"같은 사고 다른 처벌" 정부, 쿠팡에만 철퇴..SKT·KT 형평성 논란

쿠팡이 대규모 개인정보 유출로 8900억원대의 과징금을 물어낼 가능성이 있는 가운데, 정부는 징벌적 손해배상 청구와 영업정지 등 보다 강도 높은 제재도 검토하겠다고 밝혔다. /이미지 제작=구글 제미나이

쿠팡의 전 국민급 개인정보 유출 사태가 확산되면서 정부와 국회가 과징금을 넘어 영업정지와 징벌적 손해배상 청구 등 고강도 제재까지 검토하고 있다. 이는 수개월 전 대규모 정보 유출이 발생한 SK텔레콤(SKT)이나 KT 사례보다 제재 수위가 높아 형평성 논란으로 이어지고 있다.

실제 유출 정보의 기술적 위험성이나 2차 피해 가능성보다 사고 축소와 늑장대응 등 기업의 태도에 대한 추궁에 초점이 맞춰지면서 정부의 제재가 정책일관성을 해칠 수 있다는 우려가 제기된다.

개인정보보호법에 따르면 쿠팡의 개인정보 유출과 관련해 부과될 수 있는 과징금은 최대 약 8900억원에 이를 것으로 전망된다. 이는 쿠팡의 최근 3개년(2022~2024년) 연평균 매출 32조9628억원에 최고등급인 4단계 ‘매우 중대한 위반행위(부과율 최대 2.7%)'가 적용될 경우 산출되는 금액이다.

현행 법령은 위반 직전 3개년 연평균 매출을 기준으로 위반 심각도에 따라 부과율을 도출한다. 실제 과징금은 위반행위와 무관한 매출을 제외하고 개선 노력 등을 종합적으로 고려해 결정되므로 변동 가능성이 있다.

최근 3370만개에 달하는 쿠팡 고객 계정에서 개인정보가 유출되는 사고가 발생했다. 범인은 중국 국적의 직원으로 퇴사 이후 발급받은 인증토큰과 서버 서명키를 악용해 쿠팡 서버에 무단 접근했다. 쿠팡은 유출 사실을 인지하지 못하다 뒤늦게 이상징후를 포착해 개인정보보호위원회에 신고했다. 이후 초기 보고 때보다 유출 규모가 크게 확대되면서 '사태 축소' 논란이 일었다.

그러나 쿠팡 앞에는 더 큰 위기가 도사리고 있다. 국회 과학기술정보방송통신위원회와 정무위원회가 이달 2~3일 회의에서 과징금을 넘어 영업정지 및 징벌적 손해배상 청구까지 검토할 수 있다는 입장을 밝혔기 때문이다.

현행 개인정보보호법 제39조에 따르면 징벌적 손해배상 제도에는 개인정보처리자의 고의 또는 중대한 과실로 개인정보가 도난·유출될 경우 손해액의 최대 5배까지 배상하도록 규정돼 있다. 이 제도는 2014년 카드3사(KB국민·NH농협·롯데카드) 사태를 계기로 2015년에 도입됐지만 지난 10년간 실제 적용된 적이 없어 이번 논의가 주목된다.

SKT·KT와 다른 대응 수위

배경훈 부총리 겸 과학기술정보통신부 장관이 11월30일 오후 정부서울청사에서 열린 '쿠팡 침해사고 및 개인정보 유출 관련 관계부처 긴급 대책회의'에서 발언하고 있다. /사진 제공=과기정통부

정부의 강경 대응은 쿠팡의 축소 및 늑장 대응에 따른 결과지만 일각에서는 법과 원칙을 넘어선 '규제 형평성'에 대한 논란이 제기됐다. 불과 몇달 전인 4월 2324만명에 달하는 SKT 유심 정보 해킹, 9월 KT의 불법 기지국을 통한 소액결제 사건과 비교해도 쿠팡에 대한 제재 수위가 지나치게 높다는 지적이다.

정보기술(IT) 업계 관계자는 “보안 관점에서는 통신사에서 유출된 유심 인증키나 개인 식별번호는 계좌 탈취나 2단계 인증 무력화로 이어질 수 있는 초고위험 정보로 쿠팡 사태보다 더 민감하게 다뤄야 한다”고 말했다. 그러면서도 “쿠팡은 금융결제 정보나 신용카드 번호가 유출되지 않았다고 밝혔지만 실제 유출이 확인된다면 통신사보다 피해 규모가 더 클 수 있다”고 덧붙였다.

SKT의 경우 해커가 약 4년 전부터 내부망에 침투해 악성 프로그램을 설치하고 홈가입자서버(HSS)에 저장된 이용자 정보를 지속적으로 유출한 것으로 드러났다. 당시 부과할 수 있었던 과징금은 최대 3000억원이었지만 통신업의 특수성과 사후 수습 노력을 감안해 매출의 1% 수준인 1348억 원으로 감경됐다.

KT 역시 해킹 사실을 사전에 인지하고도 당국에 신고하지 않은 정황이 드러났고 피의자는 중국 국적의 해커로 확인됐다. 이는 쿠팡 사태와 유사하다는 분석이 나온다. 현재까지 파악된 KT의 피해는 278건, 약 1억7000만원 규모다. 이에 정부는 최근 쿠팡 이슈가 맞물리자 KT에 대한 위약금 면제 여부와 영업정지 가능성도 검토하겠다고 밝혔다.

이에 따라 법적 조치는 보안 책임을 묻는 수준에 그쳐야 하고 시장의 혼란을 초래하는 과잉대응은 피해야 한다는 목소리도 나온다. 유통 업계의 한 관계자는 "동일한 성격의 개인정보 유출 사고임에도 쿠팡에 대해서만 영업정지 조치가 거론되는 것은 불합리하다”며 "실제 영업정지로 이어질 경우 전국 단위 물류망의 운영 차질과 현장 노동자의 생계, 소비자 불편 등 광범위한 여파가 우려된다”고 강조했다.

결제 정보 빠졌다지만…"2차 피해 가능성 여전"

다만 전문가들은 이번 정부의 강경조치를 생활밀착형 정보 유출에서 비롯된 대응으로 해석하고 있다. 반복되는 유사 사고에 대한 정책적 경고의 의미도 함께 담긴 조치라는 것이다.

박기웅 세종대 정보보호학과 교수는 "전 국민의 실거주 주소, 생활패턴, 기호식품 등의 정보가 노출되면 타깃형 범죄 시나리오를 다양하게 구성할 수 있다"며 "여기에 주민등록번호 등 다른 정보와 결합될 경우 추가 분석이 가능해져 고도의 맞춤형 공격으로 이어질 수 있다”고 지적했다. 그러면서 "기업 입장에서는 억울한 부분도 있을 수 있지만 지금은 당근과 채찍이 필요한 시기"라며 "이 같은 제재가 정보보안 투자 확대와 인식전환의 계기가 된다면 충분한 의미를 가질 것"이라고 덧붙였다.

이유리 기자

기사원문보기

Copyright © 블로터