검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'과징금'통합검색 결과 입니다. (68건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

개인정보위, 빗썸 과징금 2억 1000만원 부과

개인정보 국외이전 규정을 어긴 빗썸이 개인정보보호위원회(개인정보위)로부터 2억1000만원의 과징금 철퇴를 맞았다. 개인정보보호위원회(개인정보위)는 지난 24일 '제12회 전체회의'를 열고 개인정보보호법상 개인정보 국외이전 규정을 위반한 빗썸에 과징금 2억1000만원과 적법한 국외이전 요건을 갖추도록 하는 시정명령을 의결했다고 25일 밝혔다. 앞서 개인정보위는 지난해 국정감사에서 빗썸의 오더북 공유와 관련한 개인정보 국외이전 적법 여부를 지적함에 따라 조사에 착수했다. 조사 결과 빗썸은 해외 가상자산거래소와 오더북 공유 및 가상자산 이전 과정에서 정보주체의 별도 동의 없이 개인정보를 국외이전한 사실이 확인됐다. 빗썸은 2025년 9월~11월간 테더(USDT) 마켓에서 해외 거래소와 오더북을 공유한 바 있다. 이 과정에서 정보주체에게 스텔라거래소로 개인정보를 국외이전한다는 내용으로 동의를 받았다. 그러나 실제로는 다른 거래소가 운영하는 시스템으로 회원번호 및 주문정보를 국외이전한 것으로 확인됐다. 아울러 빗썸은 이용자의 가상자산을 13개 해외 거래소로 이전 시 자금세탁 방지 목적으로 송금인과 수취인의 이름, 지갑주소 등 개인정보를 해외 거래소에 제공하기도 했다. 그러나 정보주체의 별도 동의를 받지 않았으며, 개인정보보호법에서 정한 국외이전 요건도 일부 충족하지 않은 것으로 파악됐다. 개인정보위는 가상자산을 다른 거래소로 이전하는 경우 자금세탁방지를 위한 개인정보 제공의 필요성은 있다고 판단했다. 하지만 개인정보 국외이전은 정보주체의 자기결정권과 밀접하게 관련돼 있기 때문에 개인정보보호법에서 정한 요건과 절차를 면밀하게 준수할 필요가 있다고 봤다. 개인정보위는 이번 과징금 부과와 더불어 조사 과정에서 분석한 블록체인 기술의 특성을 고려해 '블록체인 서비스 개인정보보호 가이드라인'을 수립했다. 블록체인은 참여자 등이 거래내역을 볼 수 있는 투명성, 참여자 간 분산·협업으로 운영되는 분산성, 한 번 기록되면 수정하거나 삭제가 어려운 불변성 등의 기술적 특징을 가지고 있다. 이에 따라 블록체인 기술을 활용한 서비스의 경우 기획 단계부터 개인정보 보호원칙을 철저히 고려해야 한다는 것이 개인정보위의 판단이다. 개인정보위는 "향후에도 국민의 개인정보 자기결정권이 침해되지 않도록 개인정보 국외이전 등 보호법 위반 행위에 대해서는 엄정히 대응하겠다"면서 "신기술 환경에서 개인정보의 보호와 안전한 활용이 조화를 이룰 수 있도록 필요한 기준을 지속적으로 마련해 나갈 계획이다"라고 밝혔다.

2026.06.25 10:39김기찬 기자

공정위는 왜 배민·쿠팡이츠 동의의결 기각했나

공정거래위원회가 우아한형제들(배달의민족)과 쿠팡(쿠팡이츠) 동의의결 신청을 모두 기각한 배경에는 단순히 상생기금 규모 문제가 아니라는 해석이 나온다. 공정위는 두 회사가 제출한 시정방안만으로는 경쟁질서 회복 효과가 충분하지 않고, 사건의 중대성과 시장 영향력을 고려할 때 법 위반 여부를 신속히 판단하는 것이 더 중요하다고 판단했다. 동의의결은 법 위반 혐의를 받고 있는 사업자가 스스로 거래질서의 개선 등 자진시정방안을 제시하면, 공정위가 이해관계인 등의 의견수렴을 거쳐 사업자가 제안한 시정방안이 타당하다고 인정하는 경우 위법 여부를 확정하지 않고 사건을 처리하는 제도다. Q. 공정위는 왜 동의의결 기각했나. 먼저 공정위가 양사의 동의의결을 기각한 공식적인 이유는 동의의결 절차 개시 요건을 충족하지 못했다는 것이다. 공정위는 구체적인 위원회 논의 내용은 공개하지 않았지만, 공정거래법상 판단 기준인 ▲사건의 성격 ▲시간적 상황 ▲공익부합성 등을 종합적으로 고려한 결과라고 설명했다. 심사관 역시 전원회의에서 같은 취지의 기각 의견을 제시한 것으로 알려졌다. Q. 가장 결정적인 이유는 무엇인가. 공정위는 "시정방안만으로는 경쟁질서를 회복하기 부족했다고 판단했다"고 설명했다. 공정위는 사건의 성격상 다수의 입점업체와 소비자가 영향을 받았고 경쟁 제한 효과도 상당한 만큼 일반 사건보다 공익성이 크다고 봤다. 또 신청인들이 제출한 시정방안이 경쟁질서를 충분히 회복하기에는 부족했다고 전원회의에서 의견을 냈다고 밝혔다. Q. 상생지원금 규모가 부족했던 것인가. 공정위는 "금액만의 문제는 아니다"라고 선을 그었다. 예상 과징금과 비교해 상생지원 규모가 일정 수준 이상이더라도, 동의의결은 단순히 지원금 액수보다 경쟁질서를 회복할 수 있는 시정방안인지가 더 중요하다는 설명이다. 공정위 관계자는 "규모뿐 아니라 공익부합성, 사건의 성격, 시간적 상황 등을 종합적으로 고려했다"고 말했다. 앞서 심사관은 전원회의에서 배달의민족 3개 사건의 예상 과징금 규모를 약 2390억~5100억원, 쿠팡 최혜대우 요구 사건은 약 250억~420억원 수준으로 제시한 바 있다. 다만 이는 심사보고서 기준 추정치로 향후 본안 심의 과정에서 달라질 수 있다. Q. 시정방안은 무엇이 문제였나. 공정위는 (동의의결 신청) 일부 방안이 기존에 이미 시행 중인 프로모션을 다시 제시한 수준이라고 판단했다. 대표적으로 신규 입점업체 지원 프로그램이 거론됐다. 공정위는 신규 입점업체가 기존 위반행위로 피해를 입은 대상도 아닌데, 현재 운영 중인 신규 입점 프로모션을 시정방안으로 제시한 것은 적절하지 않다고 설명했다. 또 일부 방안은 내용이 구체적이지 않거나 피해 구제 규모도 충분하지 않다고 판단했다고 밝혔다. Q. 배민은 보완안을 제출했는데도 받아들여지지 않은 이유는. 배민은 전원회의 심의 이후 보완방안을 추가 제출했다. 다만 공정위는 위원회가 보완안까지 검토한 뒤에도 동의의결 개시에는 충분하지 않다고 판단한 것으로 이해하고 있다고 설명했다. Q. 피해 구제보다 과징금을 선택한 이유는. 공정위는 동의의결이 반드시 피해 구제로 이어지는 것은 아니라고 봤다. 동의의결 절차가 시작되더라도 최종 합의에 실패하는 사례가 있으며, 이 경우 오히려 시정 시점만 늦어질 수 있다는 것이다. 공정위는 위법성을 신속하게 판단하고 문제가 된 행위를 중단시키는 것이 시장 정상화에 더 도움이 된다고 위원회가 판단한 것으로 이해한다고 설명했다. Q. 앞으로 절차는 어떻게 되나. 동의의결 절차는 종료되고 본안 심의로 곧바로 넘어간다. 공정위는 지난해 이미 심사보고서를 송부했고 사업자들의 의견서도 모두 제출된 상태라며, 최대한 신속하게 전원회의를 열어 법 위반 여부와 과징금 규모 등을 결정할 계획이라고 밝혔다. 공정위는 "연내를 넘기지는 않을 것으로 본다"고 설명했다.

