.
앞서 개보위는 지난해 2300만명 가입자 정보가 유출된 SK텔레콤 해킹 사고에 대해 보안 조치 미흡 책임을 물어 과징금 1347억9100만원과 과태료 960만원을 각각 부과했다. SK텔레콤은 과징금 산정의 적정성을 다투는 행정소송에 나선 상태다. KT 펨토셀 해킹 사례도 2만여명의 정보가 유출됐고, 실제 소액결제 피해가 발생한 것을 고려해 수백억원대 과징금이 나올 것이라는 관측이 나오고 있다.
다만, 이번 쿠팡의 개인정보 유출 사건은 인증 시스템 설계와 키 관리 등 내부 통제 의무 위반 여부, 신고 지연 등이 또 다른 문제로 지적되고 있기 때문에 통신사들 사례와 비교하기 어렵다는 지적도 나온다. 쿠팡이 과징금 확정 이후 SK텔레콤처럼 행정소송에 나서 정부와 다툴 여지도 있다.
업계 관계자는 “쿠팡은 한국 소비자를 대상으로 유통업을 영위하는 기업”이라면서 “사업 규모에 걸맞은 사회적 책임을 져야할 것”이라고 강조했다.
한편 당정은 최근 개인정보 유출 사고가 발생하면 기업 등의 고의·과실 여부와 관계없이 법정 손해배상 책임을 강화하는 내용을 담은 '개인정보보호법' 개정을 추진하기로 했다. 최근 대규모 개인정보 유출 사고가 잇따른 데 따른 조치다. 기업이 안전조치 의무를 모두 이행했고 귀책 사유가 없다는 점 등을 엄격하게 입증하는 경우에만 면책이 가능하도록 규정을 정비할 계획이다.
윤희석 기자 pioneer@etnews.com
