국내 이커머스(전자상거래) 시장 1위인 쿠팡이 개인정보보호위원회 출범 이후 역대 최대 규모의 개인정보 유출이라는 불명예를 안게 됐다. 업계에서는 이번 사건의 규모가 전례 없는 수준인 만큼, 개인정보위의 과징금 수위가 조 단위에 이를 수 있다는 전망도 나온다.
1일 과학기술정보통신부와 개인정보위에 따르면 쿠팡은 지난달 19일 침해사고를 신고했으며 다음 날 개인정보유출 신고를 진행했다. 최초 신고 당시 4536개 계정의 고객명, 이메일, 주소 등의 정보가 유출된 것으로 파악됐으나 조사 과정 중 3370만여명 계정에서 고객명‧이메일‧배송지 전화번호 및 주소를 유출한 것으로 확인되며 피해 규모가 급격히 확대됐다.
개인정보위는 쿠팡으로부터 지난달 20일과 29일, 두 차례에 걸쳐 유출 신고를 접수 받아 21일부터 조사를 진행 중이다. 과기정통부와 개인정보위는 30일 쿠팡의 개인정보 유출 피해가 전날 대폭 확대됨에 따라 민관합동조사단을 구성해 사고 원인 분석에 착수했다.
개인정보위 관계자는 “국민 다수의 연락처, 주소 등이 포함돼 있어 신속한 조사를 거쳐 보호법상 안전조치의무 위반시 엄정 제재할 방침”이라고 밝혔다.
이번 쿠팡의 유출 규모는 개인정보위가 역대 최대 과징금인 1347억9100만원과 과태료 960만원을 부과했던 SK텔레콤의 해킹 사고 피해자 수(2300만명)보다도 1000만명 이상 웃돈다.
개인정보보호법상 과징금은 전체 매출액의 최대 3%까지 부과할 수 있다.
쿠팡의 올해 3분기 누적 매출은 36조3000억원이다. 이 중 대만·파페치·쿠팡이츠 등 이번 사고와 관련성이 낮은 해외 및 기타 매출을 제외하면 약 31조원 수준으로, 법령상 최대 1조2000억원대 과징금 부과도 가능하다는 계산이 나온다.
앞서 SK텔레콤 사례에서도 개인정보위는 연결 재무제표 기준으로 최근 3년간 전체 매출을 기준금액으로 삼아 과징금을 산정했다. SK텔레콤의 통신사업 매출 약 12조7700억원을 기준으로 최대 3000억원 중반대의 과징금이 부과될 것이라는 전망이 나왔으나, 실제 처분 과정에서는 일부 감경 사유가 반영돼 최종 금액(1347억9000만원)이 낮아졌다. 이러한 전례를 고려하면, 쿠팡 역시 직접적이고 경제적인 이득을 취하지 않은 점은 감경 요인으로 적용될 가능성이 있다.
고학수 전 개인정보위 위원장은 앞서 SK텔레콤 개인정보 유출사고 제재처분 의결에 대한 브리핑에서 “SK텔레콤의 연결 재무제표상 2022년~2024년의 과거 3년간 전체 매출을 잡고 통신과 관련한 매출액 등을 산정해 기준금액을 정하게 됐다”며 “중대성의 경우 매우 중대함으로 결정했고, 1~2차 조정에서는 3년이 넘는 위반 기간으로 가중됐으며 직접적인, 경제적인 이득을 취하지 않은 부분은 감경됐다”고 밝힌 바 있다.
다만 쿠팡은 매출 규모와 유출 인원이 SK텔레콤보다 훨씬 큰 만큼, 감경 요인이 일부 적용된다고 하더라도 역대 최고 수준의 제재가 내려질 가능성이 제기된다.
특히 국회 과학기술정보방송통신위원장 최민희 의원실에 따르면 이번 고객 개인정보를 유출한 쿠팡 직원은 현재 퇴사한 인증 관련 담당자로 알려졌다. 해당 직원은 토큰 서버인증키와 보안 취약점을 악용한 것으로 추정된다. 그러나 쿠팡 측은 개인정보위 측에 고객 정보 유출 경로가 내부 소행인지에 대해 신고하지 않은 것으로 확인됐다.