2026.06.18 12:30안희정 기자

'디지털 신뢰 회복' 칼 빼든 정부…실효성 위해 '디테일' 보완해야

지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 '디지털 신뢰'를 단단히 구축하는 일입니다. 지디넷코리아는 "AI 기술이 서 말이라도 보안으로 꿰어야 보배"라는 슬로건 아래, 약 두 달간 '2026 디지털 트러스트' 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 '안전한 AI 생태계'를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주] 무너진 '디지털 트러스트'를 회복하기 위해 정부가 부단히 노력하고 있다. 인공지능(AI)을 활용한 공격자들의 고도화된 공격에서부터 사이버 환경을 안전하게 지키기 위한 대책들을 연달아 내놓고 있다. 이런 가운데 제로트러스트, 국가 망보안 체계(N2SF) 등 보안 신기술 활용 및 가용성을 제고하겠다는 복안이다. 그러나 정부가 제시한 사이버 보안 정책 곳곳에는 여전히 미흡한 부분이 포착된다. 올해의 절반이 지나가고 있는 시점에서 기업들의 침해 사고도 계속되고 있다. 최근 사이버 보안 관련 주무부처가 제시한 정보보호 대책을 큰 틀에서 살펴보면, 화이트해커의 권한 확대를 통해 선제적으로 보안 취약점을 찾아내고 AI발 취약점 폭증에 대비해 국가 주도로 AI 기반 취약점 대응에 나서는 것으로 요약된다. 또한 이같은 조치에도 불구하고 반복적으로 침해사고가 발생하거나 보안상 부주의가 발견될 경우 매출액의 10% 과장금을 통해 엄벌하겠다는 것으로 보인다. '합법적 취약점 탐지' 길 열렸지만…쥐꼬리 포상금·기업 기피는 숙제 올해 초 과학기술정보통신부(이하 과기정통부)가 '제2차 정보보호 종합대책'을 통해 화이트해커를 활용한 취약점 수집 기반을 조성하겠다고 밝힌 가운데, 관련 제도의 구체적인 윤곽이 드러났다. 정부는 올해 안으로 기업과 기관이 일정 조건 하에 자사 정보통신자산의 취약점 발굴을 허용하는 '취약점 공시 및 조정/취약점 제보 제도(CVD/VDP)'를 도입할 예정이다. 화이트해커들이 법적 테두리 안에서 활동할 수 있도록 신고 절차와 면책 조건 등 명확한 기준을 마련하는 것이 핵심이다. 대책 마련에 착수한 이후 지난달 말께 국가인공지능전략위원회(위원장 이재명 대통령)와 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 공동으로 CVD/VDP 시범사업에 착수했다. 화이트해커가 회사 취약점을 합법적으로 찾고 신고할 수 있게끔 기반을 마련했다. 미국, 유럽연합(EU) 등 선진국은 공공기관을 중심으로 이 같은 상시 취약점 탐지 제도가 이미 정착해 있다. 반면 국내에서는 그간 정보통신망법상 허가 없는 내부망 접근 시도가 '침해행위'로 간주돼, 화이트해커들이 선의 목적으로 취약점을 탐지하는 것조차 불가능했다. 정부는 5개월간 시범 운영한 후 내년에 본격 제도를 시행할 예정이다. 이번 시범사업에는 민간기업 7곳과 공공기관 8곳 등 총 15곳이 참여한다. 기존 모의해킹이나 분기별 신고 포상제는 가상 망이나 특정 제품을 대상으로 한 일시적 이벤트 형태였으나, 이번 제도는 실제 운영 망을 대상으로 연중 상시 운영된다는 점이 다르다. 시범사업은 이달부터 11월까지 약 5개월간 취약점 탐색·신고·조치 활동이 이어진다. 이에 대한 결과는 연말께 공개되며, 향후 시범사업을 통해 레퍼런스를 쌓고 완전한 제도화는 내년부터 본격화될 방침이다. 정부는 제도 확산을 위해 공공은 기관 평가 연계, 민간은 보안인증 가점·공공조달 우대, 화이트 해커는 신고 포상제 활성화로 초기 참여 유도한다는 방침이다. 특히 침해사고 발생 시 개인정보보호법에 따라 부과되는 과징금도 CVD/VDP 운영 노력을 감경 요소로 반영키로 했다. 또한 화이트 해커와 제도 참여 기업·기관, 정부간 협력 네트워크 구축 및 홍보 캠페인, 정부표창 수여 등 인식 개선을 추진할 계획이다. 선제적인 취약점 발굴을 위해 화이트해커의 취약점 발굴을 법적으로 허용하기 위한 제도는 마련 중이지만, 일부 한계점이 포착된다. 여전히 일부 공공기관 및 기업에만 한시적으로 운영되고 있으며, 화이트해커에게 유의미한 동기부여를 하지 못하고 있다는 점이다. 취약점을 공개해야 한다는 리스크를 최소화하기 위해 기업·기관·화이트해커 실명은 본인 의사를 고려해 익명 공개 허용했지만, 여전히 기업들은 보안 취약점을 공개해야 한다는 점을 껄끄러워한다. 익명을 요구한 금융권 보안 담당자는 "취약점을 빠르게 조치하기 위해 버그바운티(취약점 포상제)나 현행 CVD/VDP 확산의 필요성에 대해서는 공감하지만, 많은 기업들이 취약점을 공개해야 한다는 것을 껄끄러워 한다"며 "버그바운티 프로그램은 어디까지나 기업이 자발적으로 참여해야 의미가 있는데, 익명이라고 하더라도 '굳이 안하고 말지'하는 조직들이 적지 않을 것"이라고 짚었다. 취약점을 찾아내는 화이트해커에게도 신고 포상제 활성화가 크게 와닿지 않는 모양새다. 정부에 따르면 우수 취약점을 발굴한 화이트해커에게는 총 16점의 상점과 2000만원 규모의 상금이 수여된다. 글로벌 기업의 경우 취약점 제보에 대한 포상금을 '억 단위'로 지급한다. 구글의 경우 2023년 보상금 총액이 약 1200만 달러로 집계됐으며, 메타는 2024년 400만달러 이상을 지급하기도 했다. 오픈AI도 챗GPT 서비스 결함에 최대 2만달러까지 포상금을 지급한다. 또한 찾아낸 취약점을 다크웹 마켓에서 유통되는 금액보다 낮다. 브리치포럼스, 다크포럼스 등 다크웹 불법 해킹 포럼에서는 유명 기업의 취약점이나 최고 관리자 권한을 수만 달러, 1비트코인 이상의 금액에 거래한다. 2024년 브리치포럼스에는 국내 대기업 방화벽 서버의 최상위 관리자 권한을 1만달러에 판매한다는 게시글이 올라오기도 했다. 박기웅 세종대 정보보호학과 교수는 "화이트해커 활동 범위 자체를 늘리는 이번 정책으로 새내기 및 초심자 화이트해커에게는 충분한 동기부여로 작동할 것"이라면서도 "글로벌 기업 대비 버그바운티에 대한 포상금이 낮은 수준이고 확대해야 할 필요성은 있다. 하지만 기업들의 입장에서도 소프트웨어 개발 비용보다 더 많은 금액은 포상금으로 지급할 수는 없다는 어려움이 있다"고 말했다. AI 보안 추진계획 가동…패치 자동화 로드맵 필요 앤트로픽의 AI 모델 미토스(Mythos) 등 AI로 취약점을 빠르게 찾아내는 시대가 현실로 다가오면서 AI 기반 사이버 위협에 대응하기 위한 방안도 정부가 추진하고 있다. 과기정통부는 지난달 말 과학기술관계장관회의를 통해 'AI 기반 사이버 위협에 대응하기 위한 민간 정보보호 추진계획'을 발표했다. 계획안에 따르면 정부는 민간분야에서 AI 보안 위협에 대응할 단기과제와 우리 사회전반의 정보보호 체계를 AI 기반으로 전환하기 위한 중장기 방향성을 제시했다. 단기 과제로는 AI로 취약점을 탐지하면서 취약점 개수가 급증함에 따라 이에 대응하기 위한 체계를 마련하겠다는 것이 첫 번째다. 과기정통부 내에 총괄상황반을 구성하고, 취약점 관리센터 중심 취약점·패치 관리 일원화 및 긴급대응 준비하는 것이 골자다. 또한 피해 파급력이 큰 주요 기업을 대상으로 보안 점검 등을 추진한다. 이 외에도 보안 여건이 부족한 중소기업 대상으로 지원하는 방안과 국제협력을 통한 글로벌 수준의 AI 보안생태계 구축, AI 기반 사이버 위협 선제 대응 체계 확립 등 방안을 제시했다. 중장기적으로는 AI 보안 위협은 AI 기반 보안 역량 강화로 대응해야 한다는 목표 아래 ▲독자적 AI 보안 생태계 조성 ▲AI 시대 정보보호 체질 개선을 위한 기초체력 확보 ▲AI 자율형 침해대응 및 지원체계 확립 ▲주요 정보보호 제도 AI 중심 개편 등 방안을 내놨다. 정부는 취약점을 신속하게 수집해 일원화된 체계로 전파하겠다고 하지만, 한국은 망분리 인프라와 온프레미스 환경이 보편화돼 있기 때문에 국내 특유의 망 환경과 기업별로 제각각인 소프트웨어 특성을 고려해 쏟아지는 취약점에 대한 대량·신속 패치를 적용할 것인지에 대한 논의는 부족해 보인다. 또한 글로벌 보안 기업들이 취약점 발굴뿐 아니라 취약점에 대한 패치까지도 길면 수개월의 시간이 소요되는 만큼 패치 과정을 자동화하는 있는 가운데, 패치 자동화 부분에 대해서는 정부 차원의 로드맵이 부재한 상태다. AI발 위협이 고도화됨에 따라 신속한 패치 전파 체계 구축, 기술지원, 보안 점검 등 조치에 나섰지만 보완해야 할 필요성도 엿보이는 대목이다. 9월 '매출액 10%' 과징금 시대…피해 국민 구제는 뒷전 지난 11일 개인정보보호위원회(개인정보위)는 유출사고가 발생한 쿠팡에 6247억원의 과징금을 부과했다. 역대 최대 과징금 액수다. 쿠팡이 오는 9월 개인정보위로부터 과징금을 받았다면 수조원에 달하는 금액이 부과될 가능성도 있었다. 오는 9월11일부터 개인정보보호법 개정안이 시행되기 때문이다. 개정되는 개인정보보호법은 중대하거나 반복적으로 개인정보 유출 사고를 낸 기업에 전체 매출액의 최대 10%까지 '징벌적 과징금'을 부과할 수 있도록 규정했다. 현행 개인정보보호법은 유출사고와 직결되는 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있지만, 상한 액수가 3배 이상 뛰는 셈이다. 반복되는 유출 사고를 막고, 징벌적 과징금을 통해 기업들이 자발적으로 보안에 투자할 수 있도록 유도하는 것이 개정안의 취지다. 그러나 당장 3개월 앞으로 개인정보보호법 개정안이 시행될 예정이지만, 징벌적 과징금에 대한 아쉬운 점도 있다. 부과한 과징금을 어떻게 사용할지에 대한 논의가 부족하기 때문이다. 개인정보보호법에 따르면 개인정보위가 부과하는 과징금은 정부의 여타 행정 과징금과 마찬가지로 전액 국고로 귀속된다. 현행 개인정보보호법에는 과징금의 용도를 별도로 제한하거나 규정한 법조항이 존재하지 않다. 이에 징수된 과징금은 국가의 일반 재원으로 들어가며 개인정보 보호 사업이나 피해자 구제에 우선적으로 쓰이지 않는다. 과징금 상한선을 크게 높이는 취지가 반복적인 개인정보 유출사고를 막고 보안 투자를 활성화하기 위함이라면, 확보한 재원이 피해를 본 국민의 권리 구제나 보안 인프라 투자에 사용돼야 하지만 취지와 용도가 불일치한다. 이에 개인정보 유출로 피해를 입은 국민은 유출사고가 발생한 기업의 자체 보상안 외에는 금전적 보상을 받기 어렵다. 피해보상을 받으려면 피해를 입은 국민이 법적 절차를 밟아야 한다. 이에 정부는 정부는 침해사고로 인한 개인정보 유출 이외의 소비자 피해에 대해서도 분쟁 조정 제도 도입을 올해 논의할 예정이다. 또한 손해배상 판결 효력이 소송 참여자 외에 당사자들에게도 적용되는 미국식 집단소송 제도는 아직 도입 이전이고 논의 중이지만, 개정된 개인정보보호법은 당장 3개월 뒤 시행을 앞두고 있다. 이 외에도 피해자 보호를 위한 피해회복 기금 도입 등도 여전히 논의 단계에 머물러 있다. 최경진 가천대 법학과 교수는 "유출사고로 확보한 과징금 재원은 크게 두 가지로 활용될 필요가 있다. 첫 번째는 피해를 입은 정보주체에 대한 구제다. 꼭 현금으로 돌려줘야 하는 것이 아니라 정보주체의 개인정보 보호를 위한 솔루션 구비, 서비스 구축 등에 필요한 비용으로 쓰일 수 있도록 하는 것"이라며 "두 번째는 개인정보 보호는 하나의 인프라 구축이라는 일념 아래 개인정보 보호 의지는 있지만, 여력이 되지 않는 중소기업에 대한 지원에 사용될 필요가 있다. 꼭 필요한 서비스나 솔루션을 보급하거나 개인정보 보호 바우처 형식으로 지원하는 방법이 필요하다"고 강조했다. 공병철 국제사이버보안인증협회장도 "명확한 재원 활용 방안이 마련되지 않으면 과징금 부과 기준의 상향도 정책적 명분을 얻을 수 없다"며 "정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 지원 등 활용 방안이 필요하다"고 밝혔다.

2026.06.15 13:26김기찬 기자

[카드뉴스] 쿠팡에 6247억 벌금 폭탄

안녕하세요, AMEET 기자입니다. 쿠팡이 무려 6247억 원이라는 역대 최대 규모의 벌금을 부과받았어요. 치킨 3100만 마리 값이라고 하면 얼마나 큰 금액인지 확 와닿죠? 하지만 이번 개인정보유출 사건이 사건이 단순한 기업 제재를 넘어 한미 무역 갈등으로 번질 수 있다는 점에서 더욱 주목받고 있어요. 사실 이런 빅테크 제재는 세계적인 흐름이기도 해요. EU에서 메타에 부과한 벌금이 1조 7,000억 원에 달하고, 국내에서도 구글이 2,000억 원을 받은 바 있죠. 알리익스프레스와 테무도 현재 조사 중이라 앞으로 더 많은 사례가 나올 것으로 보여요. 이번 사태에서 흥미로운 건 한국 정부, 미국 정부, 쿠팡 세 주체가 각자 전혀 다른 속내를 갖고 있다는 점이에요. 한국 정부는 공정한 규칙 수호를, 미국 정부는 자국 기업 보호를, 쿠팡은 빠른 사태 해결을 원하고 있거든요. 전문가들은 소송으로 가면 이길 확률이 고작 30%인 데다, 소송이 3년 이상 이어질 경우 투자 손실이 벌금의 10배를 넘을 수 있다고 분석해요. 결국 명분보다 실리를 택해 합의로 불확실성을 줄이는 게 진짜 승리라는 시각이 설득력을 얻고 있어요. 앞으로 이 사건이 어떻게 마무리될지 AMEET이 계속 지켜보고 알기 쉽게 전해드릴게요! ▶ 해당 보고서 보기 https://ameet.zdnet.co.kr/uploads/dcfd1378.html ▶ 지디넷코리아가 리바랩스 'AMEET'과 공동 제공하는 AI 활용 기사입니다. 더 많은 보고서를 보시려면 'AI의 눈' 서비스로 이동해주세요. (☞ 보고서 서비스 바로가기)

