과징금 1조도 가능? 쿠팡 사태로 본 개인정보보호 처벌법의 민낯

최근 쿠팡에서 무려 3,370만 건의 개인정보가 유출된 사태는 국내 디지털 환경의 안전성에 대한 근본적인 질문을 던지고 있습니다. 이 사고 규모는 과거 SK텔레콤의 유출 사고(약 2,324만 명)를 뛰어넘으며, 개인정보 보호 역대급 규모로 기록되었습니다. 대중의 관심은 이번 사태가 한국 개인정보보호법(PIPA)의 실효성을 가늠하는 중대한 시험대가 되었다는 점에 집중됩니다. 현행법상 위반 시 기업 직전 3개년 매출의 최대 3%까지 과징금을 부과할 수 있어, 쿠팡처럼 매출 규모가 큰 기업은 이론상 1조 원대 제재도 가능할 것이라는 계산이 나왔기 때문입니다. 그러나 이러한 천문학적인 이론적 상한액과 실제 규제 당국의 집행력 사이에는 상당한 괴리가 존재하며, 이번 사태는 그 괴리를 여실히 드러냈습니다.

이론상 1조 원과 현실적 감경 요인의 충돌

개인정보보호법은 위반 행위 관련 매출액의 3%를 과징금 상한으로 설정하고 있습니다. 이 규정을 쿠팡의 연간 매출 규모에 대입하면 1조 원이 넘는 금액이 도출됩니다. 하지만 실제 과징금 산정 과정은 그리 단순하지 않습니다.

1. ‘관련 매출’ 산정의 한계

행정 제재의 실제 부과액은 유출과 직접적으로 관련된 서비스의 매출액을 기준으로 산정됩니다. 국내 개인정보 침해 사고에 대한 행정 제재의 현실적인 최고치는 SK텔레콤에 부과된 1,347억 원 수준이었습니다. 이는 수십 조 원대 매출을 가진 국내 대기업에 부과된 역대 최대 규모의 행정 제재금이며, 규제 당국이 법적 안정성과 기존 판례를 고려할 때 이 수치를 크게 벗어나 수천억 원이나 1조 원에 도달하기는 사실상 어렵습니다. 1조 원이라는 수치는 대중의 경각심을 불러일으키는 수치이지만, 현실적인 법 집행 상한은 이보다 훨씬 낮을 수밖에 없는 구조적 제약이 존재합니다.

2. 기업의 방어 논리: 면책 및 감경 조건 활용

기업은 과징금 산정 시 감경 요건을 적극적으로 활용할 가능성이 높습니다. 개인정보보호법 시행령에는 위반 사업자의 보안 투자 수준, 사업 지속 곤란 여부, 위반 정도 등을 고려하여 30~50%까지 감경할 수 있는 조항이 마련되어 있습니다. 쿠팡은 최근 4년간 정보보호 부문에 2,700억 원 이상을 투자했다고 공시한 바 있으며, 이러한 대규모 보안 투자 기록을 근거로 과징금 감경을 주장할 수 있습니다.

다만, 규제 당국은 과거 과징금 감액 결정이 ‘봐주기 논란’으로 이어진 전례가 있었기에, 이번에는 보안 관리 체계를 충분히 갖추었음을 기업 스스로 입증하도록 요구하며 엄격한 잣대를 적용할 것으로 예상됩니다.

구조적 취약점: 반복 사고와 ‘운영 보안’의 실패

이번 쿠팡 사태가 더 큰 논란을 낳은 것은 사고의 규모뿐만 아니라, 기업의 내부 관리와 위기 대응 방식에서 구조적 취약점이 드러났기 때문입니다.

1. 사고 축소 논란과 투명성 부재

사고 인지 후 쿠팡의 초기 대응 방식은 큰 비판을 받았습니다. 쿠팡은 처음 사고를 '유출'이 아닌 '노출'로 통지했는데, 이는 법적 책임 판단의 주요 기준이 되는 사고의 심각성을 축소하려는 전략적 판단으로 비춰질 수 있습니다. 이후 개인정보보호위원회의 지적에 따라 '유출'로 수정하고 공지문을 재게시했지만, 초기 통지에서는 공동현관 비밀번호와 같은 민감 정보가 누락되어 뒤늦게 재통지되는 등 정보 공개의 투명성이 부족했다는 지적이 이어졌습니다.

더욱이, 이번 사고가 외부 해킹이 아닌 중국 국적의 내부 퇴사자에 의한 정보 무단 접근으로 파악되면서, 단순 기술적 문제가 아닌 접근 통제 시스템, 인사 관리, 퇴사자 계정 관리 등 운영 보안(Operational Security) 전반의 구조적 실패가 문제의 핵심으로 부각되었습니다. 내부 통제 실패는 기업이 안전성 확보 조치를 다했음을 입증하기 어렵게 만들며, 과징금 감경을 받기 어려운 중대 과실로 이어질 가능성이 높습니다.

2. 무력화된 ISMS-P 인증과 해지 장벽

쿠팡은 개인정보보호 관련 국가 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 획득했음에도 반복적인 정보 유출 사고를 겪었습니다. 이는 인증 제도가 실질적인 안전장치가 되지 못하고 형식적으로 운영되고 있다는 비판을 낳았고, 정부는 이에 따라 중대 위반 시 인증을 취소하고 현장 실증 심사를 강화하는 등 인증 제도의 구조적 개편에 착수했습니다.

