개인정보위, 31만 회원 정보 노출한 쿠팡 조사.. 과태료 가능성

개인정보보호법 위반 시 과태료 5000만원 부과
기업이 '안전성 확보' 위해 노력했는지 여부 중요

쿠팡 애플리케이션(앱)에서 회원 31만명의 정보가 노출돼 국무총리실 산하 개인정보보호위원회가 조사에 나섰다. 개인정보위는 개인정보보호법을 위반한 기업에 최대 5000만원의 과태료를 부과할 수 있으며 피해자는 손해액의 3배까지 별도로 손해 배상을 청구할 수 있다. 처벌 여부를 가르는 기준은 기업이 개인 정보를 안전하게 관리하기 위해 얼마나 노력했는지다.

27일 업계에 따르면 전날 오후 2시쯤부터 약 1시간 동안 쿠팡 앱의 상품 주문 후 확인 단계에서 회원 본인이 아닌 다른 사람의 이름과 주소가 일부 노출됐다. 쿠팡은 앱 개선 작업 중 발생한 사고로, 노출을 인지한 즉시 보안 조치를 마쳤고 원인과 경과 파악을 위해 이날 오전 한국인터넷진흥원에 신고했다고 설명했다. 쿠팡은 피해 고객에게 따로 공지할 예정이다.

개인정보위는 쿠팡이 개인정보보호법을 어긴 사실이 있는지 조사에 착수했으며 위반 사실을 적발할 경우 행정 처분할 계획이라고 밝혔다. 개인정보보호법 34조에 따라 개인 정보 처리자는 정보 유출을 알게됐을 때 지체없이 유출 정보 항목, 유출 시점·경위, 피해 신고를 접수하는 담당 부서·연락처, 대응 조치, 구제 절차 등을 알려야 한다. 같은 법 75조는 위반 시 최대 5000만원까지 과태료를 부과한다고 돼 있다. 개인정보위 심의·의결에 따라 과징금도 부과할 수 있다.

다만 정보가 노출됐어도 기업이 안전성 확보에 필요한 조치를 다하는 경우 개인정보위는 과태료를 부과하지 않는다. 개인정보위 조사2과 관계자는 “쿠팡이 개인 정보 보호를 위한 책임을 다했는지 여부가 과태료 부과에 영향을 미칠 수 있다”며 “쿠팡이 공지한 내용이 실제 사고 내용과 일치하는지, (앱 개발) 엔지니어 관리가 제대로 이뤄졌는지 등을 살필 예정”이라고 했다.

개인정보위는 이날 8만명이 넘는 고객 정보가 유출된 샤넬코리아에 과태료 1860만원과 과징금 1억2616만원을 부과했다. 개인 정보 처리 시스템에 접속할 수 있는 관리자 계정의 비밀번호를 누구나 쉽게 추측할 수 있도록 설정해 안전 조치 의무 등을 위반했다는 게 개인정보위 설명이다.

개인정보위 조사와 별도로 피해자들은 손해 배상을 청구할 수 있다. 법원은 손해액의 3배를 넘지 않는 범위에서 손해 배상액을 정한다. 손해 배상 역시 기업이 안전성 확보를 위해 노력했고 고의 또는 과실이 없음을 입증하면 책임을 면할 수 있다.

서울지방변호사회 박주희 변호사는 “직원의 관리 부실 등으로 정보가 노출된 경우 배상 책임을 물을 수 있다”면서도 “기업이 기술적으로 개인 정보 보호를 위한 노력을 했는데도 예상치 못한 해킹 공격 등으로 정보가 노출된 경우에는 책임을 묻기 어렵다”고 말했다.

대법원 2부(주심 박상옥 대법관)는 지난해 9월 고객 정보를 소홀하게 관리해 1억개가 넘는 개인 정보가 유출된 혐의(개인정보보호법 위반)를 받은 NH농협은행·KB국민카드·롯데카드에 벌금 1000만~1500만원을 선고한 원심 판결을 확정했다. 이들 업체는 2012년~ 2013년 신용 카드 부정 사용 예방 시스템을 개발하며 신용 정보 회사와 계약을 맺었는데, 신용 정보 회사 직원 A씨는 고객 정보를 본인 USB에 복사하는 식으로 정보를 빼돌린 것으로 나타났다.

반면 해킹으로 개인 정보가 유출된 옥션은 책임을 면했다. 대법원 1부(주심 고영환 대법관)는 지난 2015년 2월 피해자 3만2000여 명이 낸 손해 배상 소송에서 “옥션이 기술·관리적 조치를 취해야 할 의무나 개인 정보 안전성 확보에 필요한 보호 조치를 취해야 할 의무를 위반했다고 보기 어렵다”고 판단했다.

쿠팡 측은 “24시간 내 관련 기관에 신고했다”는 입장이다. 강한승 쿠팡 대표는 “불미스러운 일이 발생한 점을 깊이 사과한다”며 “개인 정보 보호와 재발 방지를 위해 필요한 모든 노력을 기울일 것”이라고 했다.

조선비즈

경제

개인정보위, 31만 회원 정보 노출한 쿠팡 조사.. 과태료 가능성