3755만명 정보 유출 쿠팡, 듀오보다 350배 무거운 제재
민감정보·주민번호 유출에도 매출 규모 따라 과징금 갈려
카카오페이 59억·인터파크 44억과 비교해도 격차 커
국내 개인정보 보호 역사상 최대 규모의 과징금이 쿠팡에 부과되면서 제재 기준의 형평성을 둘러싼 논란이 확산되고 있다. 수천만 명의 개인정보가 유출된 쿠팡은 4000억원이 넘는 과징금을 부과받은 반면, 종교·신장·체중·혈액형·재산 등 민감도가 높은 개인정보를 대거 유출한 결혼정보업체 듀오는 10억원대 과징금에 그쳤기 때문이다. 업계에서는 현행 개인정보보호법상 과징금 산정 체계가 유출 정보의 민감성이나 실제 피해 가능성보다 기업 매출 규모에 과도하게 연동돼 있다는 지적이 나오고 있다.
개인정보보호위원회는 10일 전체회의를 열고 쿠팡에 총 6246억8100만원의 과징금을 부과하기로 의결했다고 11일 밝혔다. 이는 국내 개인정보 관련 제재 가운데 역대 최대 규모다.
과징금은 크게 세 갈래로 나뉜다. 개인정보 유출 사고와 관련해 4235억7500만원, 타사 온라인 활동기록 무단 수집에 대해 2011억600만원, 쿠팡풀필먼트서비스(CFS)의 개인정보 수집·이용 처리 위반에 대해 2억4800만원이 각각 부과됐다. 전체 과징금 가운데 개인정보 유출 사고에 대한 제재가 압도적인 비중을 차지했다.
개보위 조사 결과 유출 규모는 3755만명에 달했다. 이는 지난해 사회적 파장을 일으킨 SK텔레콤 개인정보 유출 사건의 2324만명을 크게 웃도는 수준이다. 당시 SK텔레콤에는 1348억원의 과징금이 부과된 바 있다.
쿠팡에서 유출된 정보는 이름, 이메일 주소, 전화번호, 배송지 주소록, 최근 주문번호 등이다. 이와 함께 약 2600건의 공동현관 비밀번호도 포함된 것으로 파악됐다.
개인정보 보호 분야에서는 이름과 이메일, 전화번호 등을 일반 개인정보로 분류한다. 주문 내역이나 배송지, 공동현관 비밀번호 등은 개인 식별과 연관된 정보로 평가된다. 다만 주민등록번호나 건강정보, 종교, 신체정보 등 법률상 민감정보와는 구분된다.
논란은 다른 개인정보 유출 사례와 비교되면서 커지고 있다.
대표적으로 결혼정보업체 듀오 사례가 거론된다. 듀오에서는 43만명의 회원 정보가 유출됐는데, 유출 항목에는 혈액형, 혼인 여부, 재산, 신장, 체중, 원천징수 내역 등 24종에 달하는 개인정보가 포함됐다.
개인정보보호법 제23조는 종교, 건강, 생체정보 등 개인의 사생활 침해 우려가 큰 정보를 민감정보로 규정하고 있다. 업계에서는 듀오 유출 정보 가운데 종교, 신장, 체중, 혈액형 등이 여기에 해당한다고 보고 있다. 일부 주민등록번호도 유출된 것으로 알려졌는데, 주민등록번호는 법률상 고유식별정보로 분류돼 별도 보호 대상이다.
여기에 혼인 여부, 이혼 사유, 학력, 출신학교, 연봉, 재산 정보 등 개인의 삶 전반을 파악할 수 있는 정보도 포함됐다. 업계 관계자는 "현재 사생활은 물론 과거부터 현재까지 인생을 모두 파악하고 악용할 수 있는 정보가 모두 포함된 것"이라고 말했다.
일각에서는 수십 년 전 가입자의 정보까지 포함됐다는 정황도 제기됐다.
문제는 제재 수위의 차이다. 듀오는 개인정보 유출 사실을 피해자들에게 장기간 통지하지 않은 것으로 조사됐다. 개인정보보호위원회 조사에 따르면 유출 사실이 확인된 이후에도 약 15개월 동안 피해자들에게 관련 사실을 알리지 않았다.
