[비즈니스포스트] 쿠팡 개인정보 유출 과징금 규모는?

쿠팡 측 로비로 미국 정부·정치권의 압박이 거센 것으로 알려지고 있는데, 개인정보보호위원회가 독립 감독기관으로서 원칙대로 쿠팡을 제재할 수 있을까?

개인정보보호위가 이용자 개인정보를 대량 유출한 쿠팡에 대한 과징금 부과 안건을 6월10일 전체회의에 상정해 심결할 예정이라고 밝히며 세간의 관심이 다시 집중되고 있다.

무엇보다 개인정보보호법 개정으로 매출액의 10%(기존에는 3%)까지로 높아진 징벌적 과징금 제도가 쿠팡에 소급 적용되지는 않겠지만, 개인정보보호위가 중대 개인정보 유출 사고를 반복적으로 일으킨 기업에 정말로 징벌적 과징금을 부과할지 의지를 엿볼 수 있다는 기회가 될 것이란 분석이 많다.

앞서 송경희 개인정보보호위원장은 지난 5월12일 언론 브리핑에서 "쿠팡에 대한 조사를 다 끝냈고, 행정절차법에 따라 조사 결과에 대한 사전통지를 보냈다"며 "사업자가 제출한 의견을 받아서 검토 중이고, 검토가 완료되면 개인정보보호위 전체회의에서 의결할 예정"이라고 밝힌 바 있다.

쿠팡의 2025년 매출은 49조1천억 원에 달했다. 이 업체의 지난해 개인정보 유출 규모는 3천여만 건에 이른다.
  
비즈니스포스트가 법률대리 업계 관계자들을 만나 들은 얘기를 종합하면, 쿠팡 개인정보 유출 건에 대한 과징금은 4천억 원 안팎 규모로 점쳐진다.

개인정보 유출에 대한 제재로 부과된 과징금으로는 역대 최대 규모다. 하지만 애초 쿠팡 매출액을 감안할 때 1조 원 넘는 과징금이 부과될 수 있다고 예상됐던 것에는 크게 못 미친다.

지난해 대규모 통신망 해킹 및 가입자 개인정보 대량 유출 사태를 일으킨 SK텔레콤에 대한 과징금 예상액이 애초 5천억 원대로 예상됐다가 전체회의 상정을 앞두고는 예상액이 3천억 원대로 줄어들더니, 실제 부과액은 1347억 원에 그쳤던 것과 같은 길을 가는 모습이다.

물론 쿠팡 과징금 금액을 구체적으로 예측하기에는 아직 변수가 많다.

개인정보보호위 조사조정국 조사 결과와 쿠팡 측 이의제기 정도에 따라 위반행위의 중대성 판단이 달라지고, 개인정보보호위 전체회의 심결 과정에서 조사조정국의 판단이 뒤집힐 수도 있다. 가중과 감경을 어떻게 얼마나 하느냐에 따라서도 금액이 추가로 크게 흔들릴 수도 있다.

개인정보보호법 시행령에 따르면, 위반행위의 중대성이 '매우 중대한' 것으로 판단된 경우에는 관련 매출액의 2.1~2.7%, '중대'할 때는 1.5~2.0%, '보통'은 0.9~1.4%, '약한'은 0.03~0.8% 선에서 기준금액이 결정된다. 이어 기준 금액을 기준으로 몇 차례의 조정 과정을 거쳐 최종 부과액이 결정된다.

이와 별도로 전체회의 심결 과정에서 이른바 '인정'이 개입할 여지도 있다. 법률대리를 맡은 법무법인이 가장 집요하게 파고드는 지점이다.

법률대리 업계에선 임기 만료를 앞둔 위원들이 '말년'을 이유로 원칙을 고수할 수도 있고, 반대로 '말년'을 이유로 통 크게 인심을 쓰는 처신을 할 수 있다는 지적도 나온다.

