지난해 11월말 촉발된 이커머스(전자상거래) 쿠팡의 고객정보 유출사건과 관련한 정부의 과징금 처분규모가 빠르면 이번주 공개될 전망이다. 업계에선 이번 결정이 최근 고객정보 유출사건이 발생한 다른 기업의 '바로미터'가 될 수 있다는 점에서 긴장감이 높아진다.
9일 관련업계에 따르면 개인정보보호위원회는 쿠팡 관련 처분안건을 10일 열리는 전체회의에 상정했다. 이날 개인정보위가 과징금 규모를 결정하면 정보유출 사고가 발생한 지 6개월 만에 쿠팡에 대한 정부의 첫 '경제적 제재'가 현실화할 전망이다. 올해 초 민간합동조사단이 발표한 1차 조사결과에 따르면 쿠팡 '내 정보수정 페이지'에서 성명과 이메일이 포함된 개인정보 3367만3817건이 유출됐다. 피해규모는 과거 SK텔레콤 해킹사건(2324만명)보다 많은 역대 최대 수준이다.
현행법에 따르면 개인정보 유출 과징금은 직전 3개년 매출의 최대 3%를 매길 수 있다. 쿠팡 모회사 쿠팡Inc.의 지난해 매출이 약 49조원인 점을 고려하면 최대 1조5000억원대 과징금을 부과할 수 있다는 의견도 나온다. 다만 위반행위와 직접 관련 없는 매출액이 과징금 산정기준에서 제외되면 실제 부과되는 과징금은 크게 줄어들 것이란 분석도 있다.
과징금 규모는 그동안 쿠팡 측이 주장한 3가지 요건이 쟁점이 될 것이란 관측이 나온다. 쿠팡은 2차 피해가 발견되지 않았고 금융결제나 유심(범용가입자식별모듈)·키·체중·재산규모 등 민감정보가 유출되지 않은 데다 자체적인 개인정보 회수노력을 펼쳤다고 밝혀왔다. 개인정보위가 이런 주장을 일부 수용하면 과징금 감면사유가 될 수 있다.
앞서 개인정보 유출사건이 발생한 결혼정보업체 듀오는 혈액형·혼인여부·재산·원천징수내역 등 24종, SK텔레콤은 휴대전화·가입자식별번호·유심인증키 등 25종의 민감정보가 유출됐다. 듀오는 12억원대 과징금 처분을 받은 당일까지 15개월간 피해자들에게 통지하지 않아 비판받았다. SK텔레콤은 유출정보로 복제폰과 금융사기 가능성 등이 제기됐으나 당시 부과할 수 있는 최대 과징금 3000억원에서 사후수습 노력을 감안, 매출의 1% 수준인 1348억원으로 감경됐다.
쿠팡의 정보유출 인지시점은 5개월로 SK텔레콤(3년8개월) 듀오(1년 이상) 신한카드(3년9개월) KT(11개월) 등보다 빠른 편이다. 2차 피해가 발견되지 않은 점도 과징금 산정에 영향을 줄 것으로 보인다. 쿠팡Inc.가 보안전문업체를 통해 확인한 결과 다크웹·딥웹 등에 유출정보가 새어나가지 않았고 결제정보나 금융정보, 정부 발급 신분증 등 고도의 민감 고객정보 접근은 없었다.
하지만 최근 개인정보위가 관련 규제를 강화하는 추세란 점이 변수다. 개인정보위는 반복적이고 중대한 개인정보 침해행위에 대해 전체 매출액의 최대 10%를 과징금으로 부과하는 시행령 개정안을 내놨고 오는 9월부터 적용할 예정이다. 쿠팡 사건이 법 개정 이전으로 소급적용은 어려워도 이런 '고강도 규제' 기조가 이어지면 과징금 감경사유도 보다 꼼꼼히 적용할 가능성이 크다는 의견도 있다.
수백만 명의 개인정보를 보유한 유통업계는 이번 과징금 처분결과를 주시한다. 자체 보안을 강화했지만 해킹기술도 나날이 발전해 개인정보가 유출되는 사례가 끊이지 않아서다. 최근 OTT(온라인동영상서비스) 티빙과 편의점업체 CU에서도 개인정보 유출사고가 발생했다.
업계에선 개인정보위의 합리적인 결정이 필요하다는 목소리가 나온다. 유통업계 관계자는 "국내 최대규모 이커머스 쿠팡에 보안 미비에 대해 확실한 책임을 묻고 다시는 재발하지 않도록 대책이 마련돼야 한다"며 "다만 2차 피해와 개인정보 회수노력, 정보의 민감성 등에 대한 적절한 균형 있는 검토 없이 유출규모만 따져 징벌적 과징금을 매길 경우 산업계 투자위축과 혼란을 크게 야기할 수 있다"고 말했다.