쿠팡 6300억 역대급 과징금, 보안 전문가들 평가는?
3000만명 이상의 개인정보 유출 사고가 발생한 쿠팡에 개인정보보호위원회(개인정보위)가 6300억원에 달하는 과징금을 부과했다. 이는 SK텔레콤 유출 사고로 지난해 8월 부과받은 과징금(1348억원)의 4배를 웃도는 수치다. 개인정보위는 보안의 기본 중 기본인 인증키 관리를 소홀히 했다는 점 등을 이유로 과징금을 엄중하게 선정했다는 입장인데, 취재에 응한 보안 전문가들은 적정 수준으로 판단했다. 또 "업계 전반에 경종을 울릴 만한 사건"으로 평가했다. "개인정보보호 노력 지속 감경 요소 참작...국민 일상 밀접한 플랫폼이어서 엄중 처분" 개인정보위는 지난 10일 제11회 전체회의를 열고 개인정보보 법규를 위반한 쿠팡에 총 6246억8100만원 과징금과 1680만원 과태료를 부과했다. 개인정보위가 부과한 과징금 중 역대 최대치다. 개인정보위가 쿠팡에 매긴 과징금을 살펴보면 개인정보 유출 사고로 인해 부과된 과징금이 4235억7500만원이다. 이용자들의 타사 온라인 활동 기록을 무단 수집한 점과 관련해서는 2011억600만원의 과징금이 부과돼 총 과징금이 산정됐다. 이 외 임직원 건강 관련 민감정보 이용에 대한 과징금은 2800만원이 부과됐다. 또한 쿠팡풀필먼트서비스(CFS)에도 총 2억4800만원 과징금을 부과했다. 개인정보위는 개인정보 유출 사고 발생 시 안전조치 의무 위반, 개인정보보호법 위반 사항 등이 확인될 경우 사고 직전 3개년도 매출의 최대 3%까지 과징금을 부과할 수 있다. 금융감독원 전자공시시스템에 따르면 쿠팡 한국 법인의 지난 3년간 연결기준 평균 매출액은 약 32조원이다. 이 금액에 3%를 적용해 최대 과징금을 매기면 9600억원, 즉 1조원에 육박하는 과징금 부과가 가능하다. 다만 과징금 산정 과정을 세부적으로 살펴보면 매출액의 3%까지 부과되는 경우는 거의 없다. 유출 사고와 직결되는 매출액만을 기준으로 과징금을 산정하고, 중대성 판단과 더불어 개인정보보호 노력, 피해 회복 노력 등을 감안해 과징금을 가중 혹은 감경하는 절차를 밟기 때문이다. 최대 매출액 10%에 달하는 과징금을 부과할 수 있다는 개인정보보호법 개정안이 오는 9월 시행되는 만큼 이번 쿠팡 과징금 부과에는 이같은 징벌적 과징금이 부과되지는 않았다. 개인정보위에 따르면 쿠팡은 사고가 발생한 쿠팡 이커머스 서비스 매출만을 기준으로 과징금이 정해졌다. 쿠팡이츠, 쿠팡플레이 등 이번 유출 사고와 관련이 없는 독립적인 매출액은 과징금이 부과되는 매출액 기준에서 제외된 것이다. 다만 연간 매출액 약 30조원을 상회하는 대규모 개인정보처리자로서, 인증 시스템 및 인증키 관리를 소홀히 한 행위 및 다수의 이상행위를 탐지하지 못했다는 점을 중대성 판단에 고려했다는 것이 개인정보위의 설명이다. 정보보호 관리체계 및 개인정보보호 관리체계(ISMS-P) 인증의 취득·유지, 민관협력 자율규제 규약 이행 등 개인정보보호 노력을 지속한 점도 감경 요소로 참작됐다. 쿠팡 플랫폼과 쿠팡 이츠에 각각 5000원, 쿠팡 럭스와 트래블에 2만원씩 총 5만원의 쿠폰을 지급한 보상 절차도 감경 요소로 작용했다. 개인정보위는 11일 제11회 전체회의 브리핑에서 "위반 기간 및 최근 3년 내 동종행위로 과징금이 부과됐는지 여부와 조사 방해·협조 여부 등 요소를 고려해 최종 과징금을 산정했다"며 "1억2000만개의 주소들이 관리되고 있는 국민의 일상생활과 밀접한 온라인 플랫폼이기 때문에 엄중하게 처분을 했다. 