11일 개보위는 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과했다. 쿠팡풀필먼트서비스(CFS)에는 별도로 과징금 2억4800만원이 내려졌다. 쿠팡과 계열사 제재 규모를 합치면 6249억4580만원에 이른다. 개보위는 시정명령과 공표명령, 고발, 개선권고도 함께 의결했다.
개보위는 지난해 11월 발생한 쿠팡 개인정보 유출 사고와 관련해 인증 서명키 관리와 접근통제 등 기본적인 안전조치가 미흡했다고 판단했다. 이로 인해 약 3750만명의 개인정보가 유출된 것으로 봤다. 유출 통지 의무와 개인정보 파기 의무 위반, 개인정보보호책임자(CPO) 독립성 미보장, 조사 방해 행위도 추가로 확인됐다고 밝혔다.
이와 함께 쿠팡이 자사 광고가 게재된 타사 웹사이트와 애플리케이션에서 약 1117만명 이용자의 접속 기록을 무단 수집해 개인 식별이 가능한 형태로 저장한 점도 위반 사항에 포함됐다. 개인정보위는 이른바 '납치광고'를 게시하는 광고 파트너에 대한 관리·감독이 미흡해 이용자 의사와 무관하게 정보 수집이 이뤄졌다고 봤다. CFS에 대해서는 경찰청 출입기자단 명단 71명을 취업 제한 목록으로 관리한 행위가 개인정보 수집·이용 위반에 해당한다고 판단했다. 근로자 체중정보를 산업재해 소송 과정에서 법원에 제출한 행위는 민감정보 처리 제한 위반으로 봤다.
이번 과징금은 2025년 SK텔레콤에 부과된 1348억원을 뛰어넘는 국내 최고액이다. 글로벌 시장 주요 유출 사고 과징금보다 규모가 크다. 외부 해킹으로 5억3300만명의 정보가 유출된 메타의 과징금이 약 3800억원, 1억4700만명 규모 유출이 발생한 에퀴팩스가 약 1180억원, 3억명대 정보 유출 사고가 있었던 메리어트 인터내셔널이 약 970억원 수준이었다는 점을 들어 쿠팡 제재가 이례적으로 크다는 주장도 나온다. 한 업계 관계자는 "유출 규모와 항목만 놓고 보면 국제적으로도 높은 수준의 제재"라고 말했다.
쿠팡도 이번 처분이 충분히 반영되지 않은 부분이 있다는 입장이다. 쿠팡은 "고객 정보보호를 매우 엄중하게 생각하고 있다"며 "작년 데이터 유출 사태와 관련해 2차 피해를 방지하기 위한 선제적 조치와 사실관계에 근거한 설명이 개인정보위원회 결정에 충분히 반영되지 못한 점을 유감스럽게 생각한다"고 밝혔다. 이어 "공식 의결서를 수령한 뒤 법적 절차를 통해 사실관계를 명확하게 규명할 예정"이라고 했다.
제재 수위를 보다 신중하게 따져봐야 한다는 의견도 나온다. 서용구 숙명여대 경영학부 교수는 "개인정보 유출에 대한 책임은 엄정하게 물어야 한다"면서도 "제재 수위는 기업 규모보다 정보의 민감성, 실제 피해 수준, 사고 이후 대응과 피해 확산 방지 노력 등을 종합적으로 고려해 결정할 필요가 있다"고 말했다. 이어 "이번 처분이 향후 산업 전반의 기준으로 작용할 수 있다는 점에서 신중한 접근이 요구된다"고 했다.
중한 처분이 불가피했다는 의견도 있다. 김승주 고려대 정보보호대학원 교수는 "키 관리와 접근통제 등 기본 수칙조차 지키지 않았고, 유출이 의심되는 정보에 구매이력 등이 포함돼 있다면 역대 최고 수준의 과징금 부과가 가능하다고 본다"고 말했다.
시민단체 일각에서는 법정 상한에 근접한 1조 원 이상의 과징금이 필요하다는 주장도 제기되고 있다. 이에 대해 쿠팡 측은 현재 부과된 과징금만으로도 재무적 부담이 상당하다는 입장이다. 내부적으로는 최근 2년치 영업이익에 해당하는 수준이라는 분석도 제시된다.
이번 제재는 쿠팡 한 기업에 대한 조치를 넘어 향후 대형 플랫폼과 유통, 통신, 금융 기업 전반의 개인정보 관리 기준에 영향을 줄 가능성이 있다. 업계에서는 유출 사고 자체뿐 아니라 광고·마케팅 정보 수집, 내부 인사정보 관리, CPO 독립성 보장, 조사 대응 방식까지 감독 범위가 확대될 수 있다는 점에 주목하고 있다. 동시에 과징금 산정 기준과 제재의 비례성을 둘러싼 논의도 이어질 것으로 보인다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>