3천만명이 넘는 고객 개인정보 유출 사태가 발생한 쿠팡을 상대로 개인정보보호위원회가 강도 높은 제재에 나설 가능성이 제기된다. 역대급 과징금 부과 검토에 더해 정보보호·개인정보보호 관리체계(ISMS-P) 인증 취소 가능성까지 거론되고 있다.
현행 개인정보보호법은 개인정보 유출이 발생할 경우 기업 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정한다. 쿠팡의 지난해 매출 41조 원을 기준으로 단순 계산하면 법정 최대치는 1조2천억원을 넘는다.
다만 실제 과징금 산정 과정에서 위반행위와 직접 관련 없는 매출액은 배제되고, 법령상 감경 요소도 반영돼 현실적으로 이 수치에 도달할 가능성은 낮다는 평가가 많다.
앞서 개인정보위가 부과한 최대 규모 과징금은 SK텔레콤(SKT)에 부과된 1천347억9천만원이다.
당시에도 2천300만명 규모 개인정보가 유출됐고 중대 위반으로 판단됐지만, 사고 이후 시정 조치와 이용자 보호 노력 등을 감경 사유로 반영했다. 쿠팡 사건 역시 기준금액을 산출한 뒤, 1·2차 조정에서 가중·감경을 적용하는 절차를 따르게 된다.
4일 연합뉴스에 따르면 쿠팡 사건은 사안의 성격을 고려할 때, 재량 감경을 적용하는 과정에서도 더 엄격한 판단이 내려질 가능성이 크다는 관측이 나온다.
송경희 개인정보위원장은 전날 국회 정무위원회 현안질의에서 허영 더불어민주당 의원이 "쿠팡에게 과징금을 물 때 ISMS-P 인증을 받았다는 이유로 50% 감면할 것이냐"고 묻자 "여러 상황을 엄격히 보겠다"며 "감경 역시 재량적으로 할 수 있는 여지가 있는 만큼, 사안의 엄중성에 따라 엄격하게 판단하겠다"고 말했다.
ISMS-P는 과학기술정보통신부와 개인정보위가 공동 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도로, 쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 받았다. 그러나 이번 사고를 포함해 4건의 개인정보 유출이 발생하면서 제도 실효성 논란이 제기되고 있다.
송경희 위원장은 전날 정무위에서 "ISMS-P 인증 후 매년 모의해킹 등을 통해 실제 운영이 기준에 맞는지 점검하고, 심각한 위반이 확인되면 인증을 취소할 계획"이라고 밝혔다.
지금까지 ISMS-P 인증을 받았다가 취소된 기업은 존재하지 않아 만일 인증이 취소될 경우 쿠팡이 최초 사례가 된다.
(사진=연합뉴스)
한국경제TV 디지털뉴스부 김현경 기자
khkkim@wowtv.co.kr관련뉴스
