3,300만 건이 넘는 개인정보를 유출한 쿠팡에 대한 제재안을 정부가 오늘 심의한다. 대규모 정보 유출 사고에 대해 당국이 제재 수위를 결정하는 자리로, 피해 규모와 매출 등을 고려할 때 역대 최대 수준의 과징금이 부과될 수 있다는 전망이 나온다. 이번 심의 결과는 국내 개인정보 보호 제재의 수준을 가늠하는 잣대가 될 것으로 보인다.
이번 사고는 지난해 11월에 일어났다. 쿠팡 회원들의 이름과 이메일 주소 등 개인정보가 3,300만 건 넘게 유출된 것으로, 방대한 규모 자체가 사회적 파장을 키웠다. 유출된 정보의 양과 그에 대한 대응 과정을 두고 국민적 공분이 일었고, 사고는 단순한 보안 실패를 넘어 큰 관심사로 떠올랐다.
제재를 결정하는 주체는 개인정보보호위원회다. 개인정보위는 사건 발생 약 7개월 만에 전체 회의를 열고 쿠팡에 대한 제재 수위를 결정한다. 그동안 진행한 조사를 토대로 위반 사항을 따지고, 그에 상응하는 처분을 확정하는 절차가 이날 진행되는 셈이다.
심의에 앞서 절차도 차근차근 밟아왔다. 개인정보위는 그간 조사한 법 위반 사항과 예정된 처분 내용 등을 담은 사전 통지서를 지난 4월 쿠팡에 발송했고, 이후 쿠팡 측의 소명을 들은 것으로 전해졌다. 이러한 사전 절차를 거친 만큼, 이날 회의에서는 처분의 구체적인 수준이 결정될 전망이다.
가장 큰 관심은 과징금 규모에 쏠린다. 유출 규모와 사고 대응 과정을 고려할 때 쿠팡에 역대 최대 수준의 과징금이 부과될 수 있다는 전망이 나온다. 대규모 유출과 그에 대한 처리 방식이 모두 제재 수위를 끌어올릴 수 있는 요인으로 거론된다.
법적 근거를 보면 부과 가능한 상한도 상당하다. 현행 개인정보보호법은 개인정보 유출 사고가 발생할 경우 매출액의 최대 3% 범위에서 과징금을 부과할 수 있도록 규정하고 있다. 이를 단순히 적용하면 1조 원이 넘는 과징금을 부과할 수 있다는 계산이 나오기도 한다. 다만 실제 과징금은 위반 행위의 내용과 정도, 피해 규모 등을 종합적으로 고려해 정해지는 만큼, 법정 상한선에 근접한 수준으로 부과될 가능성은 크지 않다는 관측도 함께 나온다.
비교 대상으로는 기존 최대 과징금이 거론된다. 앞서 개인정보위가 부과한 역대 최대 과징금은 지난해 SK텔레콤 유심정보 유출과 관련해 내린 1,348억 원이다. 이번 쿠팡 사건의 제재 수위가 이 기록을 넘어설지가 관전 포인트로, 이날 심의에서 결정될 과징금 규모가 향후 개인정보 보호 제재의 기준점이 될 전망이다.