세금과 과징금은 높게 산정하면 당사자가 얼굴까지 붉히며 반발하지만, 감경에 대해서는 누구도 이의제기를 하지 않는 특징이 있다. 이런 이유로 세금과 과징금을 두고는 '대리' 생태계가 활성화하고, '비리'가 많이 발생한다.

법률대리를 맡은 법무법인은 개인정보 유출 과징금을 낮추기 위해 안간힘을 쓴다. 방어 성공 평가를 받고, 성공 보수를 챙기기 위해서다. 방어 성공 평가를 받으면, 다른 기업들을 고객(클라이언트)로 유치하는 데도 큰 도움이 된다.

쿠팡 개인정보 유출 건의 법률대리는 법무법인 세종이 맡고 있다.

사회적으로는 쿠팡 과징금을 높게 부과해야 한다는 주문이 많다. 국내 최대 개인정보 유출 사태를 일으킨 것을 제재하는 동시, 재발 방지 노력을 강제하는 측면에서도 엄중한 제재가 필요하다고 말하는 이들이 많다.

김범석 쿠팡 창업자가 미국 시민권 뒤에 숨어 개인정보 유출 사태에 대해 공식 사과조차 하지 않은데다, 미국 정부와 정치권 로비를 통해 우리나라 감독기관을 압박하도록 한 것으로 알려진 것도 이런 여론을 키우고 있다.

과학기술정보통신부 민관합동조사단 조사 결과를 보면, 그동안 우리나라에서 발생한 개인정보 유출 사태는 대부분 보안을 소홀히 해 발생했다. 해킹 및 개인정보 유출 조사 때마다 해킹 탐지 시스템조차 없이, 백신프로그램 업데이트도 하지 않고, 퇴직한 전산시스템 관리자의 아이디와 비밀번호를 그대로 쓰는 등의 보안 소홀 사례가 적나라하게 드러났다.

해킹 사실을 은폐하거나 서버 삭제 등을 통해 합동조사단 조사를 방해하기도 했다. 보안에 대한 투자를 '비용'으로 인식해 우선 순위에서 뒤로 미루다 해킹을 당해 개인정보가 유출되는 사례도 잦았다.

과기정통부 장·차관은 물론 대통령까지 나서서 '보안 강화 노력은 비용이 아닌 투자로 인식해야 한다'고 강조하고, 보안 투자를 소홀히 하다가 해킹을 당해 개인정보를 유출한 것으로 드러나면 징벌적 과징금과 손해배상 등을 통해 '패가망신'하게 만들어야 한다고 으름장을 놓는 이유이다.
  
사실 기업 측 계산법은 간단하다. 보안을 소홀히 하다 해킹을 당해 개인정보를 유출했을 때, 보안 투자를 게을리해 아낀 금액의 몇 배에 해당하는 과징금을 부과하는 동시에 개인정보 유출 피해 보상도 해야 하게 되면, 이후로는 보안을 소홀히 하는 의사결정을 하지 못한다.

재발 방지 노력을 강제하기 위해서라도 개인정보 유출 과징금을 높게 부과하고, 피해 보상도 제대로 하게 해야 한다는 지적이 나오는 배경이다.
  개인정보 유출 제재를 '솜방망이' 수준으로 하면 재발이 이어진다는 사실을 보여주는 사례도 많다.

쿠팡은 2023년에도 이용자 개인정보를 유출해 과징금을 부과받은 적이 있다.

국회 정무위 소속 한창민 사회민주당 의원이 개인정보보호위 자료를 분석한 결과를 보면, 쿠팡 판매자 전용 시스템(윙)에서 오류가 발생해 2만2440명의 주문자·수취인 개인정보가 다른 판매자에게 노출됐다.

하지만 개인정보보호위 과징금 제재는 느슨했다. 개인정보보호위가 기준금액을 39억4천만 원대로 낮게 산정한데다, 그나마도 조정·감경 절차를 거치며 최종 부과액은 13억1천만 원에 그쳤다.

당시 개인정보보호위는 쿠팡 개인정보 유출을 '약한' 위반행위로 판단해 직전 3개 사업연도의 평균 매출액의 0.47%를 기준금액으로 삼은 것으로 알려졌다.