2026.06.13 08:48AMEET

6247억 과징금에 흔들리는 쿠팡, 한미 통상 갈등 '트리거' 될까

안녕하세요 AMEET 기자입니다. 오늘은 최근 한국 유통 시장을 뒤흔들고 있는 쿠팡의 역대급 과징금 사태와 이것이 가져올 파장에 대해 깊이 있게 들여다보려 합니다. 한국 정부가 미국 상장사인 쿠팡에 대해 개인정보 유추를 이유로 6,247억 원이라는 어마어마한 과징금을 부과했죠. 이는 단순한 기업 제재를 넘어 한미 간의 날카로운 통상 갈등으로 번질 조짐을 보이고 있습니다. 쿠팡은 즉각 행정소송을 예고하며 정면 돌파를 선택했는데, 그 속사정이 예사롭지 않습니다. AI 전문가들의 치열한 시각차, 법리와 통상의 충돌 이번 사안을 두고 AI 전문가들은 단순히 국내 법 위반 여부를 넘어선 복합적인 토론을 이어갔습니다. 처음에는 개인정보 보호라는 공익적 가치와 기업의 데이터 처리 적법성이 주된 논점이었습니다. AI 전문가들은 쿠팡이 6,000개가 넘는 납품업자와 거래하며 발생시킨 데이터 유추 행위가 정보주체에게 잠재적인 위협이 될 수 있다는 점에 주목했죠. 하지만 토론이 진행될수록 논점은 과징금 산정 방식의 공정성과 한미 통상 마찰로 급격히 이동했습니다. 특히 AI 전문가들 사이에서는 한국의 매출 연동형 과징금 제도가 미국 기업에 대한 비관세 장벽으로 작용할 수 있다는 우려가 강하게 제기되었습니다. 미국 상장사인 쿠팡에 대해 유출된 정보의 민감성이나 실제 피해 정도를 따지기보다 전체 매출액을 기준으로 거액의 과징금을 매기는 방식이 WTO의 내국민 대우 원칙에 어긋날 수 있다는 분석이었습니다. 실제로 트럼프 행정부와 공화당 의원들이 쿠팡의 로비를 바탕으로 적극적인 지원 사격에 나서고 있다는 사실이 밝혀지면서, 이번 사태가 단순한 행정 제재를 넘어 외교적 보복 조치로 이어질 수 있다는 시각이 힘을 얻었습니다. 논의의 흐름은 쿠팡의 대응 전략으로 이어졌습니다. 일부 AI 전문가들은 쿠팡이 불확실성을 제거하기 위해 조기 합의를 선택해야 한다고 주장했습니다. 소송이 길어질수록 추가 조사 리스크가 커지고, AI 추천 시스템 고도화 같은 신규 투자 프로젝트의 수익성 계산이 불가능해지기 때문입니다. 하지만 반대편에서는 단순한 합의가 규제 당국의 재량권을 인정하는 꼴이 되어 향후 유사한 리스크가 반복될 것이라는 비판이 팽팽하게 맞섰습니다. 결국 법원이 개인정보 유추의 고의성을 어디까지 인정하느냐가 승패의 가늠자가 될 것이라는 점에 의견이 모였습니다. 핵심 쟁점과 합의되지 못한 불씨들 AI 전문가들의 분석을 종합해보면, 이번 사태에서 명확히 확인된 합의 사항과 여전히 평행선을 달리는 비합의 사항이 존재합니다. 먼저 합의된 부분은 이번 과징금이 쿠팡의 2024년 영업이익의 약 3개월 치에 달하는 막대한 규모이며, 이로 인해 향후 물류 인프라 및 AI 투자가 위축될 수밖에 없다는 점입니다. 또한, 현재의 대결 국면이 장기화될 경우 미국 투자자들의 신뢰 회복에 수년이 걸릴 것이라는 데에도 이견이 없었습니다. 반면, 가장 큰 비합의 사항은 과징금 산정 방식의 정당성입니다. 한쪽에서는 대규모 데이터 처리를 하는 플랫폼 기업에 대한 매출 연동형 규제가 보안 투자를 유도하는 필수 장치라고 보았지만, 다른 쪽에서는 이것이 기업의 실제 리스크를 반영하지 못하는 '컴플라이언스의 착각'이라고 반박했습니다. 또한, 한국 정부의 외교적 설명이 미국 정부의 실질적인 보복 관세 위협을 잠재울 수 있을지에 대해서도 전문가들 사이의 판단은 엇갈렸습니다. 누적된 통상 불만이 쿠팡 건을 계기로 폭발할 가능성이 여전히 잠복해 있다는 것입니다. 이번 사태는 기술의 발전 속도를 법과 규제가 따라가는 과정에서 발생하는 필연적인 진통일지도 모릅니다. 하지만 그 과정에서 발생하는 천문학적인 비용과 국가 간의 긴장은 결코 가볍게 넘길 수 없는 숙제를 우리에게 던져주고 있습니다. 숫자로 기록된 과징금 뒤에 숨겨진 기업의 생존 전략과 국가의 주권, 그리고 정보 주체의 권리 사이에서 우리는 어떤 균형점을 찾아야 할까요. 그 판단의 끝에는 여전히 사람이 남긴 선택의 무게가 기다리고 있습니다. ▶ 해당 보고서 보기 https://ameet.zdnet.co.kr/uploads/07d77f44.html ▶ 지디넷코리아가 리바랩스 'AMEET'과 공동 제공하는 AI 활용 기사입니다. 더 많은 보고서를 보시려면 'AI의 눈' 서비스로 이동해주세요. (☞ 보고서 서비스 바로가기)

2026.06.12 12:12AMEET

쿠팡 6300억 역대급 과징금, 보안 전문가들 평가는?

3000만명 이상의 개인정보 유출 사고가 발생한 쿠팡에 개인정보보호위원회(개인정보위)가 6300억원에 달하는 과징금을 부과했다. 이는 SK텔레콤 유출 사고로 지난해 8월 부과받은 과징금(1348억원)의 4배를 웃도는 수치다. 개인정보위는 보안의 기본 중 기본인 인증키 관리를 소홀히 했다는 점 등을 이유로 과징금을 엄중하게 선정했다는 입장인데, 취재에 응한 보안 전문가들은 적정 수준으로 판단했다. 또 "업계 전반에 경종을 울릴 만한 사건"으로 평가했다. "개인정보보호 노력 지속 감경 요소 참작...국민 일상 밀접한 플랫폼이어서 엄중 처분" 개인정보위는 지난 10일 제11회 전체회의를 열고 개인정보보 법규를 위반한 쿠팡에 총 6246억8100만원 과징금과 1680만원 과태료를 부과했다. 개인정보위가 부과한 과징금 중 역대 최대치다. 개인정보위가 쿠팡에 매긴 과징금을 살펴보면 개인정보 유출 사고로 인해 부과된 과징금이 4235억7500만원이다. 이용자들의 타사 온라인 활동 기록을 무단 수집한 점과 관련해서는 2011억600만원의 과징금이 부과돼 총 과징금이 산정됐다. 이 외 임직원 건강 관련 민감정보 이용에 대한 과징금은 2800만원이 부과됐다. 또한 쿠팡풀필먼트서비스(CFS)에도 총 2억4800만원 과징금을 부과했다. 개인정보위는 개인정보 유출 사고 발생 시 안전조치 의무 위반, 개인정보보호법 위반 사항 등이 확인될 경우 사고 직전 3개년도 매출의 최대 3%까지 과징금을 부과할 수 있다. 금융감독원 전자공시시스템에 따르면 쿠팡 한국 법인의 지난 3년간 연결기준 평균 매출액은 약 32조원이다. 이 금액에 3%를 적용해 최대 과징금을 매기면 9600억원, 즉 1조원에 육박하는 과징금 부과가 가능하다. 다만 과징금 산정 과정을 세부적으로 살펴보면 매출액의 3%까지 부과되는 경우는 거의 없다. 유출 사고와 직결되는 매출액만을 기준으로 과징금을 산정하고, 중대성 판단과 더불어 개인정보보호 노력, 피해 회복 노력 등을 감안해 과징금을 가중 혹은 감경하는 절차를 밟기 때문이다. 최대 매출액 10%에 달하는 과징금을 부과할 수 있다는 개인정보보호법 개정안이 오는 9월 시행되는 만큼 이번 쿠팡 과징금 부과에는 이같은 징벌적 과징금이 부과되지는 않았다. 개인정보위에 따르면 쿠팡은 사고가 발생한 쿠팡 이커머스 서비스 매출만을 기준으로 과징금이 정해졌다. 쿠팡이츠, 쿠팡플레이 등 이번 유출 사고와 관련이 없는 독립적인 매출액은 과징금이 부과되는 매출액 기준에서 제외된 것이다. 다만 연간 매출액 약 30조원을 상회하는 대규모 개인정보처리자로서, 인증 시스템 및 인증키 관리를 소홀히 한 행위 및 다수의 이상행위를 탐지하지 못했다는 점을 중대성 판단에 고려했다는 것이 개인정보위의 설명이다. 정보보호 관리체계 및 개인정보보호 관리체계(ISMS-P) 인증의 취득·유지, 민관협력 자율규제 규약 이행 등 개인정보보호 노력을 지속한 점도 감경 요소로 참작됐다. 쿠팡 플랫폼과 쿠팡 이츠에 각각 5000원, 쿠팡 럭스와 트래블에 2만원씩 총 5만원의 쿠폰을 지급한 보상 절차도 감경 요소로 작용했다. 개인정보위는 11일 제11회 전체회의 브리핑에서 "위반 기간 및 최근 3년 내 동종행위로 과징금이 부과됐는지 여부와 조사 방해·협조 여부 등 요소를 고려해 최종 과징금을 산정했다"며 "1억2000만개의 주소들이 관리되고 있는 국민의 일상생활과 밀접한 온라인 플랫폼이기 때문에 엄중하게 처분을 했다. 또 보호법에 정하는 법과 원칙의 테두리에 따라서 국내외 사업자 차별 없이 처분을 했다"고 밝혔다. "상징적 과징금…보안 중요성 인지시켰을 것" vs "법 집행 형평성 의문" 보안업계에서는 이번에 쿠팡에 부과된 과징금을 두고 '적정' 수준이라는 의견이 지배적이다. 최대 수위의 과징금이 부과됐으며, 이를 계기로 유출사고에 대한 경각심을 끌어올리는 계기가 될 것이라는 예상이다. 이용준 극동대 해킹보안학과 교수는 "총 과징금 6300억원의 과징금 중 유출사고로 인한 과징금이 4000억원이 넘는데, 3000만명의 데이터가 유출된 점으로 보아 1인당 1만원이 넘는 수준의 과징금이 부여된 것으로 보인다"며 "부과할 수 있는 범위 내에서 최대 규모로 과징금을 부과한 것으로 보이는데, 이를 통해 이커머스, 온라인 쇼핑 업계 전반에 경종을 울릴 만한 사건으로 기록될 전망"이라고 밝혔다. 이 교수는 "과거에는 보안에 대한 투자가 ISMS-P 등 법적 기준에만 맞춰서 형식적으로 투자가 이뤄졌는데, 쿠팡 사태를 다른 기업들이 보고 자발적으로 법에서 요구하는 수준보다 보안 투자를 확대해야 한다는 경각심을 가졌을 것"이라며 "충분히 의미 있고 보안에 대한 중요성을 인지시키는 과징금"이라고 평가했다. 김선희 가천대 스마트보안학과 초빙교수도 "인증키 관리, 내부자 관리는 온전히 기업 책임인데, 6300억원에 달하는 과징금은 개인정보위가 최대 수준으로 부과한 것으로 보인다"며 "쿠팡이 과징금에 대해 향후 어떻게 대응할지는 지켜봐야겠지만, 개인정보위의 엄정한 대응을 확인할 수 있는 대목"이라고 말했다. 김승주 고려대 정보보호대학원 교수는 자신의 SNS를 통해 "쿠팡은 키 관리 및 접근 통제에 있어 기본적인 수칙도 지키지 않았다. 조사에 협조적이기는 커녕 언론 플레이를 통해 방해에 가까운 행동을 했다"면서 "유출됐을 것으로 의심되는 정보에 구매이력 등의 민감정보가 포함돼 있으므로 역대 최고 수준의 과징금 부과 조치가 있어야 한다"고 강조했다. 반대로 이번 쿠팡에 대한 개인정보위 제재 수위가 과하고, 법 집행 형평성에 의문이 제기될 수 있는 판단으로 보인다는 학계 의견도 있었다. 서용구 숙명여대 경영학부 교수는 "개인정보 유출에 대한 책임은 엄정하게 물어야 한다"면서도 "다만 제재 수위는 기업 규모 자체보다 해당 정보의 민감성, 실제 피해 수준, 사고 이후의 대응과 피해 확산 방지 노력 등을 종합적으로 고려해 결정할 필요가 있다. 특히 이번 처분이 향후 산업 전반의 기준으로 작용할 수 있다는 점에서 더욱 신중한 접근이 요구된다"고 밝혔다. 이은희 인하대 소비자학과 명예교수는 "규제 목적은 처벌 자체가 아니라 공정하고 일관된 기준을 통해 기업의 책임 있는 행동을 유도하는 데 있다"며 "위반의 성격과 실제 피해가 유사한 사안들 사이에서 제재 수준의 편차가 지나치게 크다면, 법 집행의 형평성에 대한 의문이 제기될 수밖에 없다"고 우려했다. 김대종 세종대 경영학부 교수는 "보안 관리 소홀에 대한 책임은 당연히 져야 하지만 기업이 얻은 부당이득이나 실제 피해와 관계없이 매출 규모에 비례해 천문학적인 과징금을 부과하는 방식이 과연 바람직한지는 따져볼 필요가 있다"면서 "기업 입장에서는 성장할수록 규제 리스크가 기하급수적으로 커지는 구조로 받아들일 수 있고, 이는 결국 투자와 혁신을 위축시키는 잘못된 신호가 될 수 있다“고 말했다.