또 보호법에 정하는 법과 원칙의 테두리에 따라서 국내외 사업자 차별 없이 처분을 했다"고 밝혔다. "상징적 과징금…보안 중요성 인지시켰을 것" vs "법 집행 형평성 의문" 보안업계에서는 이번에 쿠팡에 부과된 과징금을 두고 '적정' 수준이라는 의견이 지배적이다. 최대 수위의 과징금이 부과됐으며, 이를 계기로 유출사고에 대한 경각심을 끌어올리는 계기가 될 것이라는 예상이다. 이용준 극동대 해킹보안학과 교수는 "총 과징금 6300억원의 과징금 중 유출사고로 인한 과징금이 4000억원이 넘는데, 3000만명의 데이터가 유출된 점으로 보아 1인당 1만원이 넘는 수준의 과징금이 부여된 것으로 보인다"며 "부과할 수 있는 범위 내에서 최대 규모로 과징금을 부과한 것으로 보이는데, 이를 통해 이커머스, 온라인 쇼핑 업계 전반에 경종을 울릴 만한 사건으로 기록될 전망"이라고 밝혔다. 이 교수는 "과거에는 보안에 대한 투자가 ISMS-P 등 법적 기준에만 맞춰서 형식적으로 투자가 이뤄졌는데, 쿠팡 사태를 다른 기업들이 보고 자발적으로 법에서 요구하는 수준보다 보안 투자를 확대해야 한다는 경각심을 가졌을 것"이라며 "충분히 의미 있고 보안에 대한 중요성을 인지시키는 과징금"이라고 평가했다. 김선희 가천대 스마트보안학과 초빙교수도 "인증키 관리, 내부자 관리는 온전히 기업 책임인데, 6300억원에 달하는 과징금은 개인정보위가 최대 수준으로 부과한 것으로 보인다"며 "쿠팡이 과징금에 대해 향후 어떻게 대응할지는 지켜봐야겠지만, 개인정보위의 엄정한 대응을 확인할 수 있는 대목"이라고 말했다. 김승주 고려대 정보보호대학원 교수는 자신의 SNS를 통해 "쿠팡은 키 관리 및 접근 통제에 있어 기본적인 수칙도 지키지 않았다. 조사에 협조적이기는 커녕 언론 플레이를 통해 방해에 가까운 행동을 했다"면서 "유출됐을 것으로 의심되는 정보에 구매이력 등의 민감정보가 포함돼 있으므로 역대 최고 수준의 과징금 부과 조치가 있어야 한다"고 강조했다. 반대로 이번 쿠팡에 대한 개인정보위 제재 수위가 과하고, 법 집행 형평성에 의문이 제기될 수 있는 판단으로 보인다는 학계 의견도 있었다. 서용구 숙명여대 경영학부 교수는 "개인정보 유출에 대한 책임은 엄정하게 물어야 한다"면서도 "다만 제재 수위는 기업 규모 자체보다 해당 정보의 민감성, 실제 피해 수준, 사고 이후의 대응과 피해 확산 방지 노력 등을 종합적으로 고려해 결정할 필요가 있다. 특히 이번 처분이 향후 산업 전반의 기준으로 작용할 수 있다는 점에서 더욱 신중한 접근이 요구된다"고 밝혔다. 이은희 인하대 소비자학과 명예교수는 "규제 목적은 처벌 자체가 아니라 공정하고 일관된 기준을 통해 기업의 책임 있는 행동을 유도하는 데 있다"며 "위반의 성격과 실제 피해가 유사한 사안들 사이에서 제재 수준의 편차가 지나치게 크다면, 법 집행의 형평성에 대한 의문이 제기될 수밖에 없다"고 우려했다. 김대종 세종대 경영학부 교수는 "보안 관리 소홀에 대한 책임은 당연히 져야 하지만 기업이 얻은 부당이득이나 실제 피해와 관계없이 매출 규모에 비례해 천문학적인 과징금을 부과하는 방식이 과연 바람직한지는 따져볼 필요가 있다"면서 "기업 입장에서는 성장할수록 규제 리스크가 기하급수적으로 커지는 구조로 받아들일 수 있고, 이는 결국 투자와 혁신을 위축시키는 잘못된 신호가 될 수 있다“고 말했다.
