역대 최악의 개인정보 유출사고인데... 쿠팡, 과징금 얼마나 물까?

박성우 2025. 12. 1. 17:48
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
현행법은 전체 매출액의 최대 3%... 조정 통해 최대 50% 감경되기도

[박성우 기자]

쿠팡에서 역대 최대 규모의 개인정보 유출 사고가 발생했다. 지난 29일 쿠팡은 무려 3370만 명에 달하는 고객들의 이름·전화번호·자택과 배송지 주소 등 개인정보가 유출되었다고 밝혔다.

문제는 이 유출 사실을 쿠팡이 무려 5개월 동안 몰랐다는 점이다. 민관 합동조사단에 따르면 지난 6월 24일부터 최근까지 해외에서 고객 개인정보에 대한 비정상적인 접근이 있었지만 쿠팡이 이를 알게 된 것은 지난달 초다.

그조차도 쿠팡이 자체적으로 인지한 것이 아니라 일부 고객으로부터 '당신의 개인정보를 알고 있다'는 협박성 이메일을 받았다는 항의를 받고나서야 유출 사실을 인지했다. 내부 직원의 소행이라는 쿠팡의 추측이 사실이라면 직원 관리 소홀은 물론, 일개 직원 한 명이 3천만 명이 넘는 개인정보를 유출할 수 있는 시스템 자체가 문제라는 비판을 피하기 힘들어 보인다.

전체 매출액 최대 3% 적용하면 1조 원대 과징금... 최종 산정액은 감경될 가능성 높아

 개인정보보호법 시행령은 과징금 부과기준율을 가장 위반행위가 중대한 '매우 중대한 위반행위'의 경우 위반행위 관련 매출액의 2.1%~2.7% 이하, 가장 위반행위가 사소한 '약한 위반행위'의 경우는 0.03%~0.9% 미만을 규정하고 있다.
ⓒ 국가법령정보센터
한편 이번 유출 사고로 인해 쿠팡이 감당해야 할 과징금에 대해서도 관심이 쏠리고 있다. 현행 개인정보보호법에 따르면 개인정보 유출사고 발생시 개인정보보호위원회는 개인정보처리자의 전체 매출액의 최대 3%를 과징금으로 부과할 수 있다.

쿠팡의 지난해 매출은 38조2988억 원, 올해 3분기까지 매출은 36조3094억 원으로 매해 상승세다. 지난해 매출을 기준으로 하면 최대 1조1490억 원의 과징금이 부과될 수 있다. 현재 개인정보 유출 사고로 가장 큰 과징금을 처분받은 기업은 SK텔레콤으로 지난 8월 1347억9100만 원을 처분받았다.

다만 개인정보보호법은 위반행위와 관련이 없는 매출액을 제외한 매출액에 한해 과징금을 산정하도록 규정하고 있고 부과기준율 또한 위반행위의 중대성에 따라 다르다. 개인정보보호법 시행령은 과징금 부과기준율을 가장 위반행위가 중대한 '매우 중대한 위반행위'의 경우 위반행위 관련 매출액의 2.1%~2.7% 이하, 가장 위반행위가 사소한 '약한 위반행위'의 경우는 0.03%~0.9% 미만을 규정하고 있다.

이러한 위반행위의 중대성은 ▲ 위반행위의 내용 및 정도 ▲ 암호화 및 안전성 확보 조치 이행 노력 ▲ 개인정보가 분실·도난·유출·위조·변조·훼손된 경우 위반행위와 관련성 및 그 규모 ▲ 개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향 ▲ 위반행위로 인한 정보주체의 피해 규모 등을 종합적으로 고려하여 판단한다.

다만 해당 부과기준율을 통해 산정된 과징금은 이후 1·2차 조정을 통해 최대 50%까지 감경될 수도 있다.

독일·호주 등은 매출액의 4~30%까지 과징금 부과, 캘리포니아였으면 최대 3.7조원 과태료

 한편 세계 주요국의 경우 개인정보를 유출한 기업에 대해 한국보다 더 많은 과징금을 부과하고 있다.
ⓒ 세계법제정보센터 갈무리
한편 세계 주요국의 경우 개인정보를 유출한 기업에 대해 한국보다 더 많은 과징금을 부과하고 있다.

세계법제정보센터의 '세계 각국의 개인정보 유출에 대한 처벌 규정'에 따르면 독일은 유럽연합의 개인정보보호규정(GDPR)을 위반할 경우 최대 2천만 유로(약 340억 원) 또는 전 세계 연간 매출액의 4% 중 더 큰 금액에 과징금을 부과하도록 규정하고 있다.

호주의 경우는 '1988 개인정보 보호법'에 따라 최대 5천만 호주달러(약 480억 원), 정보이용을 통해 얻은 이익의 3배, 해당 기간 기업의 조정된 매출액의 30% 중 가장 큰 금액의 과징금을 부과하는 민사처벌조항을 규정하고 있다.

미국은 주별로 다르긴 하지만 캘리포니아주는 '캘리포니아주 소비자개인정보보호법 2018'에 의거해 경중에 따라 위반 건당 2500달러(약 370만 원)에서 7500달러(약 1100만 원) 이하의 과태료 처분을 받는다. 만약 쿠팡이 캘리포니아주 소재 기업이었다면 최소 1조2300억 원, 최대 3조6900억 원의 과태료 처분을 받는 셈이다.

과징금과 별개로 개인정보 유출 피해를 입은 소비자들이 받아야 할 보상금도 남아있다. 현재 쿠팡을 상대로 한 집단소송 카페가 10여 개 개설되고 총 가입자 수는 20만 명에 달하는 것으로 파악됐다.

지난 2022년 미국 이동통신사 T-모바일은 7660만 명에 달하는 고객들의 개인정보를 유출해 관련한 집단소송에서 3억 5천만 달러(약 5140억 원)를 지급하기로 합의한 바 있다. 당시 피해 고객들은 인당 최대 2500달러의 보상금을 받은 것으로 알려졌다.

Copyright © 오마이뉴스. 무단전재 및 재배포 금지.

오마이뉴스에서 직접 확인하세요. 해당 언론사로 이동합니다.