2026.06.11 16:36김기찬 기자

개보위, 쿠팡 사태 '총제적 관리 실패' 결론…근거는

지난해 대규모 개인정보 유출 사건을 일으킨 쿠팡 사건에 대해 개인정보보호위원회가 회사의 총체적인 보안 관리 실패로 결론지었다. 인증수단의 미흡한 관리 체계와 소홀한 접근 통제, 조사 방해, 탈퇴 회원의 자료 미파기 등을 근거로 들었다. 이와 함께 개보위는 쿠팡에 대한 고발도 병행한다. 지난해 11월 사고 관련 증거 자료 보전을 명령했지만 5개월 분량의 웹 접속 기록을 수동으로 삭제하고, 자동 삭제 시스템 역시 중단시키지 않은 사실이 확인됐기 때문이다. 개보위는 11일 서울 종로구 정부서울청사에서 쿠팡 제재안 관련 브리핑을 열고 안전조치 및 의무 위반 및 법적 근거 없는 개인정보 수집 등에 대해 과징금 6246억8100만원, 과태료 1680만원을 부과했다. 회사의 물류를 담당하는 쿠팡풀필먼트서비스(CFS)에도 과징금 2억4800만원을 내렸다. 개인정보 수집·이용 및 민간정보 처리 제한 위반 사실을 확인하면서다. 인증수단 관리 미흡·조사 방해·회원 자료 미파기가 이유 개보위는 인증수단을 안전하게 관리하지 않고, 불법적인 접근·침해사고 방지를 위한 접근 통제를 소홀히 했다는 점을 총체적 보안 관리 실패로 본 이유로 꼽았다. 쿠팡이 운영하는 토큰 기반 인증체계는 전자서명 검증만으로 인증을 허용하는 방식으로, 서명에 사용되는 키 관리 실패 시 전체 회원 계정에 대한 무단 접근을 허용할 수 있다는 점에서 엄격한 운영·관리가 필요하지만 이를 소홀히 했다는 것이다. 해커가 퇴사를 했음에도 서명키를 즉시 갱신하거나 폐기하지 않는 등 인증 서명키를 안전하게 관리하지 않은 것도 영향을 미쳤다. 해커가 공격하는 과정에서 과도한 트래픽 이상과 비정상 접속이 다수 있었음에도 회사는 해커의 협박 메일을 받은 고객 민원 접수 전까지 이상행위를 인지하지 못했다. 개인정보가 포함된 페이지에 대한 차단 임계치 설정이 미흡하고, 이상행위에 대한 별도 상세 분석을 수행하지 않아 사전에 유출사고를 차단할 수 있는 기회도 놓친 것으로 확인됐다. 여기에 올해 1월 30일 회원 약 16만명의 개인정보가 추가 유출됐고 이를 인지했음에도 법령이 정한 72시간이 경과한 2월 5일에서야 유출 사실을 통지했다. 유출된 배송지 정보에 쿠팡 회원이 아닌 정보주체의 개인정보가 존재해 이를 통지할 것을 촉구했음에도 이를 이행하지 않은 것도 하나의 요인이다. 해킹에 대한 자체적인 조사 당시 결과를 홈페이지에 공개할 때 개인정보보호책임자(CPO)를 의사결정 과정에서 배제하고 관련 정보를 공유하지 않아 직무수행 권한을 무력화한 것도 원인으로 작용했다. 자료 폐기 등을 통해 개보위의 조사도 방해를 받았다. 회원정보는 탈퇴 후 90일이 경과하면, 주소·계좌번호는 즉시 파기하도록 하는 내부 규정이 있었음에도 246만5592건은 파기 하지 않아 실제 유출로 이어졌다. 탈퇴회원의 계좌번호 31만8499건을 즉시 파기하지 않고, 탈퇴 후 90일이 경과한 71만7865명의 개인정보도 별도의 발송용 DB에서 파기하지 않은 점도 드러났다. 개보위 "쿠팡 고발 진행…자료보전명령 미이행" 개보위는 이번 사안에 대해 쿠팡에 대한 고발을 진행하기로 했다. 송경희 개보위원장은 "조사를 개시하고 자료보전명령을 내렸는데도 이후 (자료가) 삭제된 적이 있었다"며 "자동 삭제 시스템도 중단시키지 않아 다시 한 번 삭제되는 일이 있어 조사를 어렵게 했다"고 설명했다. 아울러, 개보위는 이번 결정에서 쿠팡 측 의견도 일부 반영됐으며, 국내와 국외 사업자의 차별은 없었다고 강조했다. 송 위원장은 "제안된 의견에 대해서는 사실 여부를 면밀하게 확인하고 조사 결과와도 대비해 여러번 확인하는 과정을 거쳤다"며 "물론 사실과 부합하는 부분은 감안된 것이 있다"고 말했다. 쿠팡이 피해 회복과 관련된 일부 프로그램을 진행했다는 점도 가중·감경에 반영됐다. 개보위 관계자는 "심의에 고려하기 위해서는 쿠팡에서 시행하는 프로그램이 어느 정도로 이용됐는지가 정확하게 확인되는 게 중요하다"며 "쿠팡이 답변을 하지 않아 정확히 얼마가 집행됐는지는 확인이 안되고 있는 상황이지만 종합적으로는 판단에 일부 고려가 됐다"고 덧붙였다. 앞서 쿠팡은 개인정보가 유출된 이용자를 대상으로 쿠팡 플랫폼과 쿠팡 이츠에 각각 5000원, 쿠팡 럭스와 트래블에 2만원씩 총 5만원의 쿠폰을 지급한 바 있다. 안전 강화·정보 유출 통지 등 명령…"불복 시 적극 대응" 시사 개보위는 과징금·과태료와 유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체 대상 유출 통지 실시, CPO 실질적 역할 보장 등을 시정 명령했다. 또한 탈퇴회원 개인정보 처리 체계와 관련해 개선을 권고하며 3개월 이내 시행·조치 결과를 확인할 예정이다. 쿠팡이 부과받은 과징금과 과태료가 역대 최대치로 나오면서 회사는 사과와 함께 "지난해 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못했다"며 유감스럽다는 의사를 표현했다. 또 "쿠팡 파트너스는 다른 글로벌 기업들과 동일한 제휴 모델을 사용해 고객 데이터를 보호하고 적법하게 운영하고 있다"며 "개보위로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되기를 기대한다"고 강조했다. 이같은 쿠팡의 후속 조치에 개보위는 불복할 경우 적극 대응하겠다는 입장이다. 송 위원장은 "만약 소송이 제기된다면 적극적으로 대응하겠다"며 "처분은 법과 원칙에 근거해 매우 면밀한 검토와 충분한 숙고 끝에 내려진 타당한 처분"이라고 밝혔다. 쿠팡은 파트너스 프로그램을 통한 타사 온라인 활동 기록 무단 수집을 두고 "비의도적이다. 자연적으로 적재가 됐다"고 항변했으나 인터넷 통신 규약상 자연적으로 적재할 수 있는 형태가 아니라고 봤다. 특히, 기기 식별자를 회원들 브라우저에 설치해 이를 바탕으로 타사의 웹·앱의 온라인 기록들을 쿠팡 서버에 들어왔을 때 회원 식별번호와 결합해 의도적으로 데이터베이스(DB)에 쌓아놨다는 점이 충분히 의도성이 있다는 설명이다. 개보위 관계자는 "이 DB를 나중에 쿠팡이 일정하게 조회한 사실도 확인했기에 이를 위법하다고 본 것"이라고 부연했다.

2026.06.11 13:32박서린 기자

[속보] 개보위 "쿠팡 고발할 것...조사 어렵게 한 사실 확인"

개인정보보호위원회가 지난해 대규모 개인정보 유출 사건을 일으킨 쿠팡에 대해 조사를 어렵게 한 사실이 확인돼 고발한다고 11일 밝혔다. 쿠팡이 이번 개보위의 결정에 불복해 소송을 제기할 경우 적극적으로 대응한다는 입장이다.

2026.06.11 11:26박서린 기자

개인정보위, 쿠팡 6247억 '철퇴'…작년 과징금 총액 4배

쿠팡이 6247억원 규모의 역대 최대 규모 과징금 철퇴를 맞았다. 지난해 개인정보보위원회(개인정보위)가 부과한 전체 과징금 총합보다 높다. 개인정보위는 지난 10일 제11회 전체회의를 열고, 개인정보보호 법규를 위한판 쿠팡에 총 6246억8100만원의 과징금 및 1680만원의 과태료 부과와 함께 시정명령, 공표 및 공표 명령 등을 의결했다고 11일 밝혔다. 이는 지난해 개인정보위가 부과한 한 해 과징금 총액(1677억원)의 4배 수준에 달하는 금액이다. 개인정보위가 부과한 역대 최대 과징금이다. 이와 별개로 개인정보보호 법규 위반이 확인된 쿠팡풀필먼트서비스 유한회사(CFS)에 대해서도 총 2억4800만원의 과징금 부과를 의결했다. 유사사고 재발 방지를 위해 인증체계 전반에 대한 키 관리·통제 체계 정비 및 접근통제 조치 등 안전조치를 강화하고, 유출된 배송지에 포함된 '회원이 아닌 정보주체' 대상 유출통지 실시, 파기 정책 및 내부 거버넌스 체계 정비 등을 시정 명령했다. 쿠팡이 운영 중인 홈페이지에 위와 같이 처분받은 사실을 공표하도록 명령했고, 해당 사실을 개인정보위 홈페이지에도 공표할 예정이다. 개인정보위는 쿠팡에 탈퇴회원의 개인정보가 목적 범위 내에서 최소한으로 보관‧관리되도록 하고, 개인정보 처리방침을 실제 개인정보 처리 방식에 부합하도록 적시에 현행화 및 공개할 수 있도록 내부 체계를 개선할 것을 권고했다. 앞서 개인정보위는 지난해 11월20일 쿠팡의 유출신고를 접수하고 이튿날부터 개인정보 유출 조사에 착수했다. 이후 개인정보위는 국회 청문회, 언론 보도 및 타 부처 등으로부터 납치광고, 취업 제한 목록 등과 관련된 쿠팡 및 CFS의 개인정보 침해 소지가 다수 제기됨에 따라 올해 1월7일 추가적인 조사를 추진했다. 개인정보위는 쿠팡 서비스가 국민 대다수가 일상적으로 이용하는 생활 인프라 성격의 플랫폼으로, 개인정보 유출 및 침해사고 발생 시 대국민 영향도가 큰 점 등을 고려해 한국인터넷진흥원(KISA)과 함께 집중조사 TF를 구성했다. TF는 사실관계, 개인정보 보호 법규 위반 여부 등을 '법과 원칙에 따라 책임에 상응하는 처분 부과' 원칙 아래 중점적으로 확인했다. 3322만 명 정보 유출…'CPO 독립성 방해'에 조사 방해까지 TF 조사 결과 해커는 쿠팡이 제공하는 다수 서비스 페이지에 접근해 총 3322만2472명의 회원 개인정보(계정 기준)와 최소 433만8368명(휴대전화번호 기준)의 '회원이 아닌 정보주체'의 개인정보를 유출한 것으로 확인됐다. 회원정보 수정 페이지에서 3305만7012명의 회원 개인정보(이름, 이메일)가 유출된 것으로 확인됐다. 배송지 관리 페이지에서는 최소 2237만5359명의 회원이 등록한 배송지 정보(이름, 전화번호, 주소, 공동현관 비밀번호(비식별화))가 6398만6351건 유출됐다. 아울러 회원이 등록한 배송지 정보에는 회원 본인 외에도 가족, 친구 등 제3자의 이름, 전화번호, 주소 등이 다수 포함돼 있었고, 회원이 아닌 정보 주체는 최소 433만8368명에 달한다는 것이 TF의 조사 결과다. 주문 목록 페이지에서는 회원 5만8349명의 주문내역(주문일, 상품명, 수량, 가격) 27만2470건이 유출된 것으로 확인됐다. 이와 관련 개인정보위는 쿠팡이 기본적인 안전관리 체계 미비 및 관리 소홀로 이번 사태가 발생한 것으로 판단했다. 조사 과정에서 확인된 주요 관련 법령 위반 사항은 ▲안전조치 의무 위반 ▲개인정보 유출통지 의무 위반 ▲개인정보보호책임자(CPO)의 독립적 업무 수행 방해 ▲개인정보 파기 의무 위반 ▲자료 폐기 등 조사 방해 등이다. 동의 없는 '납치 광고'로 1100만 명 온라인 활동기록 무단 수집 쿠팡이 판매하는 상품을 광고 파트너의 매체를 통해 홍보하도록 하는 제휴 마케팅 프로그램인 '쿠팡 파트너스'를 운영하고 있다. 개인정보위 조사 결과에 따르면 쿠팡은 2024년 12월23일부터 올해 2월 4일까지 1564만5338개의 웹페이지(URL) 또는 앱을 방문·사용한 쿠팡 이용자 총 1117만613명에 대한 타사 온라인 활동기록을 무단 수집·저장한 것으로 확인됐다. 쿠팡이 수집한 타사 온라인 활동기록은 기기 식별자 및 회원번호와 함께 광고 DB에 저장되어 있어 그 자체로도 개인 식별이 가능한 개인정보에 해당한다. 이에 민감정보의 추론 가능성도 있어 정보주체의 권리 침해 위험 가능성이 크다. 개인정보위는 타사 웹·앱에 맞춤형 광고를 게재하거나 온라인 활동기록을 수집‧저장하기 위해서는 이용자에게 명확히 알리고 동의를 받는 등 개인정보 처리에 관한 결정권을 충분히 행사할 수 있도록 해야 하는데 이를 명확히 알리지 않았다는 점도 지적했다. 아울러 자신이 보유하거나 운영하는 온라인 매체에서 광고를 클릭하지 않아도 쿠팡 웹이나 앱으로 강제로 전환되도록 하는 '부정 광고(납치 광고)'를 개제해 용자가 원치 않았음에도 쿠팡 웹·앱에 접속하도록 함에 따라 관련 온라인 활동기록이 쿠팡에 수집되도록 했다. 또 개인정보위 조사 결과 쿠팡은 스스로 정한 정책상의 계정 해지 기준에 해당함에도 일부 광고 파트너에 대해 계정 해지 등 불이익을 적용하지 않고, 오히려 추가 수수료율을 적용하는 등 적절히 제재하지 않은 사실이 드러났다. CFS와 관련해서는 경찰청 출입기자 개인정보 수집·이용 문제가 불거졌다. 개인정보위 조사 결과에 따르면 CFS는 2023년 9월부터 2024년 2월까지 물류 센터에 근무한 이력이 없음에도 경찰청 출입 기자 71명을 '허위사실유포' 사유로 취업제한 목록에 등록하였고, 등록 과정에서 별도로 해당 정보주체의 동의를 받거나, 등록 사실을 알린 바는 없었다. 뿐만 아니라 소송 과정에서 건강상 쟁점을 반증하기 위한 목적으로 임직원 80명의 체중 수치 분석 자료 등을 법원에 제출한 것과 관련, 별도 동의나 법령상 근거 없이 민감정보를 처리한 행위로 판단해 과징금을 부과했다. 개인정보위 "유출사고 엄격한 법적 책임 명확히했다" 평가 개인정보위는 이번 조사 및 처분을 통해 국내 소비자의 소중한 개인정보를 다루는 기업이라면 국·내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용되어야 한다는 원칙을 다시 한번 명확히했다고 평가했다. 또한 대규모의 개인정보를 다루는 플랫폼 기업의 기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 그에 상응하는 책임이 따른다는 점을 분명히 했다고 봤다. 송경희 개인정보위 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"며 "개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다"라고 밝혔다.