이어진 조정에서는 위반 기간이 길다는 이유로 25% 가중이 이뤄졌으나, 곧바로 이익을 취득한 게 없다는 이유로 다시 30% 감경됐다.

이어 시정 조치 완료, 조사 협력, ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 보유, 자율규약 운영 등이 2차 조정 사유로 인정됐다. 총 50% 감경이 이뤄지며 과징금은 다시 18억7150만 원으로 떨어졌다.

뒤이어 정보보호 투자 노력 등이 고려돼 30% 추가 감경이 이뤄졌다.

결국 최종 부과액은 13억1천만 원에 그쳤다.

당시 한 의원은 언론 인터뷰에서 "2차 조정에 반영된 사유들은 기업이 당연히 수행해야 할 기본적 의무에 가깝다”며 “그런데도 이를 근거로 대폭 감경이 반복되는 것은 제도 취지와 맞지 않는다"고 지적했다. 이어 "ISMS-P 인증은 일정 규모 이상 기업이 의무적으로 받아야 하는 제도인데, 인증 보유만으로 최대 50% 감경 혜택을 주는 것은 납득하기 어렵다"고 덧붙였다.

이후 2년도 지나지 않아 쿠팡에선 이용자 개인정보가 유출되는 사고가 또 일어났다. 이번에는 개인정보 유출 피해가 3천여만 건에 달했다.

유사 사례가 LG유플러스에서도 일어났다.

LG유플러스 역시 보안을 소홀히하다 2022년 통신망 해킹을 당해 가입자 32만여 명의 개인정보를 유출했다. 하지만 과징금은 69억 원에 그쳤다.

당시 개인정보보호위 관계자들의 말을 종합하면, 애초 과징금이 1천억 원에 육박할 것으로 예상됐으나 위반행위 정도 및 관련 매출액의 범위 판단과 여러 차례의 감경 절차를 거치며 69억 원대로 낮아졌다.

당시 LG유플러스 안에선 '선방했다'는 평가가 많았다. 법률대리를 맡은 법무법인은 적잖은 성공보수를 챙긴 것으로 알려졌다. 당시 LG유플러스 법률대리를 맡았던 법무법인 세종은 SK텔레콤 통신망 해킹 및 개인정보 유출 건과 쿠팡 개인정보 유출 건에 대한 법률대리를 맡았다.

이후 2년도 안 돼 LG유플러스에서는 통신망 해킹과 개인정보 유출 사고가 또 발생했다.

앞서 송 위원장은 언론 브리핑에서 "법이라는 게 감정으로 되는 건 아니라 (처분은) 철저하게 법 원칙에 따라서 이루어질 것"이라며 "잘못한 책임이 있다면 책임에 상응하는 처분을 내리기 위해서 최선을 다하고 있다"고 말했다.

그런데 개인정보보호위가 쿠팡 로비에 따른 미국 정부와 정치권의 압박을 의식해 '레버리지' 전략을 쓰려는 것 같다는 뒷말이 나와 주목된다.

법률대리 업계 관계자들의 말을 종합하면, 개인정보보호위는 쿠팡 개인정보 유출 건을 조사하는 과정에서 이용자 개인정보 부당 이용 사례를 발견해 함께 조사하고 있다. 별 건에 대한 조사 역시 거의 마무리된 것으로 알려졌다.

그런데 개인정보보호위가 쿠팡 개인정보 유출 건을 전체회의에 상정할 때 개인정보 부당 이용 건도 함께 올릴 예정인 것으로 알려졌다.

법률대리 업계에선 '원칙에 맞지 않는다'는 지적이 나온다. 한 법무법인 관계자는 비즈니스포스트와 만나 "미국 쪽 압박을 의식해 개인정보 유출 건에 대한 과징금 일부를 별건 쪽으로 돌려, 쿠팡에 부과되는 과징금 전체 액수는 유지하되 개인정보 유출 건에 대한 과징금 액수는 낮추려는 것 같다는 분석이 돌고 있다"고 전했다.