또한, 개인정보위는 쿠팡의 회원 탈퇴 절차가 와우 멤버십 유료 구독 서비스 해지를 먼저 요구하는 등 복잡하게 설계되어 이용자의 데이터 자기 결정권 행사를 방해하는 '해지 장벽'으로 작용하고 있음을 지적하며 시정을 요구했습니다. 이는 기업의 상업적 이익을 위해 개인정보 보호법의 취지(철회 절차 간소화)를 침해한 사례로 해석됩니다.

해외 사례 비교: 민사 구제의 깊이를 확보해야

국내 개인정보보호법은 이론적인 과징금 상한은 높지만, 실제 집행액은 해외에 비해 상대적으로 낮습니다. 이는 한국의 제재 체계가 행정 제재에 편중되어 있기 때문이며, 피해자에게 실질적인 금전적 보상을 보장하는 민사 구제 시스템이 미비하다는 근본적인 한계를 드러냅니다.

1. EU GDPR의 징벌적 집행

유럽연합(EU)의 GDPR은 글로벌 연간 매출액의 최대 4%를 과징금 상한으로 설정하며, 이는 한국의 3%와 비교해 수치상 큰 차이가 없지만, 실제 집행력은 압도적입니다. EU는 메타, 아마존, 틱톡 등 거대 플랫폼들이 개인정보 처리 원칙을 위반했을 때 조 단위 유로의 과징금을 실제로 부과해왔습니다. EU는 유출 규모뿐 아니라 개인정보 처리 과정의 구조적 문제와 관리 소홀 등 위반의 성격 자체를 엄격하게 판단하여 고액 처벌을 내립니다.

2. 미국 에퀴팩스 사례가 주는 시사점

미국에서는 행정 제재보다 집단소송 및 합의 구조가 중심이 됩니다. 2017년 신용정보회사 에퀴팩스는 보안 취약점 방치로 약 1억 4천만 명의 정보가 유출된 사건에 대해 정부 벌금 및 소비자 합의금으로 최대 7억 달러(약 9,700억 원)를 부담했습니다. 이 금액은 피해자들에게 현금 보상, 무료 신용 관리 서비스 등으로 직접 지급되었습니다.

이러한 해외 사례를 볼 때, 국내에서는 법무법인들이 국내 법원 외에도 쿠팡의 미국 본사를 상대로 징벌적 손해배상 소송을 제기하는 움직임을 보이고 있는데, 이는 국내 법적 구제 절차로는 피해액 입증 및 실질적인 보상을 얻기 어렵다는 피해자들의 불신을 방증합니다.

국내외 데이터 유출 제재 체계 비교

구분 대한민국 (PIPA, 現 기준) EU (GDPR) 미국 (Equifax 사례 중심) 제재 기준 상한 관련 매출액의 3% 이하 글로벌 연간 매출액의 4% 이하 민사 합의금/벌금이 거액 최대 집행 사례 SKT (1,347억 원) Meta, Amazon 등 (조 단위 유로 부과) Equifax (최대 7억 달러 합의) 피해자 구제 방식 법정 손배(300만 원), 집단소송(금지 청구 한정) DPA를 통한 구제, 민사 소송 집단소송 및 합의 기금을 통한 직접 현금 보상

실질적인 피해 구제와 미래의 규제 방향

쿠팡 사태는 결국 개인정보 유출 이후 소비자를 지키는 장치가 여전히 부족하다는 현실을 드러냈습니다. 2차 피해 신고가 이어지는 상황에서 (해외 IP 로그인 시도, 피싱 등), 소비자들은 자발적인 집단소송에 참여하며 기업의 책임을 묻고 있습니다.

1. 징벌적 제재와 단체소송 강화

이러한 상황을 해결하기 위해 개인정보보호위원회는 제도 개선을 추진하고 있습니다. 고의 또는 중대한 과실이 인정되거나 피해 규모가 큰 중대/반복 위반에 대해 과징금 상한을 현행 3%에서 최대 10%까지 상향하는 징벌적 과징금 특례 도입이 추진되고 있습니다.

또한, 피해자들의 실질적인 금전적 보상을 위해 현재 침해 행위 중단 요구에만 한정된 개인정보보호법상 단체소송 대상에 손해배상 청구를 포함하는 법 개정이 논의되고 있습니다. 위반으로 부과된 과징금을 활용해 피해 회복에 쓰는 가칭 ‘개인정보 피해회복 지원 기금’ 신설 검토도 진행 중입니다. 이러한 조치는 한국의 개인정보 보호 체계가 행정 제재 중심에서 피해자 구제 중심으로 전환하는 중대한 분기점이 될 것입니다.

2. 기업과 소비자의 변화

결국 개인정보 유출은 기술적 문제가 아니라 신뢰의 문제입니다. 기업은 최고경영자(CEO)를 개인정보 처리 및 보호의 최종 책임자로 법제화하여, 경영진 차원에서 보안 인식을 높이고 투자 확대를 유도해야 합니다. 사고를 감추거나 축소하려 하기보다, 정보를 빠르고 투명하게 공개하고 해외 로그인 차단, 실시간 경보, 2단계 인증 기본 적용 같은 실질적인 보호조치를 즉각 시행하는 것이 급선무입니다.

소비자 역시 비밀번호 변경, 해외 로그인 차단 설정 등 기본 보안 조치를 생활화하고, 필요 이상의 민감 정보를 플랫폼에 저장하지 않는 습관을 강화해야 합니다. 쿠팡 사태는 기업의 책임을 묻는 동시에, 우리 사회 전체의 디지털 안전 체계를 한 단계 업그레이드할 것을 요구하고 있습니다. 더 이상 형식적인 인증이나 이론적인 과징금 상한에 머물지 않고, 실질적인 엄정 제재와 피해자 구제가 이루어지는 안전한 디지털 환경을 만드는 변화가 필요한 시점입니다.