국내 이커머스 1위 업체인 쿠팡이 대규모 개인정보 유출 사건으로 1조원대의 과징금 부과 가능성이 나오는 가운데 정보보호·개인정보보호 관리체계(ISMS-P) 인증 취소 가능성까지 거론되고 있다.
4일 개인정보보호위원회에 따르면 개인정보보호법은 개인정보 유출 사고 시 기업 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있다. 쿠팡의 지난해 매출은 41조원으로 단순 계산하면 법정 최대치는 1조2000억원을 넘는다. 다만 실제 과징금이 이 수준에 이르기는 쉽지 않을 것으로 보인다.
위반행위와 직접 관련 없는 매출액은 과징금 산정에서 제외하고, 고시에서 규정한 감경 요소를 적용해야 하기 때문이다.
개인정보위 출범 이후 최대 규모의 과징금은 SK텔레콤에 부과된 1347억9000만원이다. 지난해 무선통신사업 매출(12조8000억원)을 기준으로 과징금이 최대 3000억원대 중반까지 부과될 가능성이 제기됐지만, 실제 부과액은 그보다 낮았다. 개인정보위는 당시 사고 이후 시정 조치와 이용자 보호 노력 등을 감경 사유로 반영했다. 쿠팡도 기준금액을 산출한 뒤 1·2차 조정에서 가중·감경을 적용하는 절차를 따르게 된다.
다만 정치권에서는 더 많은 배상을 골자로 하는 징벌적 손해배상 청구 등 '쿠팡 엄벌론'이 거세지고 있다.
지난 3일 국회 정무위원회 현안 질의에서 '쿠팡에게 과징금을 물 때 ISMS-P 인증을 받았다는 이유로 50% 감면할 것이냐'는 허영 더불어민주당 의원 질의에 송경희 개인정보위 위원장은 "여러 상황을 엄격히 보겠다"며 "감경 역시 재량적으로 할 수 있는 여지가 있는 만큼, 사안의 엄중성에 따라 엄격하게 판단하겠다"고 말했다..
현행 개인정보보호법은 고의 또는 중대한 과실로 개인정보가 유출돼 피해가 발생하면 법원이 손해액의 최대 5배까지 배상할 수 있도록 규정한다. 다만 '개인정보처리자가 고의 또는 중과실이 없음을 증명한 경우 적용하지 않는다'는 단서 조항이 있다. 실제로 2015년 도입된 징벌적 손해배상제도에서 한 차례도 적용되지 않았다.
송 위원장은 "재판 절차를 거쳐야 하고, 소송이 장기화하거나 손해액 입증이 어려운 탓에 제도가 실효성 있게 작동하지 못하는 상황"이라고 했다. 앞서 현안 보고에서 송 위원장은 "과징금을 강화하는 한편 징벌적 손해배상제도의 실효성을 제고할 수 있는 방안을 강구하겠다"고 밝히기도 했다.
쿠팡의 ISMS-P 인증 취소 여부에도 관심이 쏠리고 있다. ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 고시하는 국내 최고 수준의 정보보호 및 개인정보보호 관리체계 인증 제도다. 인증 기관인 한국인터넷진흥원(KISA) 심사를 통해 3개 영역 101가지 적합성 여부를 모두 통과해야만 인증이 부여된다. 앞서 SK텔레콤, KT, 롯데카드 등 ISMS-P 인증 기업의 사고가 이어졌고 쿠팡은 2021년과 2024년 두 차례 인증을 받았지만 이번 사고를 포함해 4건의 개인정보 유출이 발생하면서 제도 실효성에 의문이 제기됐다.
ISMS-P 인증을 받았다는 이유로 과징금을 감경해주면 안 된다는 지적과 관련해 송 위원장은 "ISMS-P 인증 후 매년 모의해킹 등을 통해 실제 운영이 기준에 맞는지 점검하고, 심각한 위반이 확인되면 인증을 취소할 계획"이라고 밝혔다. 현재까지 인증이 취소된 기업은 없어서 만약 쿠팡의 ISMS-P 인증이 취소될 경우 최초 사례가 된다.
신용현 한경닷컴 기자 yonghyun@hankyung.com