2026.06.11 11:00김기찬 기자

개보위, 10일 쿠팡 제재안 심의…역대 최대 과징금 나올까

지난해 11월 대규모 개인정보 유출 사건이 발생한 쿠팡에 대한 과징금 수위가 오는 10일 결정된다. 역대 최대 수준 과징금이 현실화될지 관심이 쏠린다. 개인정보보호위원회는 오는 10일 전체 회의를 열고 쿠팡의 제재안을 심의할 예정이다. 앞서 과학기술정보통신부 민관합동조사단은 지난 2월 쿠팡 유출 사고 조사 결과를 발표한 바 있다. 이때 유출된 이용자 성명, 이메일 주소를 포함한 개인정보는 3367만3817건 수준이다. 개보위는 지난 4월 쿠팡에 개인정보보호법 위반 사항과 예정 처분 내용 등을 담은 사전통지서를 발송했다. 이후 쿠팡은 의견 제출 기한 연장을 요청한 후 의견서를 제출했고 개보위는 이를 검토해온 것으로 알려졌다. 이번 전체회의에서 개보위는 쿠팡의 개인정보보호법 위반 여부와 과징금 부과 등 제재 수위를 논의한다. 구체적인 과징금 액수와 처분 내용을 위원들의 심의를 거쳐 최종 확정될 예정이다. 업계에서는 유출 규모와 대응 과정 등을 고려하면 '역대급' 과징금이 부과될 수 있다고 보고 있다. 현행법에서는 개인정보 유출 사고 발생 시 매출액의 최대 3% 범위 내에서 과징금을 부과할 수 있도록 규정하고 있는데, 지난해 쿠팡의 매출액은 345억 달러(약 52조 1813억원)으로 부과 가능한 최대 과징금은 1조5000억원대다. 지금까지는 지난해 발생한 SK텔레콤의 유심 정보 유출 사고에 역대 최대 과징금이 부과됐다. 당시 SK텔레콤을 상대로 부과된 과징금 규모는 1348억원 가량이다. 다만, 쿠팡이 행정소송을 통해 불복할 가능성도 배제할 수 없다. SK텔레콤은 올해 1월 과징금 관련 행정 소송을 제기한 바 있다.

2026.06.09 15:06박서린 기자

李 대통령 '일베' 폐쇄 시사…현실 가능성은

이재명 대통령이 온라인 커뮤니티 일간베스트저장소(일베)에 대해 사이트 폐쇄와 과징금 가능성을 언급하면서 실제 제재가 가능할지 관심이 쏠린다. 현행법상 커뮤니티 전체 폐쇄는 요건 충족이 쉽지 않지만, 오는 7월 시행되는 정보통신망법 개정안에 따라 혐오·차별 게시물에 대한 손해배상이나 운영자 책임 논의는 한층 확대될 가능성이 제기된다. 28일 IT업계에 따르면 이재명 대통령은 지난 24일 엑스(X)에서 “일베처럼 조롱 혐오를 방치조장하는 사이트 폐쇄, 징벌배상, 과징금 등 필요 조치를 허용하는데 대한 공론화와 실제 검토가 필요해 보인다”며 “국무회의에도 지시하겠다”고 말했다. 이는 최근 열린 노무현 전 대통령 17주기 추도식에서 일베 이용자로 추정되는 인물들이 조롱성 행위를 했다는 사실이 알려진 데 따른 것이다. 불법 게시글 대다수여야 폐쇄…게시글별 손해배상은 가능 현재 일베 폐쇄의 근거로 작용하는 법안은 정보통신망법이다. 앞선 2018년 문재인 정부 당시에도 정부 차원에서 사이트 폐쇄를 검토했지만, '플랫폼 게시물 중 불법 정보가 70% 이상'이어야 한다는 조건을 충족하지 못하면서 현실화되지 못했다. 다만, 게시물별로 혐오·조롱성 글을 게시한 이용자에게 사자명예훼손, 모욕 등의 혐의로 대응은 가능하다. 사자명예훼손의 경우 손해배상을 하더라도 살아있는 자연인보다 그 강도가 낮다는 것이 법조계의 판단이다. 명예훼손 정도에 따라 달라지지만, 대략 수백만원에서 1000만원대 초반 수준이다. 익명을 요청한 한 변호사는 “원칙적으로 커뮤니티나 사이트를 폐쇄하려면 대부분의 게시글이 불법에 해당돼야 했다”며 “위법 정도가 심하면 콘텐츠 자체에 대한 접속 차단 등의 방식으로 (제재가) 이뤄져왔다”고 말했다. 7월 정보통신망법 개정안 시행…징벌배상·과징금, 운영자 협조에 달려 이 대통령이 함께 언급한 징벌배상과 과징금 역시 사이트 운영자의 시정요구 협조 여부에 달렸다. 오는 7월 5일 시행되는 정보통신망법 개정안은 차별·혐오 표현을 불법 정보, 허위조작정보로 분류해 손해배상 청구가 가능하도록 한 상황이다. 변호사는 “사이트 운영자가 고의적으로 (차별·혐오) 콘텐츠를 방치하거나 게시글 존재에 대해 인식하고도 오랜 기간 삭제를 안 했다는 책임성을 따질 수 있는 요건이 갖춰져야 과징금을 물을 수 있을 것”이라고 덧붙였다. 방송통신미디어심의위원회 관계자는 “지금 (일베 폐쇄)를 안건으로 준비하고 있지는 않다”며 “대통령의 말씀을 인지하고 있고, 일베는 항상 모니터링하고 있었다. 게시물 단위로 시정 요구(삭제) 조치를 꾸준히 이어왔다”고 답했다. 그러면서 “일베도 이에(시정요구) 대해서는 협조적으로 대응해왔다”며 “현재 게시돼 있는 차별·혐오 표현에 대해 7월 시행 법령을 적용해 심의가 이루어질 수 있을지는 현재 시점에서 단정해 말할 수 없다”고 부연했다.

