민감정보 털린 듀오는 12억, 쿠팡은 4235억…과징금 형평성 논란 확산

서울 송파구 쿠팡 본사.ⓒ뉴시스

개인정보보호위원회(개보위)가 개인정보 유출 사태 등을 이유로 쿠팡에 총 6246억원의 역대 최대 과징금을 부과했다. 사실상 지난해 영업이익 대부분이 과징금으로 사라질 수 있는 수준의 중징계다.

그러나 혈액형·재산·혼인 이력 등 민감정보가 유출된 다른 사례보다 수백 배 많은 과징금이 부과되면서 제재 기준의 형평성을 둘러싼 논란이 커지고 있다.

11일 개보위는 지난 10일 전체 회의를 통해 3755만명의 개인정보를 유출한 개인정보 유출 위반 등에 6246억8100만원의 과징금을 부과하기로 결정했다고 밝혔다.

개보위가 조사한 사건은 크게 3가지로 개인정보 유출 사고와 타사 온라인 활동기록 무단 수집, 그리고 쿠팡풀필먼트서비스(CFS)의 개인정보 수집 이용 처리 위반, 개인정보 유출 사고(4235억7500만원), 타사 온라인 무단 수집(2011억600만원), CFS(2억4800만원) 등이다.

쿠팡 측은 전날 개보위와 전원회의에서 ▲2차 피해가 발견되지 않았다는 점 ▲개인정보 회수 노력에 최선을 다했다는 점 ▲개보위로부터 보안체계 운영 우수성으로 ISMS-P 인증을 받았다는 점 등을 적극 어필한 것으로 알려졌다.

그럼에도 국내 최대 규모의 과징금을 맞으면서, 쿠팡 측은 당혹감을 감추지 못하고 있다.

특히 이번 과징금은 지난해 영업이익(6790억원)에 육박하는 규모로, 회사의 수익성과 투자 계획에도 적지 않은 부담으로 작용할 전망이다.

지난 1분기에도 쿠팡은 2021년 4분기(약 4800억원) 이후 4년 3개월 만에 최대 손실을 낸 바 있다.

쿠팡은 이날 입장문을 통해 "작년 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못한 점 유감스럽게 생각한다"고 말했다.

이어 "개인정보위원회로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되길 기대한다"고 밝혔다.

일각에서는 유사 사례와 비교할 때 형평성에 어긋난다는 지적도 나온다.

쿠팡은 이번 결정을 통해 지난해 말 발생한 개인정보 유출 사고에 대해 4235억7500만원의 역대 최대 규모 과징금을 부과받았다.

쿠팡에서 유출된 정보는 이름·이메일·전화번호·배송주소록·최근 주문번호와 약 2600건의 공동현관 비밀번호다. 이 정보들 가운데 이름과 이메일, 전화번호는 ‘일반 개인정보’에 해당하며, 주문 내역과 배송지, 현관번호는 개인식별번호에 해당한다.

이번 과징금 규모는 지난해 SK텔레콤 개인정보 유출 사건(2324만명·1348억원)을 크게 웃돈다.

또 이는 민감정보를 유출한 결혼정보업체 듀오의 350배에 달하는 과징금이다.

듀오는 혈액형, 혼인 여부, 재산, 신장·체중, 원천징수 내역 등 총 24종의 개인정보가 유출돼 논란이 됐다.

개인정보보호법상 종교, 신장, 체중, 혈액형 등은 민감정보에 해당하며, 주민등록번호는 고유식별정보로 별도 보호 대상이다. 여기에 혼인·이혼 이력, 학력, 출신학교, 연봉 등 개인의 사생활 전반을 파악할 수 있는 정보도 포함됐다.

그러나 듀오는 위반행위 발생 직전 3년(2022~2024년) 평균 매출액 413억원의 3% 수준인 12억원의 과징금을 부과받는 데 그쳤다.

특히 듀오는 과징금 처분을 받은 당일까지 무려 15개월간 피해자에게 유출 사실조차 통지하지 않았음에도 이 같은 처분을 받아 형평성 논란이 제기된다.

반면 쿠팡은 유출 규모 자체는 크지만 유출 사건이 시작된 2025년 중순 이후 5개월 만에 사건을 인지했고, 고객에 유출 통보했다.

여기에 카카오페이가 약 4000만명의 이용자 정보를 알리페이 등 국외 이전한 사례(과징금 59억6800만원), 2016년 1030만명이 털린 인터파크 개인정보 유출 사태(과징금 44억원) 등과도 비교된다는 지적이 나온다.

업계에서는 이러한 극단적인 불균형이 발생하는 원인은 현행 개인정보 보호법의 과징금 산정 방식 때문으로 보고 있다.

직전 3개년 평균 매출액의 최대 3%를 부과할 수 있도록 한 현재 과징금 부과 체계 때문이라는 것이다.

업계 관계자는 “유출된 정보의 실제 사생활 침해 위험도보다 기업의 외형적 매출 규모에 기계적으로 연동되다 보니, 결과적으로 중소·중견기업은 국민의 가장 치명적인 비밀(신체정보, 종교, 재산 등)을 유출해도 매출이 작아 가벼운 처벌에 그친다”며 “반면 대기업은 2차 범죄 악용 우려가 적은 일반 식별 정보만 유출되어도 수백억에서 수천억 원에 달하는 천문학적인 '기업 벌금'을 물어야 한다”고 말했다.

여기에 개보위는 오는 9월부터 매출의 최대 10%를 개인정보 유출 과징금으로 부과하는 시행령 실행 예정이다.

이에 해외 사례를 참조해 제도 개선을 꾀해야 한다는 주장이 나온다.

IT업계에 따르면 한국과 함께 유럽연합(EU), 중국 등이 매출 연동 과징금 제도를 운영하고 있다. EU는 글로벌 매출의 2~4%, 중국은 전년도 매출의 최대 5%를 과징금으로 부과할 수 있다.

반면 미국과 일본, 대만 등은 매출 규모와 직접 연동한 과징금 제도를 두고 있지 않다.

일본은 개인정보 유출 위반 시 최대 1억엔(약 9~10억원)의 벌금을 부과하며 허위 보고나 조사 방해 시에도 정액 기준으로 제재한다. 대만 역시 개인정보 유출 시 최대 200만 대만달러(약 8400만원), 시정조치 불이행 시 최대 1500만 대만달러 수준의 추가 제재를 부과한다.

미국은 주정부별 제도가 다르지만 유출 규모 자체보다는 금융정보 등 민감정보 여부와 실제 범죄 악용 가능성, 2차 피해 발생 여부 등을 중점적으로 살펴 제재 수위를 결정하는 경우가 많다.

IT업계 전문가는 “수백만 명 이상의 고객을 보유한 B2C 기업들이 지속적인 해커의 표적이 되고 있는 상황에서, 유출 규모와 기업의 매출만을 기계적으로 곱해 징벌적 과징금을 부과하는 것은 산업계 전반의 보안 투자 의지를 꺾고 심각한 혼란을 초래할 수 있다”며 “정보의 민감성, 실질적 2차 피해 여부, 기업의 회수 및 방어 노력을 종합적으로 고려해 국민이 납득할 수 있는 균형 있는 제재 수위가 조절되어야 할 것”이라고 조언했다.