개인정보보호위원회가 개인정보 유출 사태를 빚은 쿠팡과 그 계열사에 총 6249억 원의 과징금을 부과했다. 개보위는 쿠팡이 퇴사자 인증키를 방치해 약 6개월간 1억 4800만 회의 비정상 접속을 탐지하지 못하고 접속 로그를 수동 삭제하는 등 기본적인 안전 의무를 저버렸다고 판단했다.
쿠팡은 행정소송 등 법적 절차를 통해 사실관계를 규명하겠다는 방침을 밝혔다. 쿠팡은 2차 피해 방지를 위한 선제적 조치 등 적극적인 감경 사유가 위원회의 결정에 충분히 반영되지 않은 과도한 처분이라고 반발했다. 유출 정보는 공동현관 비밀번호 일부 제외하면 민감도가 낮고 2차 피해가 없었다는 점이 과기부 민관합동조사단에 의해 확인됐다는 게 그 근거다.
타사 사례와 비교해 보면 이번 제재가 합리적 잣대에 따른 것인지 형평성을 갖췄는지 논란이 불가피하다. 이번 과징금은 글로벌 사례로 범위를 넓혀도 역대 최대다. 1348억 원의 제재를 받은 SKT(2324만 명 유출)나 5억 3300만 명이 유출된 메타의 과징금(약 3800억 원)을 훌쩍 뛰어넘는다. 지난해 연간 영업이익(6790억 원)과 맞먹어 당장 2분기 대규모 적자를 내야 하는 상황이다.
이는 개보위가 카카오페이가 약 4000만 명의 고객 정보를 동의 없이 중국 알리페이에 넘긴 것에 대해 약 59억 원의 과징금을 매긴 것과도 대조된다. 글로벌 스탠더드에도 어긋난다. 미국, 일본, 대만 등 주요국은 개인정보 유출 시 과징금을 기업의 매출과 연동하기보다는 집단소송이나 민사적 합의 등 다양한 보완책을 통해 해결하는 방식을 취한다.
글로벌 규제 흐름과 동떨어진 채 정부가 매출액을 무기로 징벌적 철퇴를 가하면 국내 기업들은 혁신과 투자 대신 '과징금 포비아'에 떨 수밖에 없다. 과도한 제재는 향후 심각한 한·미 통상 마찰로 번질 수도 있다. 미 의회는 쿠팡에 대한 정부의 전방위적인 규제에 대해 "미국 상장사 차별"이라며 보복 관세까지 거론했었다.
개보위는 정보보호라는 명분 아래 기업을 위기로 내몰고 예기치 않은 국제적 통상 갈등까지 야기하는 과잉 제재를 한 것은 아닌지 스스로 되물어봐야 한다. 향후 사법부의 판단 과정에서 이번 제재의 적절성과 형평성이 엄중하게 다뤄져야 한다.