2026.05.28 09:58박서린 기자

잇단 대형 해킹사고, 정부 '그립'은 강해져…보안 B+학점

지난해 6월 출범한 이재명 정부는 '진짜 성장'을 내세웠다. AI로 경제·사회·기술 대전환을 꾀해 국가발전과 국민행복이 선순환되는 시대를 열겠다는 것이다. 지난해 하반기부터는 30대 선도프로젝트가 가동되기 시작했으며 각 경제·산업 분야에서 AI 대전환이 진행 중이다. 일단 스타트는 좋다. AI 붐을 등에 업고 코스피 7000 시대가 열렸다. 하지만 미국·이스라엘-이란 전쟁으로 인한 고유가·고물가·고환율 리스크가 AI 대전환의 발목을 잡고 있다. 지디넷코리아는 창간 26주년을 맞아 이 격변의 시점에 있는 대한민국 산업 현장을 진단하고, 각 분야 전문가들과 함께 'AI 시대, 이재명 정부 1년'을 평가했다. [편집자주] 2025년 4월, 대한민국은 SK텔레콤 유심(USIM) 정보 유출이라는 초대형 보안사고가 터졌다. 이로부터 약 40여일 후인 작년 6월 4일 이재명 정부가 출범했다. 새 정부 출범 후에도 대형 보안사고가 잇달았다. 이재명 정부 출범 5일 후인 작년 6월 9일 예스24가 랜섬웨어 공격을 받아 홈페이지·앱·전자책·티켓 서비스가 대규모로 마비됐다. 이어 작년 8월 말~9월 초 KT의 불법 초소형 기지국(펨토셀)을 악용한 해킹으로 가입자 2만2227명의 개인정보가 유출되는 사고도 일어났다. 예스24와 KT 이후에도 롯데카드, SGI서울보증, 쿠팡에서도 태풍급 보안사고가 연달아 일어났다. 대형 보안사고가 이어지면서 이재명 정부는 규제 '그립'을 세게 쥐었다. 민간 사이버보안을 책임진 과기정통부와 개인정보보호 파수꾼인 개인정보보호위원회(개보위)가 잇달아 규제 강화책을 내놓았다. 올 1월 말 과기정통부는 20개 주요 실행과제로 이뤄진 '제2차 정보보호 종합대책'을 발표했다. 개보위는 지난 12일 대통령 주재 국무회의에서 '예방 중심 개인정보 관리체계 전환 계획'을 보고, 주요 공공시스템과 대규모 개인정보를 처리하는 약 1700개 고위험 시스템을 정부가 직접 정기점검을 하겠다고 선언했다. 이재명 정부는 지난해 공약집 등을 통해 사이버위협 대응 방안으로 ▲망 중심에서 데이터 중심의 정보보호 체계 전환 ▲침해사고 발생 시 명확한 책임 부과 ▲정보보호 공시제도 강화 추진 등을 제시한 바 있다. 일각에서는 정부의 강력한 보안 정책 드라이브로 우리나라 사이버 보안 펀더멘털이 한층 단단해질 것이라고 기대한다. 하지만 현장의 고질적인 구조적 결함을 먼저 해소하지 않은 채 밀어붙이기식 의무화만 강조한다면 산업계의 반발과 혼선은 불가피하다. 오랜 기간 체질 개선을 이루지 못한 사이버 보안 분야는 정부의 강력한 드라이브에도 불구하고 개선해야 할 부분이 포착됐다. 본지가 이재명 정부 출범 1주년을 맞아 정보보호 분야 산학연 전문가 50명에게 물은 결과, 평균 B+ 점수가 나왔다. 사이버보안과 개인정보보호 강화를 위한 잇달은 조치를 환영하면서도 "기업과 기관만 옥죄이는 것 아니냐"는 비판적인 시각과 함께 기업은 물론 보안 생태계의 한 축을 이루는 개인과 국가를 둘러싼 보안 생태계 전반이 건강해져야 한다는 것이다. 국가 망분리 대전환 'N2SF' 첫발…"정부 도입 의지 확인" 이달 초부터 국가정보원의 '국가 사이버보안 기본 지침'이 개정·시행됐다. 정보보안 체계가 레거시 IT를 넘어 AI, 클라우드 등 첨단 디지털 환경으로 전환함에 따라 선제적인 위험 관리 체계를 제도화하겠다는 것이 지침의 골자다. 가장 큰 변화는 '국가 망보안 체계(N2SF)' 시행이다. 개정에 따라 기존 지침 제 40조에 명시되었던 내부 업무망과 인터넷망의 일률적 분리 의무가 사라졌다. 본격적인 N2SF가 시행된 것이다. 그간 업무망(내부망)과 외부망은 물리적으로 분리돼 있어 외부 오픈소스나 인공지능(AI), 클라우드 등 신기술을 활용하는 데 제약이 있었다. 특히 코로나19 시기 재택 근무가 잦아지면서 외부망 접근 필요성이 대두됐고, 생성형AI 등장으로 공공 부문 디지털 혁신이 필요해졌다. 국가정보원 주도로 N2SF로 보안 패러다임을 전환할 것을 지난해부터 가이드라인 발표 등 사전 작업을 진행했다. N2SF는 기존 물리적 망분리 원칙을 데이터 중요도에 따라 차등적인 보안 시스템을 적용하는 체제로 전환하는 프레임워크다. 업무정보를 기밀(C)·민감(S)·공개(O) 등급으로 분류하고, 등급에 따라 도메인·정보시스템·보안통제를 차등 적용하도록 제시했다. 공공정보의 보안성과 활용성을 높이겠다는 목적이다. 그러나 현장에서는 어떤 데이터를 S 또는 O로 분류해야 하는지에 대한 세부 사례와 적용 기준이 모호하고, 일일이 적용하는 데 어려움이 있다는 지적이 제기됐다. 지난해부터 정부가 1년 가까이 추진하고 있지만 현장에서는 혼선이 반복되고 있는 것이다. 그럼에도 전문가들은 N2SF를 국가 최상위 보안 지침에 반영하는 등 당국의 노력은 고무적이라고 평가했다. 최영철 SGA솔루션즈 대표는 "지난해까지만 해도 N2SF에 대한 관심은 일부 공공기관에 그쳤지만, 5월부터 국가 사이버보안 기본 지침에 N2SF가 반영되면서 적용 대상이 모든 공공기관으로 확대됐다. 100명 중 20명만 관심을 가졌다면 이제는 100명 중 100명 모두 N2SF에 관심을 갖게 된 것"이라며 "국가정보원에서 C·S·O 등급 분류 체계에 대한 가이드라인도 마련하는 등 세밀한 준비가 뒷받침된다면 향후 N2SF 안착을 긍정적으로 보고 있다. 현 시점에서 N2SF 관련 정책 도입 현황은 'A' 등급으로 평가할 수 있겠다"고 밝혔다. 다만 최 대표는 "이제 본격적으로 시행하는 제도인 데다 예산 투입과 정부 대응이 중요한 분야인 만큼 향후 현장에서 요구하는 가이드라인이 늦게 발표되거나 정부의 지원이 미흡하다고 판단되면 N2SF 도입에 대한 개인적인 평가는 낮아질 것"이라고 말했다. 이재형 옥타코 대표는 보안업계 현장에서 N2SF 관련으로 겪는 현실적인 어려움에 대해 설명했다. 이 대표는 "보안 현장에서 N2SF 도입 시 C·S·O 등급 분류를 가장 어려워한다"며 "예를 들면 복지 분야 데이터는 상당히 민감한 데이터가 많은데 C·S·O 등급 분류와 법률 간 일부 맞지 않는 부분이 있다. 이처럼 C·S·O 등급 분류가 상대적으로 복잡한 분야에 있어 예외 조항 등 가이드라인이 더 세밀하게 짜여질 필요가 있다"고 말했다. 그는 "현장에서 겪는 어려움이 가이드라인에 조속히 반영돼야 N2SF 체계가 빠르게 안착할 수 있을 것"이라며 "자산 파악 후 데이터 등급 분류하고, 보안 대책을 취하는 일련의 과정들을 어떻게 처리해야 하는지 아직도 어려워 하는 조직이 많다"고 N2SF 도입 을 B-로 평가했다. 보안 인증·공시 '자율→강제' 전환…'형식주의' 탈피 현재 개정 추진 중인 정보보호산업의 진흥에 관한 법률(정보보호산업법)' 시행령안에 따르면 내년부터 정보보호 공시 의무 대상이 코스피·코스닥 전체 상장사로 확대된다. 기존에는 매출액 3000억 원 이상 상장사가 대상이였다. 정보보호 공시제도는 정부가 국민의 안전한 인터넷 이용과 기업 정보보호 투자 활성화를 위해 일정 규모 이상 기업을 대상으로 시행한다. 정보보호 투자와 전담 인력, 관련 활동 등 기업의 정보보호 현황을 의무 공개하는 제도다. 국민에게 기업의 보안 수준을 투명하게 공개해 자율적 경쟁을 유도하기 위한 제도다. 과학기술정보통신부(과기정통부)에 따르면 올해 총 693개사가 정보보호 공시 의무 대상으로 확정됐다. ISMS-P 인증 역시 의무 대상을 늘린다. 지난 4월 개인정보보보위원회(개인정보위)와 과기정통부는 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 통해 ▲주요 공공시스템운영기관 ▲이동통신사업자 ▲본인확인기관 ▲대규모 개인정보처리자 등을 대상으로 ISMS-P 인증 제도를 의무화 했다. ISMS-P 인증을 받은 기업이 침해사고를 당하면서 자율에 맡겼던 인증 제도의 실효성이 없다는 지적이 이어짐에 따라 강제성을 부여한 것이다. 기업들이 정보보호 분야에 얼마나 투자하고 있는지 모든 국민이 알 수 있게 함과 동시에 ISMS-P 인증을 획득해야 하는 기업을 늘림으로써 자체적으로 보안에 더욱 투자를 확대할 수 있도록 조치한 것으로 풀이된다. 전문가들은 민간의 정보보호 투자 활성화를 위한 ISMS-P 인증 의무화, 정보보호 공시 의무 대상 확대는 긍정적이지만, 정부의 투자 확대 의지 또한 뒷받침돼야 한다고 주장했다. 한국정보보호학회 회장을 맡고 있는 김호원 부산대 컴퓨터공학과 교수는 "지난해 초까지만 하더라도 ISMS-P 인증 위원으로 활동했지만 최근 그만뒀다. ISMS-P 인증이 너무 형식적으로 흘러간다는 생각이 들었다. 3월께부터 한 번도 평가위원에 합류하지 않았다"면서도 "그러나 최근 정부에서 ISMS-P 인증 강화를 통해 주관기관인 한국인터넷진흥원(KISA) 등 정보보호 관련 기관에 힘을 실어준 점은 긍정적으로 평가할 수 있다"고 말했다. 이어 김 교수는 "그러나 이재명 정부가 '독자 AI 파운데이션 모델 사업'에만 너무 많은 관심이 몰려 있고, AI 모델 및 AI를 악용한 공격을 방어할 보안 분야에는 예산 등 정부의 투자 의지가 부족하다"면서 "AI 보안 이슈가 계속해서 부각되는 상황에서 정부가 보안 분야에 보다 적극적으로 예산을 투입할 필요가 있다"며 B로 평가했다. 이용준 극동대 해킹보안학과 교수는 "ISMS-P 인증 실무 기관의 역량이 중요한데, 인증 의무화 대상 확대로 추가되는 기업 수가 300개 이상이다. 기존 인증기업까지 포함해 심층 점검을 진행하기 위해서는 많은 리소스가 투입돼야 하는데, 현실성이 전제돼야 한다"며 "추가로 심사원 역량 강화와 기술적 점검 도구에 대한 지속적인 개선이 필요하다"고 강조했다. '매출액 10%' 초강수 채찍…심도 있는 분석 미흡 보안 패러다임 전환, 보안 공시·인증의 의무화에도 불구하고 반복적이거나 중대한 침해사고를 입은 기업에 대한 징벌적 과징금 부과도 주목할 만한 대목이다. 앞서 개인정보위는 지난 12일 오는 9월부터 중대한 개인정보 유출 사고를 낸 기업에 매출액의 최대 10%(현행 3%)까지 과징금을 부과하는 '징벌적 과징금' 제도를 시행한다고 밝혔다. 개정안은 반복적이거나 중대한 개인정보 침해 사고에 대한 제재 수위를 대폭 높였다. 적용 대상은 고의 또는 중과실로 3년 안에 같은 유형의 사고를 반복한 경우, 혹은 1000만명 이상 개인정보 유출 피해가 발생한 경우 등이다. 처벌 수위를 높임으로써 기업들이 더욱 경각심을 갖고 보안에 주의를 기울일 수 있도록 하기 위함으로 보인다. 그러나 표면적으로 드러난 사고 대응에만 집중한 제도일 뿐, 심도 있는 분석을 기반으로 정책을 마련했다고 보기에는 어렵다는 지적도 나왔다. 국가정보원 3차장을 지낸 김선희 가천대 스마트보안학과 초빙교수는 "어떤 사고에 대한 분석이 이뤄지고 난 이후 정책을 수립한 것이 아니라, 급한대로 사고에 대응하다 보니 형식적인 제도가 계속해서 나오고 있는 것으로 보인다"며 "국내 기업의 자체 잘못으로 인해 사고가 났으면 과징금을 매출액의 10%가 아니라 더 부과해도 마땅하지만, 외부 침해에 의한 사고면 과징금 기준이 달라야 한다. 이는 기업만의 문제가 아니다. 정부나 다른 이해관계자 등 각 주체의 책임 소재를 명확히 따져본 뒤 기업에 책임을 부과해야 하는데, 일방적으로 사고가 발생하면 기업이 모든 책임을 뒤집어 쓴다"고 말했다. 그는 "보안 투자가 부족하다는 인식 아래 인증, 공시 등을 의무화하고 있는데 정작 규모가 큰 기업들은 보안에 투자를 적게 하고 있지는 않다"며 "문제는 중소기업들인데, 이들은 보안에 투자할 여력도 없고 침해사고가 발생하면 그대로 당할 수밖에 없다. 그럼에도 과징금을 매긴다면 사고가 발생하더라도 어떻게든 숨기려할 것"이라고 부연했다. 김 교수는 매출액의 10%에 달하는 징벌적 과징금 제도를 'B'등급으로 평가했다. 과징금을 부과하는 것뿐 아니라 어떻게 활용할지에 대한 논의도 필요하다는 주장이 제기됐다. 염흥열 순천향대 정보보보학과 명예교수는 "매출액 10%에 달하는 과징금을 어떻게 사용할 지에 대한 논의는 잠깐 부각됐다가 현재 소강 상태"라며 "중소기업이나 사이버보안 분야 발전에 활용될 수 있는 기금 등의 형태로 지원이 이뤄져야 한다"고 강조했다. 이어 염 교수는 이재명 정부가 추진하는 사이버보안 정책이 지난 정부에 이어 다시 기틀을 잡아가는 과정이며, 향후 정책 방향성을 잡아가는지에 주목할 필요가 있기 때문에 당장은 A등급으로 평가했다. '미토스'에 발빠르게 대응한 과기정통부...곧 나올 새 정보보호 대책에 시선 미국 AI 전문기업 앤트로픽이 개발해 지난달 7일 공개한 AI모델 '미토스(Mythos)'가 가공할 보안 능력으로 미국 등 전세계에 경각심을 주고 있다. '미토스'에 대한 우리 정부의 대응책은 빨랐다. 미토스가 정식 발표된 지 일주일후인 지난달 14일 정부는 청와대 국가안보실은 민·관·군 주관 부처에 긴급 대응을 주문했고, 과기정통부는 각 기업 정보보호 최고책임자(CISO)에 AI를 활용한 보안 위협에 주의하고 각사별로 긴급 보안점검을 실시할 것을 당부하는 한편 AI를 활용한 특이 공격 발생 시 한국인터넷진흥원과 상황을 공유할 것을 요청했다. 또 이날 오후 류제명 제2차관 주재로 통신 3사 및 주요 플랫폼사(네이버, 카카오, 우아한형제들, 쿠팡 등) 정보보호 최고책임자와 긴급 현안점검회의를 개최, AI 고도화에 대한 사이버보안 대비태세 점검과 보안 체계 변화 동향을 예의주시하도록 당부했다. 뿐만 아니라 최우혁 정보보호네트워크정책실장도 같은 날 오후 국내 AI 보안전문가와 현안점검회의를 개최, '글래스윙' 프로젝트와 AI 보안서비스의 내용 및 수준, 국내에 미치는 영향 등에 대해 전문가 의견을 청취하고 대응방향 등을 논의했다. 류 차관은 지난달 16일 서울 삼성동 코엑스에서 열린 '제32회 정보통신망 정보보호 컨퍼런스(NetSec-KR 2026)'에서 축사를 하며 미토스((Mythos)에 대해 "우리 사회에 새로운 숙제를 줬다"며 또 한번 보안 주의를 환기시키는 한편 20일에는 한 행사에서 "글래스윙 프로젝트 참여를 타진중"이라고 밝혔다. '글래스윙' 프로젝트는 50개 안팎 미국 기업 및 기관에만 '미토스'의 보안 기능을 베타 테스트할 수 있는 권한을 준 것을 말한다. 이어 이번달 8일에는 배경훈 부총리가 직접 주재한 미토스 대응 산학연 보안전문가 간담회가 열렸다. 당시 간담회에는 SKT, 업스테이지, 모티프테크놀로지스 등 독자 파운데이션 모델 개발 참여기업과 주요 AI 기업, 김호원 한국정보보호학회장과 김진수 한국정보보호산업협회장 등이 참석해 의견을 내놨다. 당시 과기정통부는 "우리 사회 정보보호 패러다임을 AI기반 보안으로 서둘러 대전환해야 한다"고 강조했다. 산업계 시선은 과기정통부가 조만간 발표할 제 3차 정보보호 종합대책에 쏠린다. 2차 종합대책은 올 1월말 나왔다. 장일수 스패로우 대표는 "작년에 잇달아 일어난 대형 보안사고로 국내 보안시장 규모가 커질 것으로 보인다"면서 "미토스 등장으로 국내외 보안 시장이 새로운 환경을 맞았는데, 정부의 새 종합대책이 국내 보안산업계의 체질을 강화하는 계기가 됐으면 좋겠다"고 밝혔다.

