[서울=뉴스핌] 남라다 기자 = 개인정보보호위원회가 쿠팡에 역대 최대 규모인 6200억 원대의 과징금을 부과하면서 정보기술(IT) 업계를 중심으로 제재 수위의 형평성을 둘러싼 논란이 확산하고 있다. 개인정보 유출 규모는 컸지만 유출 정보의 민감도와 기업의 사후 대응 노력 등을 고려할 때 과징금 규모가 지나치게 과도하다는 지적이다.

개인정보위는 11일 쿠팡의 개인정보 유출 및 개인정보보호법 위반 행위에 대해 총 6246억8100만원의 과징금을 부과하기로 의결했다. 개인정보 유출 사고 관련 4235억7500만원, 타사 온라인 활동기록 무단 수집 관련 2011억600만원, 쿠팡풀필먼트서비스(CFS) 관련 2억4800만원 등이다.

이번 과징금은 지난해 SK텔레콤 유심 정보 유출 사고에 부과된 1348억원의 4.6배 규모로 역대 최대 수준이다. 개인정보위는 쿠팡이 인증 서명키 관리와 접근통제 등 기본적인 안전조치를 소홀히 해 약 3755만명의 개인정보가 유출됐다고 판단했다.

◆과징금 논란 키운 '규모'와 '민감도'의 간극

논란의 핵심은 유출 규모와 개인정보 민감도 사이의 괴리다. 쿠팡에서 유출된 정보는 이름, 이메일 주소, 휴대전화 번호, 배송지 주소, 최근 주문번호, 일부 공동현관 비밀번호 등이다. 개인정보위는 약 2600건의 공동현관 비밀번호 유출도 확인했다.

반면 결혼정보회사 듀오 사건의 경우 혈액형, 신장, 체중, 혼인 여부, 재산 현황, 원천징수 내역, 학력, 출신학교 등 24종에 달하는 개인정보가 유출됐다. 일부 주민등록번호도 포함된 것으로 알려졌다. 특히 종교·혈액형·신체정보 등은 개인정보보호법상 민감정보에 해당하며 주민등록번호는 고유식별정보로 분류된다.

업계에서는 실제 사생활 침해 위험성만 놓고 보면 듀오 사건이 훨씬 심각하다는 평가도 나온다. 듀오는 피해 사실을 15개월 간 통지하지 않았음에도 과징금은 약 12억원 수준에 그쳤다. 이는 위반 행위 발생 직전 3년(2022~2024년)간 평균 매출액 413억원의 3%를 적용해 산정된 금액이다.

카카오페이 사례도 비교 대상으로 거론된다. 개인정보위는 지난해 카카오페이가 약 4000만 명의 이용자 정보를 알리페이(Alipay) 등에 제공한 행위에 대해 과징금 59억6800만 원을 부과했다. 또 2016년 1030만 명의 개인정보가 유출된 인터파크 사건의 과징금은 44억원 수준이었다.

IT업계 관계자는 "유출 인원 수만 보면 쿠팡 사건이 압도적이지만 개인정보의 민감성이나 실제 사생활 침해 위험도 측면에서는 다른 사건들과 단순 비교하기 어렵다"고 말했다.

◆"매출 연동 과징금 한계"…산업계 우려 확산

업계에서는 이러한 차이가 현행 개인정보보호법상 과징금 산정 구조에서 비롯된다고 보고 있다.

현재 개인정보위는 위반 사업자의 직전 3개년 평균 매출액을 기준으로 최대 3%까지 과징금을 부과할 수 있다. 매출 규모가 큰 기업일수록 같은 위반 행위라도 과징금 규모가 기하급수적으로 커질 수 있는 구조다.

실제 쿠팡의 지난해 매출은 약 45조5000억 원에 달한다. 반면 중견·중소기업은 유출 정보의 민감성이 훨씬 높더라도 매출 규모가 작아 과징금도 상대적으로 적게 산정된다.

해외 주요국과의 차이도 제기된다. 유럽연합(EU)과 중국은 매출 연동 과징금 제도를 운영하지만 미국, 일본, 대만 등은 정액 과태료나 민사소송 중심의 제재 체계를 택하고 있다. 미국은 유출 규모보다 금융정보 등 민감정보 포함 여부와 실제 2차 피해 발생 여부를 중점적으로 살피는 것으로 알려졌다.

업계에서는 오는 9월부터 개인정보 유출 과징금 상한이 매출의 최대 10%까지 확대될 예정이라는 점에도 우려를 나타내고 있다.

한 IT업계 전문가는 "수백만 명의 고객을 보유한 플랫폼 기업은 상시적으로 해커의 공격 대상이 될 수밖에 없다"며 "유출 규모와 매출만을 기계적으로 연동해 징벌적 과징금을 부과하면 기업의 보안 투자 의지를 약화시키고 산업계 전반에 불확실성을 키울 수 있다"고 말했다. 이어 "정보의 민감성, 실제 2차 피해 발생 여부, 기업의 회수 노력과 사후 대응 등을 종합적으로 고려한 균형 있는 제재 체계가 필요하다"고 지적했다.

nrd@newspim.com