국회 과방위 쿠팡 개인정보 유출 사고 관련 현안질의

브랫 매티스 쿠팡 최고 정보 보호 책임자(CISO)가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사고 관련 현안질의에 출석해 고개숙여 인사하고 있다. 왼쪽부터 이정렬 개인정보보호위원회 부위원장, 류제명 과기정통부 2차관, 쿠팡 박대준 대표이사, CISO.사진=연합뉴스

개인정보보호위원회는 2일 쿠팡의 대규모 계정 정보 유출 사고와 관련하여 최대 1조원대 과징금 부과 가능성을 "중점적으로 검토하고 있다"고 밝혔다.

이번 발언은 국회 과학기술정보방송통신위원회 현안 질의에서 이정렬 개인정보보호위원회 부위원장이 조인철 더불어민주당 의원의 질의에 답하며 나온 것으로, 쿠팡에 대한 강력한 제재가 이루어질 수 있음을 시사한다.

이정렬 개인정보보호위원회 부위원장은 오늘 2일 국회 과방위 현안 질의에서 쿠팡의 3천370만개 계정 정보 유출 사건은 "유출 등에 해당하기 때문에 과징금 부과 대상이라고 판단된다"고 명확히 밝혔다.

현행 개인정보보호법은 개인정보 유출 시 전체 매출액의 최대 3퍼센트(%)까지 과징금을 부과할 수 있도록 규정하고 있다.

쿠팡의 지난해 매출액이 41조원에 달하는 점을 감안하면, 최대 비율을 적용할 경우 과징금 규모는 1조2천억원 이상으로 추산된다.

이 부위원장은 "안전성 확보 조치 기준을 모두 충족한 경우에만 일부 면책이 가능하며, 이 부분의 입증 책임은 쿠팡에 있다"고 강조하며 "매출액 규모 확정뿐 아니라 위반 행위의 중대성 등을 함께 고려해 위원회에서 종합적으로 결정할 예정"이라고 덧붙였다.

다만, 유출 사안과 무관한 매출액은 산정 기준에서 제외될 수 있다.

3천만명대 개인정보 유출사고 터진 쿠팡

국내 이커머스 1위 업체 쿠팡에서 약 3천400만건에 이르는 대규모 개인정보가 유출된 가운데 2일 서울 시내 한 쿠팡 물류센터의 모습.사진=연합뉴스

최수진 국민의힘 의원은 과거 쿠팡의 세 차례 개인정보 유출 사고에 대한 과징금·과태료가 16억원 수준에 그쳤던 점을 지적하며 "너무 솜방망이 아닌가"라고 질타했다.

이에 대해 이 부위원장은 "기존 3건의 유출 사고에 대해 이미 처분한 바 있지만, 작은 처분이었다고 생각한다"고 인정하며 "실정에 비례하게 엄중히 책임을 물을 수 있는 방안을 적극 검토하겠다"고 답했다.

앞서 쿠팡에서는 최근 발생한 대규모 유출 사고 이전에도 2021년 10월 앱 업데이트 과정에서의 테스트 소홀로 14건의 개인정보 노출, 2020년 8월부터 2021년 11월까지 쿠팡이츠 배달원 13만5천명의 실명과 전화번호 등 정보 음식점 전달, 2023년 12월 판매자 전용 시스템 '윙(Wing)' 로그인 오류로 2만2천440명의 개인정보 노출 등 세 차례의 유출 사고가 있었다.

또한 최수진 국민의힘 의원이 쿠팡이 아에스엠에스-피(ISMS-P, Information Security Management System – Personal information) 인증을 두 차례나 받았다는 점을 지적하자, 이 부위원장은 "정무위에서도 여러 위원님이 같은 문제를 지적해 내부 연구반을 구성해 제도 개선을 막바지 단계에서 논의 중"이라고 밝혔다.

그는 "조만간 전면적인 개편 방안을 보고드리겠다"며, 특히 아에스엠에스-피(ISMS-P) 예비심사 도입을 집중적으로 검토하고 있으며, 사후 모니터링 과정에서 중대한 하자가 확인될 경우 인증 취소를 포함한 제재 수단을 강화하는 방향으로 전체 제도를 재정비하고 있다고 설명했다.

아에스엠에스-피(ISMS-P) 인증은 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다.

이정렬 개인정보보호위원회 부위원장은 쿠팡이 이용자 통지에서 '유출'이 아닌 '노출'이라는 표현을 사용한 것과 관련해서도 "쿠팡 측에서 개인정보를 '노출'로 통지한 부분에 문제가 있다고 판단한다"며 "누가 봐도 유출로 보이는 사안인 만큼 제대로 된 통지가 필요하다"고 지적했다.

그는 이 부분까지 포함하여 조사하고, "아주 민감한 정보들에 대해서는 (통지 문구를) 바로 바꿀 수 있도록 쿠팡 측과 긴밀히 협의하겠다"고 밝혔다.

이주희 더불어민주당 의원이 '대통령실이 징벌적 손해배상제도를 기업 책임이 명백한 경우 실효성 있게 검토하라고 지시했다'고 언급하자, 이 부위원장은 "징벌적 수준의 과징금과 손해배상 제도를 지금보다 어떻게 강화할 것인지 검토하고 있다"며 "피해자 구제가 실효성 있게 작동하도록 관련 제도를 살펴보고 있다"고 답변했다.