그럼에도 듀오가 받은 과징금은 12억원 수준이었다. 위반행위 발생 직전 3년인 2022~2024년 평균 매출액 413억원을 기준으로 산정된 결과다.
반면 쿠팡은 개인정보 유출이 시작된 이후 약 5개월 만에 사고를 인지해 고객들에게 유출 사실을 통지했다. 또 개인정보를 반출한 중국 국적 전 직원을 특정하고 정보 회수 조치를 진행하는 등 추가 피해 방지를 위한 대응에 나선 것으로 알려졌다.
이 때문에 소비자들 사이에서는 "변경 가능한 이메일이나 전화번호 유출보다 재산, 혼인 이력, 신체정보 같은 정보 유출이 훨씬 치명적일 수 있다"는 목소리도 나오고 있다.
형평성 논란은 다른 대형 개인정보 사건과 비교해도 이어진다.
카카오페이는 약 4000만명의 이용자 정보를 알리페이 등에 국외 이전한 사실이 적발돼 59억6800만원의 과징금을 부과받았다. 2016년 1030만명의 개인정보가 유출된 인터파크 사건의 과징금은 44억원이었다.
업계에서는 동일한 개인정보보호법 체계 아래서도 유출 정보의 성격과 실제 피해 가능성보다 기업 규모가 과징금 수준을 결정하는 주요 변수로 작용하고 있다고 보고 있다.
현행 개인정보보호법은 위반행위 발생 직전 3개 사업연도의 평균 매출액을 기준으로 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있다. 정부는 오는 9월부터 시행되는 관련 시행령을 통해 매출액 기준 상한을 최대 10%까지 확대할 예정이다.
업계 관계자는 "유출된 정보의 실제 사생활 침해 위험도보다 기업의 외형적 매출 규모에 기계적으로 연동되다 보니 결과적으로 중소·중견기업은 국민의 가장 치명적인 비밀을 유출해도 매출이 작아 처벌 수위가 낮고, 대기업은 상대적으로 민감도가 낮은 정보만 유출돼도 수백억 원에서 수천억 원의 과징금을 부담하게 되는 구조"라고 말했다.
해외 사례와 비교하면 차이는 더욱 뚜렷하다.
IT업계에 따르면 유럽연합(EU)은 기업 매출의 2~4%, 중국은 전년도 매출의 최대 5%를 과징금으로 부과하는 매출 연동 제도를 운영하고 있다.
반면 미국과 일본, 대만 등은 한국과 같은 형태의 매출 연동 과징금 제도를 채택하지 않고 있다.
일본은 개인정보보호법 위반 시 최대 1억엔 규모의 벌금을 부과할 수 있으며, 허위 보고나 조사 방해 행위에 대해서는 별도의 정액 벌금 제도를 운영한다. 대만 역시 개인정보 유출에 대해 최대 200만 대만달러의 과태료를 부과하고, 시정 조치를 이행하지 않을 경우 추가 제재를 가하는 방식이다.
미국은 연방정부와 주정부 차원에서 사안별로 접근하는 경우가 많다. 유출 규모 자체보다 금융정보 등 민감정보가 포함됐는지, 실제 범죄에 활용돼 2차 피해가 발생했는지 등을 중점적으로 살피는 사례가 적지 않다. 또한 집단소송 등을 통한 사법적 구제 절차가 활성화돼 있는 것도 특징으로 꼽힌다.
IT업계 전문가는 "수백만 명 이상의 고객을 보유한 대형 플랫폼 기업들은 지속적으로 해커들의 공격 대상이 되고 있다"며 "유출 규모와 기업 매출만을 중심으로 과징금을 산정할 경우 정보의 민감성이나 실제 피해 정도가 충분히 반영되지 못할 수 있다"고 말했다.
이어 "유출된 정보의 성격, 2차 피해 발생 여부, 기업의 사고 대응과 회수 노력 등을 종합적으로 고려하는 제재 체계에 대한 논의가 필요하다는 목소리가 업계에서 나오고 있다"고 전했다.
