개인정보보호위원회가 쿠팡에 역대 최고 수준의 과징금을 부과한 가운데, 오는 9월부터는 더 강력한 개인정보보호법이 시행된다. 이번 쿠팡 사건에 개정법이 적용될 경우 과징금 상한선은 3배 이상 높아진다.
11일 개인정보보호위원회는 쿠팡이 인증 서명키 관리와 접근통제 소홀 등 기본적인 안전관리 체계 미흡으로 3750여만명의 개인정보를 유출시켰다며 과징금 총 6246억8100만원과 과태료 1680만원을 부과했다. 개정 전 개인정보보호법이 적용됨에 따라 과징금은 매출의 최대 3%까지만 부과할 수 있는데, 지난해 매출액(45조4555억원)의 1.4% 수준이 과징금으로 산정됐다. 쿠팡의 지난해 영업이익 4억7300만달러(약 7211억원)와 맞먹는 규모다.
9월부터 시행되는 개정법 아래에서 이같은 대규모 정보유출이 또 발생한다면 최고 과징금액이 경신될 가능성이 적잖다. 개인정보위가 다음달 13일까지 입법예고 중인 개인정보보호법 시행령 개정안에 따르면 △고의 또는 중대한 과실로 같은 위반행위를 3년 이내 반복 △1000만명 이상 피해 발생 △시정명령을 이행하지 않은 상태에서 개인정보를 유출한 경우 '징벌적 과징금' 부과 대상이 된다. 이 같은 중대한 개인정보 침해 행위에 대해서는 전체 매출액의 최대 10%까지 과징금이 부과될 수 있다.
쿠팡 사례에 이 기준을 단순 대입하면 과징금 상한액은 크게 달라진다. 현행 3% 상한을 적용하면 법정 최대 과징금은 약 1조3637억원 수준이지만, 개정법의 10% 상한으로 계산하면 약 4조5500억원으로 3배 이상 불어난다. 다만 이는 법률이 허용하는 최대치에 대한 산술적 계산으로, 실제 과징금은 위반 행위와 관련된 매출 범위와 감경·가중 사유 등을 종합적으로 고려해 결정된다.
아울러 일정 규모 이상의 개인정보처리자는 최고개인정보보호책임자(CPO) 지정·변경·해제 시 이사회 의결을 거쳐야 하고, 개인정보위에 신고하는 것도 의무화된다. 개인정보 유출 가능성 통지 제도와 관련한 세부 기준도 마련된다. 개인정보처리자가 개인정보처리시스템에 대한 불법 접근 사실을 알게 되거나 개인정보가 불법적으로 거래·유통되고 있음을 인지한 경우 72시간 이내에 정보주체에게 통지해야 한다. 유출이 확정된 경우뿐 아니라 '가능성'이 있는 단계에서도 사전 통지를 의무화하는 제도가 처음으로 도입되는 것이다.
이와 함께 개인정보위는 기업이 예산·인력·설비 등 개인정보 보호에 실질적인 투자를 한 경우 과징금을 감경받을 수 있는 조항도 신설해 사전 예방 투자를 유도할 계획이다. 선제적으로 투자한 기업에는 과징금을 최대 40% 감경하되, 고의 또는 중대한 과실이 있는 경우에는 감경 대상에서 제외한다. 업계 관계자는 "쿠팡 사건이 현행법 기준으로도 역대 최대 과징금인데 9월 이후 같은 사고가 터지면 기업이 감당할 수 있는 수준을 넘어설 수 있다"면서 "이번을 계기로 보안 투자를 의무가 아닌 생존의 문제로 봐야 한다"고 말했다.