개인정보보호위원회가 10일 정부서울청사에서 전체회의를 열고 3천300만건을 넘는 개인정보가 유출된 쿠팡에 대한 제재안을 심의한다.
지난 11월 쿠팡의 개인정보 유출이 알려진 지 약 7개월 만으로, 역대 최대 규모의 과징금 부과 여부에 관심이 집중되고 있다.
과학기술정보통신부 민관합동조사단은 올해 2월 조사 결과를 발표했다. 쿠팡 ‘내 정보 수정 페이지’의 취약점을 통해 이용자 성명과 이메일 주소 등이 포함된 개인정보 3천367만건이 유출됐다고 확인했다. 범인이 들여다본 배송지 주소 등의 정보는 1억5천만건에 달하는 것으로 파악됐다.
개인정보위는 지난 4월 쿠팡에 개인정보보호법 위반 사항과 예정 처분 내용 등을 담은 사전통지서를 발송했다. 쿠팡은 의견 제출 기한 연장을 요청한 뒤 소명 의견을 제출했으나, 개인정보위의 판단에 대부분 동의하기 어렵다는 취지의 의견을 낸 것으로 알려졌다.
현행 개인정보보호법은 개인정보 유출 사고 발생 시 매출의 최대 3% 범위에서 과징금을 부과할 수 있도록 규정하고 있다.
쿠팡이 전자공시시스템에 공시한 지난해 매출 45조5천억원을 단순 적용하면 법정 최대 과징금 규모는 약 1조3천637억원 수준이다. 다만 실제 과징금은 위반 행위와 관련된 매출 범위와 감경·가중 사유 등을 반영해 결정된다.
현재까지 개인정보위가 부과한 최대 과징금은 지난해 SK텔레콤 유심 정보 유출 사고에 내린 1천348억원이다. 업계에서는 유출 규모 등을 고려할 때 쿠팡에 역대 최대 수준의 과징금이 부과될 수 있다고 전망하고 있다.
고의 또는 중대한 과실로 대규모 개인정보 유출이 발생한 경우 매출의 최대 10%까지 과징금을 부과하는 ‘징벌적 과징금’ 조항을 담은 개인정보보호법 개정안이 국회를 통과했으나, 오는 9월 시행 예정이어서 이번 사건에는 적용되지 않는다.