2026.05.27 10:56방은주 기자

적립 포인트 일방 소멸...방미통위, 컴포즈커피 과징금 부과 추진

방송미디어통신위원회가 컴포즈커피에 과징금 부과를 추진한다. 커피를 마실 때마다 1개씩 적립하는 포인트인 스탬프를 일괄 소멸시켜 이용자 이익을 저해했다는 판단에서다. 방미통위는 21일 컴포즈커피 앱과 키오스크 서비스를 제공하는 부가통신사 컴포즈커피에 전기통신사업법에 따른 금지행위 위반 관련 사실조사를 마무리하고 시정조치안을 통보했다. 사실조사 결과 컴포즈커피는 앱 개편 과정에서 기존 앱 서비스를 종료하고, 커피를 마실 때마다 1개씩 적립해 주는 일종의 포인트인 스탬프를 일괄 소멸시키는 등 이용계약을 일방적으로 해지했다. 또 계약 해지 완료 사실을 고지하지 않아 이용자 이익을 저해하는 행위가 발견됐다. 방미통위는 위와 같은 위반사항들에 대해 사업자 의견을 듣고 위원회 심의 의결 등의 절차를 거쳐 시정명령과 과징금 부과 규모 등을 최종 확정할 예정이다. 이 조사는 이용자 권익 보호와 전기통신서비스의 신뢰성 확보를 위한 조치로, 방미통위는 향후에도 국민 생활과 밀접한 전기통신서비스 관련 이용자 피해 유발 행위에 대해 지속적으로 점검하고, 법 위반 시 엄정하게 대응해 나갈 계획이라고 설명했다.

2026.05.21 13:28박수형 기자

쿠팡 개인정보 유출 조사 마무리…개인정보위 "곧 결정"

3367만명의 개인정보를 유출한 쿠팡에 대한 제재 수위가 이르면 내달 결정될 것으로 보인다. 송경희 개인정보보호위원회 위원장은 지난 12일 정부서울청사에서 열린 정책브리핑에서 “쿠팡에 대한 조사를 다 마무리했다”면서 “조사 결과에 대한 사전 통지를 보냈고, 사업자 의견 제출을 받고 있다”고 말했다. 그러면서 “지금 사업자가 제출한 의견을 받아서 검토 중이고, 검토가 완료되면 개인정보위 전체 회의에서 의결하도록 하겠다”며 “단계가 빠르게 진행되고 있다”고 덧붙였다. 개인정보위 규정에 따르면 조사관은 조사 결과보고서를 바탕으로 처분 내용을 당사자에게 사전통지해야 하며, 당사자는 14일 이상의 기간 내 의견을 제출할 수 있다. 이와 관련해 쿠팡은 개인정보위에 보낸 의견서에서 전반적인 처분 방향에 동의하기 어렵다는 취지의 의견을 견지한 것으로 알려졌다. 현행 개인정보보호법상 과징금은 직전 3개년 평균 매출의 최대 3%까지 부과할 수 있다. 한국 쿠팡 모회사 쿠팡Inc의 지난해 매출은 약 49조원으로 3%를 단순 계산하면 법정 최대 과징금 규모는 대략 1조5000억원 수준이 될 전망이다. 쿠팡Inc의 경우 매출 대부분이 한국에서 발생하고 있다. 개인정보위 전체 회의는 이달 13일과 27일 예정돼 있지만 13일 회의에는 해당 안건이 상정되지 않으면서 내달 중 결과가 나온다는데 힘이 실린다.

2026.05.13 09:52박서린 기자

방송 3법 시행 초읽기...TV수신료 분리징수 조항 삭제

지난해 국회를 통과한 방송법, 방문진법, EBS법 등 방송 3법 개정안에 대한 하위 법령이 마련됐다. 방송미디어통신위원회 출범과 동시에 방송 3법 후속 조치에 착수한 뒤 입법예고, 행정예고를 거치면서 의견 수렴 토론회를 통해 시행령과 규칙 제정안과 개정안이 마련된 것이다. 방미통위는 8일 전체회의를 열어 공영방송 지배구조 개선과 보도 편성의 자율성을 높이기 위해 방송 3법을 시행하기 위한 하위법령을 완성하는 안건을 의결했다. 먼저 뜨거운 감자로 꼽힌 공영방송 편성위원회와 관련해 종사자의 범위를 구체화했다. 취재, 보도, 제작, 편성 부문 종사자 범위를 방송 사업자와 기간의 정함이 없는 근로계약을 체결한 자로 규정하고 부서장 이상 간부는 제외했다. 취재, 보도, 제작, 편성 정의 규정을 신설했고, 종사자의 부문별 구체적 범위는 노사협의회 근로자 위원 측 의장이 해당 방송사의 편성 독립성 등을 고려해 정하도록 자율권을 부여했다. 종사자 대표 선출의 민주적 정당성과 공정성도 강화했다. 종사자 대표는 취재, 보도, 제작, 편성 부문 종사자의 과반수 찬성으로 선출하며 복수 후보 시 최다 득표자 선출이 가능하도록 규정했다. 노사협의회 근로자 위원 측 의장에게 선출 관리 책임을 부여하고 사업자 협조 의무를 명시하는 한편, 투표권자 과반수가 소속된 노동조합이 있는 경우 해당 노조가 종사자 대표를 지정하도록 해 현장 대표성을 존중했다. 김종철 방미통위원장은 "방송사 자율성을 취대한 존중하는 범위 내에서 국가가 개입한다는 '최소주의 원칙'에 따라 후속 조치가 마련됐다"고 설명했다. 또 편성 책임과 시청자 참여 확대를 위한 법적 실효성을 제고했다. 편성책임자 미선임이나 편성규약 미준수 등 의무 위반에 대한 과태료 부과 기준금액을 신설하고, 지상파 라디오와 지상파 이동멀티미디어 방송사업자(DMB)에 대해서도 시청자위원회 설치를 의무화해 시청자 권익 보호 범위를 넓혔다. 아울러 공정하고 투명한 이사 추천과 사장 선임을 위해 관련 기준과 절차를 마련했다. 이사 추천단체의 자격요건과 공모 절차를 규칙에 명시하고, 사장후보국민추천위원회 운영을 지원할 여론조사 기관의 객관적 기준을 설정해 공영방송 이사회 및 사장 선출 과정의 공정성을 확보했다. 의결된 규칙은 다음주 관보 게재를 통해 시행될 예정이다. 또 시행령은 차관회의와 국무회의 등의 절차를 거쳐 이달 중 공포, 시행될 예정이다. 방미통위는 이날 KBS 등 TV 수신료와 전기 요금의 분리 고지 징수 규정을 삭제한 방송법 시행령 일부개정안을 의결했다. 지난해 4월 수신료의 효율적 징수와 공영방송의 안정적 재원 확보를 위해 결합 고지 징수를 의무화하도록 개정된 방송법과 충돌하는 시행령 규정을 정비한 것이다. 이밖에 방미통위는 KT에 갤럭시S25 사전예약 과정에서 7127명에 예약을 취소한 행위와 선착순 1000명 인원 제한 고지 누락 등에 대해 시정명령과 과징금 6억 4000만원을 부과하기로 의결했다. 보고 안건으로 허위조작정보 유통방지와 디지털 플랫폼의 사회적 책임을 강화하기 위해 지난 1월 개정된 '정보통신망법'의 시행령 일부개정안에 대한 내용이 올랐다. 법안은 고의로 허위, 조작 정보를 유포해 타인에게 손해를 입힌 자에게 손해액의 최대 5배까지 배액 배상 책임을 지우는 내용을 골자로 한다. 시행령 개정안을 통해 방미통위는 대규모 정보통신서비스 제공자와 영향력 있는 정보 게재자의 범위를 마련하고, 세부 규정 마련과 허위조작정보 대응 체계를 제도화한다. 가중 손해배상 청구 대상 범위는 유튜브, 틱톡, 인스타그램 등 SNS, 온라인 커뮤니티 등 온라인상에 직전 3개월간 총 3회 이상 정보를 게재한 자 중 구독자 수가 10만명 이상이거나 직전 3개월간 월별 합산 조회수 평균이 10만회 이상인 경우로 규정했다. 신영규 방미통위 방송통신이용자정책국장은 "구독자 10만은 유튜브 '실버버튼' 기준으로 이를 넘어서면 영향력 있는 크리에이터고, 수익 창출이 본격화되는 단계"라며 "조회수 10만은 통상 플랫폼에서 바이럴 콘텐츠가 시작되는 기준"이라고 밝혔다. 대규모 정보통신서비스 제공자 범위는 최근 3개월간 하루 평균 활성이용자 수(DAU)가 100만명 이상인 경우로 규정했다. 과징금은 직전 3개월간 총 3회 이상 정보를 인터넷 등 정보통신망에 게재한 자로서 법원 판결 등으로 불법 허위조작임이 판명된 정보를 2회 이상 유통한 자를 대상으로 부과한다. 과징금 상한은 최대 10억원이다. 위반행위의 중대성 정도에 따라 기준 금액에 필수적 가중, 추가적 가중, 감경, 부과과징금결정을 순차적으로 거쳐 산정하도록 했으며, 구체적인 사항은 방미통위 고시로 규정할 예정이다. 손해배상 청구소송이 각하됐을 때 공표 의무를 지는 공인 범위는 공직선거법상 후보자, 공공기관장, 공직자윤리법상 재산공개 의무자인 공직자, 인사청문대상 공직자와 후보자, 정당 대표자, 언론사 대표자, 공시대상기업집단에 속하는 회사 대표이사 및 최대주주 등이다. 이밖에 분쟁조정부 설치, 운영과 분쟁조정 등에 필요한 사항과 청구 가능한 이용자 정보 범위, 정보제공청구 절차, 정보제공 절차와 보고서 공표 방식, 과징금 납부기한 연기 및 분할 납부, 과징금 징수와 강제징수 절차 등도 시행령에 담았다. 시행령 개정안은 관계부처 협의와 입법 예고, 규제심사, 위원회 의결, 법제처 심사, 차관, 국무회의 의결 등 절차를 거쳐 시행될 예정이다. 김종철 방미통위원장은 “개정안은 허위조작정보 유통을 막고 피해를 구제하기 위해 마련된 상위 법의 개정 취지를 충실히 이행하기 위한 시행방안을 담고 있다”며 “국내외 사업자에 공평하게 적용해 허위조작정보 유통 방지를 위한 안전한 환경 조성을 위해 노력할 계획이다”고 말했다.

2026.05.08 14:54홍지후 기자

공정위, 하도급·가맹 등 과징금 강화한다

공정거래위원회가 하도급·가맹·유통·대리점 분야 전반의 과징금 부과 기준을 대폭 강화하는 제도 개편에 나섰다. 반복 법 위반에 대한 가중을 크게 늘리고, 감경 요건은 축소하는 방향이다. 30일 공정거래위원회는 관련 시행령 및 과징금 고시 개정안을 입법·행정예고한다고 밝혔다. 이번 개정안의 핵심은 과징금 부과 기준을 전반적으로 상향하는 데 있다. 기존에는 중대한 위반행위로 분류되더라도 과징금 수준이 낮다는 지적이 있었던 만큼, 부과기준율과 기준금액을 높이고 중대성 구간도 기존 3단계에서 4단계로 세분화했다. 하도급 분야의 경우 '매우 중대한 위반행위' 기준 부과율은 기존 60~80%에서 90~100%로 상향되고, 정액 기준 역시 최대 20억 원 수준으로 확대된다. 유통 분야 또한 부과기준율이 기존 140%에서 최대 200%까지 올라가는 등 전반적으로 과징금 부담이 커질 전망이다. 반복적인 법 위반에 대한 제재도 한층 강화된다. 앞으로는 과거 5년간 1회 위반 전력만 있어도 최대 50%까지 과징금이 가중되며, 위반 횟수에 따라 최대 100%까지 가중이 가능해진다. 보복조치에 대한 제재도 강화된다. 신고나 분쟁조정 등을 이유로 불이익을 주는 행위에 대해 가맹·대리점 분야 모두 과징금 가중 근거를 확대하거나 신설했다. 반면 과징금 감경 요건은 축소된다. 조사 및 심의 협조에 따른 감경은 전 과정에서 협조한 경우에만 10% 이내로 제한되며, 자진시정 감경도 기존 최대 50%에서 10% 이내로 줄어든다. 위반행위 효과 제거는 사업자의 기본 의무라는 판단이 반영된 조치다. 또 조사 과정에서 협조해 감경을 받은 사업자가 이후 소송에서 진술을 번복할 경우, 감경을 취소할 수 있는 규정도 새롭게 도입된다. 공정위는 이번 개편을 통해 과징금 제도의 실효성을 높이고 법 위반 억지력을 강화하겠다는 방침이다. 시행령 개정안은 6월 9일까지, 과징금 고시 개정안은 5월 20일까지 의견을 수렴한 뒤 법제처 심사 등을 거쳐 확정될 예정이다.

