[쿠팡 과징금] 매년 역대 최대 과징금 경신…"초대형 보안사고 갈수록 늘어"

쿠팡 6247억원…지난해 전체 과징금의 4배 달해

플랫폼 대형화에 피해도 기하급수…'한 번 뚫리면 수천만명 유출'

미토스 보안 위협 일러스트레이션 [사진=로이터 연합뉴스]

개인정보 유출 사고에 대한 제재 수위가 갈수록 높아지고 있다. 개인정보보호위원회가 쿠팡에 부과한 6246억8100만원의 과징금은 개인정보보호법 시행 이후 역대 최대 규모다. 

지난해 개인정보위가 기업들에 부과한 과징금 총액인 1677억원의 약 3.7배에 달하는 수준으로, 단일 기업에 대한 제재만으로 지난해 전체 과징금 규모를 뛰어넘었다.

역대 과징금 규모는 해마다 최고 기록을 갈아치우고 있다. 개인정보위는 2022년 이용자 동의 없이 타사 온라인 활동기록을 수집한 구글과 메타에 각각 692억원, 308억원 등 총 1000억원의 과징금을 부과하며 당시 역대 최고 기록을 세웠다. 

이후 SK텔레콤 유심 정보 유출 사고에는 1348억원의 과징금이 부과되며 최고액이 경신됐다. 이번 쿠팡 과징금은 6246억8100만원으로 SK텔레콤의 약 4.6배, 구글·메타 합산 과징금의 6배를 웃돈다. 

국내 주요 개인정보 침해 사건에 대한 제재도 꾸준히 강화되는 추세다. 약 4000만명의 이용자 정보를 알리페이에 제공한 카카오페이는 59억6800만원의 과징금을 부과받았고, 고객 개인정보 관리 소홀로 제재를 받은 우리카드는 134억5100만원의 과징금을 받았다. 과거 수십억원 수준이던 과징금은 수백억원을 거쳐 이제는 수천억원대로 확대됐다.

과징금이 커지는 배경에는 개인정보보호법 개정도 자리하고 있다. 현행법은 위반 행위와 관련된 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있다. 2023년 법 개정으로 과징금 산정 기준이 위반행위와 관련된 매출액에서 전체 매출액으로 확대되면서, 이용자와 매출 규모가 큰 플랫폼 기업일수록 부담해야 하는 과징금 규모도 커질 수 있는 구조가 마련됐다. 다만 사업자가 위반행위와 관련 없는 매출을 입증하면 해당 매출은 산정 대상에서 제외된다.

제재는 오는 9월부터 한층 강화될 전망이다. 개인정보위는 현재 개인정보보호법 개정안을 입법예고하고 있다. 개정안은 고의 또는 중대한 과실로 같은 위반행위를 3년 이내 반복하거나, 1000만명 이상 개인정보 유출 사고를 일으킨 경우, 시정명령을 이행하지 않은 상태에서 다시 개인정보를 유출한 경우 등을 '징벌적 과징금' 부과 대상으로 담았다. 해당 요건을 충족하면 과징금 상한은 현행 전체 매출액의 최대 3%에서 최대 10%로 대폭 높아진다. 다만 쿠팡 건은 개정안 시행 이전 사건인 만큼 이번 징벌적 과징금 적용 대상은 아니다.

보안업계는 대형 플랫폼을 중심으로 초대형 개인정보 유출 사고가 늘어나는 상황에서 제재 수위도 더욱 높아질 것으로 보고 있다. 한국인터넷진흥원(KISA)에 따르면 지난해 개인정보 유출 신고는 447건으로 전년보다 45.6% 증가했다. IBM의 '2025 데이터 유출 비용 보고서'도 AI 확산으로 공격 기법이 고도화되면서 보안 통제와 내부 관리가 미흡한 기업일수록 침해 사고 위험이 더욱 커지고 있다고 분석했다.