개인정보보호위원회가 쿠팡에 총 6247억원의 과징금을 부과했다. 단일 개인정보 유출 사고와 관련한 제재로는 역대 최대 규모다. 유출된 개인정보는 무려 3750만명에 달한다. 이름과 이메일은 물론 주소, 전화번호, 공동현관 비밀번호, 주문 내역까지 포함됐다. 여기에 법적 근거 없이 1117만명의 온라인 활동기록을 수집한 사실까지 적발됐다. 과징금 액수만으로도 사안의 심각성을 짐작할 수 있지만 이번 사건의 본질은 숫자보다 더 깊은 곳에 있다. 기업이 고객한테서 받은 개인정보를 제대로 지키지 못했다는 점이다.
디지털 경제 시대에 개인정보는 기업의 가장 중요한 자산 가운데 하나다. 그러나 더 정확히 말하면 개인정보는 기업의 자산이 아니라 고객의 권리다. 기업은 고객의 정보를 소유하는 것이 아니라 위탁받아 관리하는 것이다. 따라서 개인정보 보호는 단순한 법적 의무를 넘어 기업이 고객과 맺는 가장 기본적인 신뢰 계약이라고 할 수 있다.
이번 사건이 더욱 심각한 이유는 개보위가 "고도의 해킹이 아닌 기본적인 안전관리 체계 미비와 관리 소홀"을 원인으로 지목했기 때문이다. 최첨단 해킹 기술에 국가적 차원의 공격을 받아 발생한 사고가 아니라 기본적인 관리 체계가 제대로 작동하지 않았다는 것이다. 인증 서명키 관리와 접근통제, 내부 감시 체계 등 개인정보 보호의 가장 기초적인 영역에서 문제가 발생했다면 이는 기술의 문제가 아니라 경영의 문제다.
특히 개인정보보호책임자(CPO)가 사고 조사와 의사결정 과정에서 배제됐다는 점은 가볍게 넘길 사안이 아니다. 개인정보보호책임자는 기업 내부에서 개인정보 보호를 총괄하는 최종 책임자다. 그 역할이 형식적으로 운영됐다면 개인정보 보호 체계 자체가 정상적으로 작동하지 않았다는 의미가 된다. 개보위가 이를 단순한 내부 소통 부재가 아니라 제도의 형해화로 규정한 이유도 여기에 있다.
더 우려되는 대목은 무단 정보 수집 문제다. 쿠팡은 타사 웹사이트와 앱에서의 이용자 활동기록을 수집해 개인을 식별할 수 있는 형태로 데이터베이스에 저장한 것으로 조사됐다. 플랫폼 기업들이 데이터를 통해 서비스를 고도화하는 것은 세계적인 흐름이다. 그러나 데이터 활용은 이용자의 동의와 법적 근거라는 원칙 위에서만 가능하다. 편리함과 혁신이라는 이름으로 개인의 권리를 침해하는 순간 플랫폼의 경쟁력은 혁신이 아니라 독점적 정보 수집 능력에서 비롯된 것이 되고 만다.
이번 사건은 쿠팡만의 문제가 아니다. 수많은 플랫폼 기업과 온라인 서비스 기업들이 함께 되돌아봐야 할 경고다. 고객 정보가 많을수록 기업의 책임도 커진다. 기업 규모가 커질수록 개인정보 보호는 비용이 아니라 경영의 핵심 가치가 되어야 한다. 수천만 명의 개인정보를 보유한 기업이라면 보안 투자와 내부 통제, 개인정보 보호 조직의 독립성을 최우선 과제로 삼아야 한다.
과징금 6247억원은 결코 적지 않은 금액이다. 그러나 돈으로 끝날 문제가 아니다. 개인정보 유출 피해는 과징금 납부로 복구되지 않는다. 유출된 정보는 되돌릴 수 없고, 피해는 장기간 이어질 수 있다. 고객이 기업에 맡긴 정보는 기업의 상품이 아니라 신뢰의 증표라는 사실을 잊어서는 안 된다.
쿠팡은 이번 사건을 단순한 법적 제재로 받아들여서는 안 된다. 철저한 원인 규명과 책임 있는 사과, 실질적인 재발 방지 대책이 뒤따라야 한다. 정부 역시 개인정보 보호 제도의 실효성을 높이고 기업의 책임성을 강화하는 방안을 지속적으로 보완해야 한다.
디지털 경제의 경쟁력은 데이터의 양이 아니라 신뢰의 수준에서 결정된다. 고객의 개인정보를 지키지 못하는 기업은 결국 고객의 신뢰도 지킬 수 없다. 이번 쿠팡 사태가 우리 사회에 남긴 가장 무거운 교훈이다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
