쿠팡, 최대 1조 과징금 위기… 다른 이커머스도 부랴부랴 보안 점검

쿠팡, 수천억~1조원대 과징금 가능성
이커머스 업계 ‘초긴장’

쿠팡. 연합뉴스

국내 1위 이커머스 업체 쿠팡에서 3000만건이 넘는 개인정보가 유출된 가운데 쿠팡이 수천억원에서 1조원대 과징금을 부과받을 것이란 관측이 나온다. 이에 쿠팡과 비슷한 유통구조를 가진 다른 이커머스 업체들도 보안 점검에 서둘러 나섰다. 소비자들 사이에선 이커머스 업계 전반에 대한 정보유출 공포가 번지는 모습이다.

1일 정보보안 업계에 따르면 고객 계정 약 3370만개 유출 사고를 일으킨 쿠팡은 당국의 제재를 피할 수 없을 것으로 보인다. 이번에 유출된 정보는 이름, 이메일, 전화번호, 배송지 주소뿐 아니라 일부 주문 내역 등 민감정보가 포함돼 거액의 과징금 부과는 기정사실이나 마찬가지다. 업계는 당국이 최대 1조원의 과징금을 부과할 수 있다고 추산한다.

2023년 개정된 개인정보보호법에 따르면 법 위반 시 전년도 전체 매출액의 최대 3%까지 과징금을 부과할 수 있다. 시행령은 이 ‘전체 매출액’을 직전 3개 사업연도 평균 매출액으로 산정하도록 규정하고 있다. 쿠팡의 지난해 연결 매출액이 약 41조원에 달하는 만큼 유통과 관련 없는 매출을 제외하더라도 과징금은 최대 1조원에 육박할 수 있다는 분석이 나온다.

지난 4월 발생한 SK텔레콤의 개인정보 유출 사고와 관련해 이 회사는 역대 최대인 약 1348억원의 과징금을 부과받았다. 쿠팡은 SKT보다 매출 규모가 크고 유출 규모도 커 ‘사상 최대 과징금’으로 이어질 가능성이 크다.

다만, 미국 뉴욕증시에 상장된 미국 법인 쿠팡 Inc.와 한국서 사업을 벌이는 자회사인 쿠팡코리아의 매출 중 어떤 것이 과징금 기준이 될지는 좀 더 지켜봐야 한다.

업계에서는 쿠팡이 최근 4년간 정보보호 투자 규모가 2700억원이 넘을 만큼 정보보호 투자에 신경을 썼음에도 내부 통제에 실패해 정보유출 사고를 낸 게 아니냐는 분석이 나온다. 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 쿠팡은 올해 정보기술에 1조9171억원, 이중 정보보호 부문에 890억원을 각각 투자하고 있다. 정보보호 투자액 비중은 삼성전자, KT 다음으로 크다.

쿠팡 사태 이전에도 이커머스 고객정보 유출은 상당 규모로 발생했다. 2008년 옥션에서 발생한 개인정보 유출 사건이 대표적이다. 당시 회원 1800만명 이상의 이름, 주소, 전화번호 등 개인정보가 대거 유출된 바 있다. 다만, 당시 법원은 옥션이 합리적인 수준의 보안 조치를 취했다고 판단해 기업의 배상 책임이나 과징금을 인정하지 않았다.

이후에도 2016년에는 인터파크 해킹 사고로 1030만명의 회원 정보가 빠져나갔다. 당국은 44억8000만원의 과징금과 2500만 원의 과태료를 부과했다.

김나인 기자 silkni@dt.co.kr