국내 최대 이커머스 기업 쿠팡이 개인정보 유출 사태로 창사 이래 최대 규모의 제재를 눈앞에 두고 있다. 개인정보보호위원회(개인정보위)가 조사를 마무리하고 처분 사전통지서를 발송한 가운데, 이르면 오는 6월 중 최종 제재 수위가 결정될 전망이다.
3367만 건 유출…사전통지서 발송 완료
개인정보위는 지난 4월 초 쿠팡에 개인정보보호법 위반 사항과 예정 처분 내용 등을 담은 사전통지서를 발송했다. 과학기술정보통신부 민관합동조사단에 따르면 이번 사건에서 쿠팡 ‘내 정보 수정 페이지’를 통해 이용자의 성명과 이메일 주소가 포함된 개인정보 약 3367만 3817건이 무단 노출된 것으로 확인됐다.
개인정보위 규정에 따라 사전통지서에는 처분 원인이 되는 사실, 예정 처분 내용, 적용 법령, 의견 제출 기한 등이 담긴다. 다만 구체적인 과징금 액수는 포함되지 않는 것으로 알려졌다.
쿠팡 “처분 방향 동의 어렵다”…절차 막바지
쿠팡은 사전통지서를 수령한 뒤 의견 제출 기한 연장을 요청했고, 개인정보위가 이를 수용했다. 쿠팡이 제출한 의견서에는 개인정보위의 전반적인 처분 방향에 동의하기 어렵다는 취지의 내용이 담긴 것으로 전해진다.
현재 절차는 개인정보위의 의견서 검토와 전체회의 상정만 남겨둔 상태다. 이달 13일과 27일 전체회의가 예정돼 있으나, 13일 회의에는 해당 안건이 상정되지 않는 것으로 확인됐다. 쿠팡 의견서의 분량이 방대해 검토 작업에 상당한 시간이 소요되는 탓에 5월 내 결론 도출은 사실상 어려운 상황이다. 개인정보위 관계자는 “전체회의 상정 시점은 내부 검토 중”이라고 밝혔다.
법정 최대 과징금 1조 5천억…현실은 ‘감경’ 변수
업계에서는 이번 사건이 역대 최대 수준의 과징금으로 이어질 수 있다는 전망을 내놓는다. 개인정보보호법은 유출 사고 발생 시 직전 3개년 평균 매출의 최대 3%까지 과징금을 부과하도록 규정하고 있다. 쿠팡 모회사 쿠팡Inc의 지난해 매출이 약 49조 원인 점을 감안하면, 산술적 최대치는 약 1조 5000억 원에 달한다.
그러나 업계는 실제 과징금이 이 수준에 이를 가능성은 낮다고 본다. 위반 행위와 직접 관련 없는 매출은 산정 기준에서 제외되며, 고시에 규정된 각종 감경 요소도 반영되기 때문이다. 현재까지 개인정보위가 부과한 역대 최대 과징금은 지난해 SK텔레콤 유심 정보 유출 사고 당시의 약 1348억 원이다. 또한 고의·중과실 유출 시 전체 매출의 최대 10%까지 부과하는 ‘징벌적 과징금 특례’를 담은 개인정보보호법 개정안이 국회를 통과했으나, 오는 9월부터 시행될 예정이어서 이번 사건에는 적용되지 않는다.
한편 쿠팡의 미국 투자사 2곳은 지난 1월 한국 정부가 쿠팡에 차별적인 대우를 하고 있다며 미국 정부에 조사와 조치를 요청하는 청원을 제기했다. 이들은 한국 정부를 상대로 국제투자분쟁(ISDS) 중재 절차에 착수하겠다는 의향서도 제출해 국내 행정 처분에 국제 통상 갈등이라는 새로운 변수가 더해졌다. 개인정보위가 상반기 안에 사건 처리를 마무리한다는 방침을 세운 것으로 알려진 만큼, 쿠팡의 최종 제재 결과는 국내 개인정보 보호 규제의 실효성을 가늠하는 중요한 시금석이 될 전망이다.