다른 법무법인 관계자는 "쿠팡의 개인정보 유출 건이 몸통이라면, 부당 이용 건은 꼬리다. 둘을 병합해 심결하고 과징금을 나눠 부과하려는 것은 원칙에 어긋나고 오해를 살 수 있는 행보"라고 짚었다.

개인정보보호위는 독립기관이다. 애초 행정부 밑에 있다가 '유럽 일반 정보보호 규정'(GDPR)의 적정성 평가 결과에 따라 독립기관으로 분리됐다. 독립 지위를 앞세워 정부·공공기관의 개인정보 침해 사건도 다루고 있다.

미국 정부와 정치권의 눈치를 봐서도, 볼 필요도 없다는 뜻이다.

개인정보보호위 관계자는 쿠팡의 개인정보 유출 건과 부당 이용 건을 10일 전체회의에 함께 상정하느냐는 비즈니스포스트 질문에 "확인해줄 수 없다"고 했다. 

세간에선 SK텔레콤이 역대 최대 과징금을 부과받은 것에 불복해 행정소송에 나선 게 쿠팡 개인정보 유출 과징금 산정에 영향을 미칠 수 있다는 말도 나온다. 애초 5천억 원대로 예상됐던 과징금이 1374억 원으로 줄었는데도 불복해 소송을 제기했는데, 쿠팡도 불복할 가능성이 크다는 점을 개인정보보호위가 의식할 수밖에 없다는 것이다.

하지만 법률대리 업계에서도 SK텔레콤의 행정소송으로 개인정보보호위 과징금이 깎일 가능성은 크지 않다는 지적이 나온다. 한 대형 법무법인 관계자는 "SK텔레콤의 행정소송을 과징금 추가 감경 목적으로 보는 것은 맞지 않다. 적지 않은 금액을 부과받았는데 그냥 수용해버리면 배임 지적이 제기될 수 있다는 판단에 따라 행정소송 절차를 밟고 있다고 봐야 한다"고 말했다.

과징금 부과를 뒷말 없이 수용하는 절차가 필요해 행정소송에 나섰다는 것이다. 물론 행정소송 과정에서 유리한 추가 판단이 나올 수도 있다.

정리하면, 쿠팡 개인정보 유출 건은 3천만 건을 넘는 규모나 김범석 창업자 겸 실질적 최고경영자의 행보 등을 감안할 때 '매우 중대' 사안으로 판단돼 관련 매출액의 2.1~2.7% 선에서 과징금 기준금액이 결정될 가능성이 크다. 쿠팡 매출액 49조 원 전부가 관련 매출액이라고 가정해 계산하면, 과징금 기준금액이 1조 원에 육박한다.

이후 조정 과정에서 어떤 요인들을 들어 가중하고 감경하느냐에 따라 1조 원을 훌쩍 넘길 수도, 절반 이하로 뚝 떨어질 수도 있다. 법률대리 업계에서 4천억 원이란 수치가 나오는 배경이라고 할 수 있다.

개인정보보호법 개정으로 개인정보 유출이 중대하고 반복적일 때는 매출액의 10%까지로 높인 징벌적 과징금을 부과할 수 있다. 쿠팡 개인정보 유출 건이 대상이 될 수 있지만, 법 개정 전 발생 건이라 소급 적용되지 않는다.

다만, 개인정보보호위가 중대하고 반복적인 위반 행위에 대해 징벌적 과징금을 부과할 의지를 갖고 있는지 시험하는 계기는 될 수 있다. 새 법을 소급 적용할 수는 없지만, 이전 법을 엄격히 적용해 과징금을 높게 부과할 수는 있다.

송 위원장 말대로, '원책대로' 하면 된다. 적어도 이번에는 진짜 법대로 엄격하게 해야, 미국 눈치를 본다는 뒷말을 잠재우고, 다른 오해가 불거지는 것도 막을 수 있다. 김재섭 선임기자