2026.04.30 10:00류승현 기자

개보위 과징금, 상위 20건 중 절반이 10억 넘어

개인정보보호위원회(개인정보위)로부터 지난해 100억 원이 넘는 과징금을 받은 기업은 2곳으로 집계됐다. 2024년 말 부과받은 쿠팡과 현대해상화재보험을 포함하면 10억 원이 넘는 과징금을 받은 기업도 10곳으로 나타났다. 27일 국제사이버보안인증협회(회장 공병철)가 개인정보위 공고문에 따라 집계·분석한 최근 2년간 개인정보위 과징금 및 과태료 상위순 20개 기업을 보면, SK텔레콤, 우리카드 등 기업이 개인정보보호법 위반으로 100억 원이 넘는 과징금을 부과받은 것으로 조사됐다. (아래 도표 참조) 가장 많은 과징금을 부과받은 SK텔레콤은 지난해 4월께 발생한 유심 해킹 사태로 1347억9100만 원의 과징금 철퇴를 맞았다. 여기에 더해 과태료도 960만 원을 부과받았다. 개인정보위에 따르면 개인정보보호법 제64조의 2에 따라 위반 사항이 발견될 경우 과징금을 부과한다. 이어 동법 제75조에 따른 위반 사항이 적발될 경우에는 과태료를 부과한다. 과징금과 과태료를 같은 기준으로 동시에 적용할 수 없으며, 명확한 기준은 법령에 따라 나뉘지만 크게 사안의 중대성에 따라 과징금과 과태료 사항이 나뉜다. SK텔레콤에 이어 우리카드는 지난해 3월 말께 개인정보위로부터 134억5100만 원의 과징금을 맞았다. 앞서 우리카드는 가맹점주 7만4천여명의 개인정보를 동의도 받지 않고 마케팅에 활용한 사항이 적발돼 과징금을 물게 됐다. 10억 원 이상의 과징금을 부과받은 기업은 높은 순으로 ▲메타 67억 원 ▲현대해상화재보험 61억9800만 원(과태료 102만 원) ▲카카오페이 59억6800만 원 ▲악사손해보험 27억1500만 원 ▲애플 24억500만 원(220만 원) ▲알리익스프레스 19억7800만 원(780만 원) ▲섹타나인 1477억7700만 원(720만 원) ▲SK스토아 14억3200만 원(300만 원) ▲비와이엔블랙야크 13억9100만 원 ▲쿠팡 13억1000만 원 등이다. 이 외에도 최근 2년간 과징금을 받은 기업 및 기관으로는 ▲테무 Whaleco Technology Limited 8억7900만 원(과태료 176만 원) ▲모두투어네트워크 7억4700만 원(과태료 102만 원) ▲월드코인 재단 7억2500만 원 ▲전북대학교 6억2300만 원(과태료 540만 원) ▲법무법인 로고스 5억2300만 원(과태료 690만 원) ▲동행복권 5억300만 원(과태료 480만 원) ▲엔에이치엔위투 5억300만 원(과태료 480만 원) ▲테무 Elementary Innovation Pte. Ltd. 4억 9000만 원 등이다. 공병철 정보보안인정협회장은 "정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 등이 의무화됐고 과징금 부과 기준도 매출의 3%에서 10%로 상향 조정됐다"면서도 "그러나 ISMS-P 인증 심사를 받기 위한 기업들이 비용을 셀프로 지출하고 있으며, 인증 심사원도 심사에 따른 보수가 25년 전 금액과 똑같은 수준이 현재까지 유지되고 있다"고 지적했다. 그는 "개인정보위가 확보한 과징금 재원을 바탕으로 이같은 인증을 국고에서 수행토록 하며, 인증 심사원 역시 국가에서 보수를 지급함으로써 심사의 투명성을 더욱 제고할 수 있어야 한다"며 "이처럼 명확한 재원 활용 방안이 마련되지 않으면 과징금 부과 기준의 상향도 정책적 명분을 얻을 수 없다"고 강조했다.

2026.04.27 21:48김기찬 기자

방미통위, 위치정보법 위반 373개사 행정처분...카카오VX 과징금 1억 '최다'

방송미디어통신위원회가 위치정보의 보호조치 의무를 소홀히 한 사업자를 대상으로 대규모 행정처분을 단행했다. 방미통위는 10일 첫 전체 회의를 열고 위치정보 보호 및 이용 등에 관한 법률을 위반한 373개 사업자에 대해 총 5억 1600만원의 과징금과 7억 6600만원의 과태료를 부과하기로 의결했다고 밝혔다. 처분은 지난 2023년 실시된 위치정보사업자 정기실태점검의 후속 조치다. 방미통위는 개인위치정보사업자(313개), 사물위치정보사업자(44개), 위치기반서비스사업자(780개) 등 총 1137개사를 대상으로 조사를 진행했다. 조사 결과 총 568건의 위반 사항이 적발됐다 사업자 지위별로는 위치기반서비스사업자가 507건으로 압도적인 비중을 차지했다. 주요 위반 사례는 개인위치정보 처리방침 미공개 201건, 이용약관 내 필수 항목 누락 147건, 휴폐업 시 미승인 및 미신고 74건, 관리적 기술적 보호조치 위반 52건 등이다. 전체 제재 대상 중 가장 무거운 처분을 받은 곳은 카카오VX로 나타났다. 방미통위는 카카오VX가 위치정보에 대한 관리적 기술적 보호조치를 위반했다고 판단, 단일 기업으로는 최대 규모인 1억 41만 7100원의 과징금을 부과했다. 방미통위는 "위치정보 보호조치가 미흡한 사업자에 대한 엄정한 제재가 필요하다"면서도 "위반 행위를 자체 시정한 사업자에겐 처분을 감경해 법규 준수를 장려할 계획이다"고 밝혔다.

2026.04.10 16:40홍지후 기자

공정위, 서면발급 의무 위반한 성우하이텍에 과징금 4600만원 부과

공정거래위원회는 자동차용 부품 관련 금형 제조 등을 위탁하면서 '하도급거래 공정화에 관한 법률'을 위반한 성우하이텍에 시정명령과 과징금 4600만원을 부과하기로 결정했다고 6일 밝혔다. 성우하이텍은 자동차 차체·전기차 배터리 케이스 등을 전문적으로 제조하는 업체로 현대자동차·기아 등 완성 자동차 업체에 제품을 공급하고 있다. 성우하이텍은 2019년 6월 21일부터 2023년 5월 8일까지 58개 수급사업자에 총 880건의 금형 제조 등을 위탁하면서 780건은 서면에 하도급대금 조정요건, 방법·절차와 관련한 사항을 기재하지 않았고, 717건은 각 수급사업자의 작업시작일로부터 최소 1일에서 최대 873일이 경과한 후에 비로소 서면을 발급했다. 공정위는 성우하이텍의 이같은 행위가 서면 발급의무를 명백하게 위반했다고 판단하고 앞으로 향후 동일하거나 유사한 위반행위가 반복되지 않도록 재발방지명령과 과징금을 부과하기로 했다. 공정위는 앞으로도 국가 핵심 뿌리산업인 금형 분야 불공정하도급거래행위를 지속적으로 감시하고 법 위반행위를 적발하면 엄중 조치할 계획이다. 공정위 관계자는 “이번 사건은 금형 업계에서 관행적으로 이뤄져 온 계약서 지연교부 행태 등을 적발해 제재한 것”이라며 “앞으로 동일·유사한 행위가 재발하지 않도록 원사업자의 경각심을 높였다”고 전했다. 한편, 공정위는 금형 업계 특수성을 고려해 '금형업계 표준하도급계약서'를 마련해 사용을 권장하고 있다. 수급사업자가 금형 제작 초기비용을 쉽게 회수할 수 있도록 선급금과 중도금 지급 비율을 표준 계약서 표지에 명시하도록 하고 있다.

2026.04.06 12:00주문정 기자

대통령도 꼬집은 담합 과징금 액수...더 세질까

식품 원재료와 먹거리 시장에서 담합 사건이 잇따라 적발되면서 과징금 수준을 둘러싼 논란이 커지고 있다. 대통령까지 과징금이 낮다는 취지의 발언을 내놓으면서 향후 제재 수위가 강화될지 관심이 쏠린다. 30일 관련업계에 따르면 공정거래위원회는 최근 설탕, 밀가루, 전분당, 돼지고기 등 식품 전반에서 담합 사건을 연이어 적발하거나 심의를 진행 중이다. 대부분 국민 먹거리와 직결된 품목이라는 점에서 파장이 크다. 이 가운데 이재명 대통령은 지난 23일 사회관계망서비스(SNS)를 통해 공정위 제재와 관련해 “최선을 다한 것 같으나 과징금 액수가 그렇게 크지는 않다”는 취지의 의견을 밝히며 제재 수준에 의문을 제기했다. 설탕 4000억 vs 돼지고기 31억…과징금 규모 엇갈려 공정위는 담합 과징금을 관련 매출의 최대 20%까지 부과할 수 있지만, 실제 부과 수준은 사건별로 차이를 보인다. 설탕 담합은 상한에 근접한 고율이 적용된 반면, 일부 사건은 상대적으로 낮은 수준에 그치면서 제재 실효성을 둘러싼 논란이 이어지고 있다. 실제 최근 사례를 보면 과징금 규모는 사건마다 큰 차이를 보인다. 대표적으로 설탕 담합 사건에서는 CJ제일제당·삼양사·대한제당 등 3개 제당사가 약 4년간 가격 인상·인하 시기와 폭을 합의한 사실이 적발되며 총 4083억원의 과징금이 부과됐다. 반면 돼지고기 담합 사건의 경우 9개 업체가 이마트 납품 과정에서 입찰가격 또는 견적가격을 사전에 합의한 사실이 적발됐지만, 과징금은 총 31억 6500만원에 그쳤다. 공정위에 따르면 이 사건에서 일반육 입찰 8건 계약 금액은 총 103억원, 브랜드육 견적 담합 계약 금액은 총 87억원이었다. 업계에서는 같은 먹거리 담합이라도 시장 구조와 관련 매출 규모, 담합 유형에 따라 과징금 편차가 크게 벌어지고 있다고 보고 있다. 한 업계 관계자는 “설탕은 음료와 과자, 빵 등 사실상 식품 전반에 들어가는 기초 원재료라는 점에서 파급력이 훨씬 크다”며 “시장 규모 자체도 크고 원가 전반에 미치는 영향이 넓은 만큼 다른 품목보다 과징금 규모가 더 크게 책정될 수밖에 없다”고 말했다. 밀가루 5.8조·전분당 6.2조…과징금 얼마나 나올까 현재 식품업계는 아직 최종 결론이 나지 않은 밀가루와 전분당 등 담합 사건에 대해 주의를 기울이고 있다. 밀가루 담합 사건의 경우 공정위 심사관은 7개 업체가 지난 2019년 11월부터 2025년 10월까지 약 6년에 걸쳐 가격과 물량을 배분하는 담합을 벌였다고 판단했다. 이 사건으로 영향을 받은 관련 매출액은 5조 8000억원 규모로 산정됐다. 전분당 담합도 규모가 크다. 공정위는 대상·사조씨피케이·삼양사·CJ제일제당 등 4개 업체가 2018년 5월부터 2025년 10월까지 7년 6개월간 반복적·조직적으로 전분당 판매가격을 담합했다고 판단했다. 영향 매출은 6조 2000억원 규모다. 심사관은 가격 재결정 명령을 포함한 시정조치와 과징금 부과, 고발 의견까지 제시한 상태다. 전분당 담합의 경우 오는 31일 구속영장실질심사를 진행하며 구속 가능성까지 제기되고 있다. “제재 세질 것” 관측…기준도 손질 과징금이 더 세질 수 있다는 관측에는 제도 변화도 배경으로 꼽힌다. 공정위는 지난 3월 과징금 고시 개정안을 행정예고하고, 담합 등 위반행위에 대한 부과기준율 하한을 대폭 높이는 방안을 내놨다. 담합의 경우 기존 0.5~3%였던 중대성이 약한 위반행위 하한을 10~15%로, 중대한 위반행위는 15~18%, 매우 중대한 위반행위는 18~20%로 상향하는 내용이다. 업계에서는 이런 흐름이 맞물리면서 앞으로는 과징금이 단순한 비용이 아니라 기업 경영에 직접 영향을 주는 수준으로 커질 수 있다고 본다. 한 업계 관계자는 “그동안은 담합 적발 이후에도 실제 체감되는 제재 강도가 생각보다 크지 않다는 시선이 있었던 게 사실”이라며 “대통령 발언까지 나온 상황이라면 향후 심의 사건에서는 공정위도 부담을 느낄 수밖에 없을 것”이라고 말했다. 또 다른 관계자는 “정부가 물가 안정 기조에 나선 만큼 밀가루나 전분당 사건은 설탕보다 더 높은 수위를 두고 검토할 가능성이 있다”며 “결국 핵심은 법상 최대치에 얼마나 근접하게 부과될지일 것”이라고 말했다.

2026.03.30 17:34류승현 기자

Prev 1 2 3 4 Next