“문제는 단순 사고가 아니라 관리 체계”
개인정보보호위원회가 쿠팡의 대규모 개인정보 유출·침해 사건에 대해 국내 개인정보 유출 사건 기준 역대 최대 규모의 제재를 결정했다. 개인정보위는 10일 전체회의에서 제재안을 심의·의결하고 11일 결과를 발표했으며, 쿠팡에는 과징금 6246억8100만 원과 과태료 1680만 원이 부과됐다.
유출 규모는 3750여만 명에 달했고, 개인정보위는 인증서명키 관리 소홀과 접근통제 미흡 등 기본적인 안전관리 체계가 제대로 작동하지 않았다고 판단했다.
이번 제재는 단순히 유출 규모가 컸기 때문만이 아니라, 안전조치 의무 위반과 법적 근거 없는 개인정보 수집, 유출 통지와 파기 의무 위반, 개인정보보호책임자 독립성 문제까지 함께 확인됐다는 점에서 기업 개인정보 관리 전반에 강한 경고로 읽힌다.
쿠팡 과징금 6246억8100만 원
이번 사건에서 가장 눈에 띄는 수치는 쿠팡에 부과된 6246억8100만 원의 과징금이다. 여기에 과태료 1680만 원까지 더해졌고, 개인정보 유출 사건 과징금으로는 국내 역대 최대 규모로 언급됐다. 개인정보위는 쿠팡이 안전조치 의무를 위반했고, 법적 근거 없이 개인정보를 수집한 부분도 있다고 봤다.
특히 인증서명키 관리와 접근통제는 개인정보 보호에서 핵심적인 보안 영역인데, 이 부분의 관리 소홀이 대규모 유출로 이어졌다는 판단이 제재 수위를 끌어올린 배경이 됐다. 3750여만 명이라는 유출 규모는 이용자 개인의 불안뿐 아니라 플랫폼 기업이 보유한 데이터 관리 책임이 어디까지인지 다시 묻게 만드는 대목이다.
세계 각국 행정당국의 기업 개인정보 유출 과징금과 비교해도 최고 수준이라는 평가가 붙은 만큼, 이번 결정은 국내 기업 규제 기준에도 적지 않은 영향을 남길 가능성이 있다.
계열사 관리 책임까지 확대
쿠팡풀필먼트서비스, CFS에도 과징금 2억4800만 원이 부과됐다. 개인정보위는 CFS에 대해 개인정보 수집·이용 위반과 민감정보 처리 제한 위반 등을 제재 사유로 봤다. 이번 조치가 쿠팡 본사에만 머물지 않고 계열사까지 포함됐다는 점은 개인정보 관리 책임이 그룹 내 특정 서비스나 부서에 한정되지 않는다는 의미를 갖는다.
추가로 개인정보위는 회원이 아닌 정보주체에 대한 유출 통지, CPO의 실질적 역할 보장, 탈퇴회원 개인정보 처리 체계 개선까지 요구했다. 조사 과정에서는 유출 통지·파기 의무 위반, 개인정보보호책임자 독립성 보장 위반, 조사 방해 정황도 확인된 것으로 제시됐다.
개인정보 유출 사고가 발생했을 때 중요한 것은 사고 수습뿐 아니라 누가 책임지고 통지하며, 어떤 정보가 남아 있고, 내부 통제 체계가 실제로 작동하는지를 증명하는 일이라는 점이 다시 부각됐다.
3개월 내 이행 확인
개인정보위는 쿠팡에 안전조치 강화를 명령하고, 유사 사고 재발을 막기 위한 내부 관리 체계 개선을 요구했다. 회원이 아닌 정보주체에게도 유출 사실을 통지하도록 했고, 개인정보보호책임자인 CPO가 독립성과 책임성을 갖고 실질적으로 역할을 수행할 수 있도록 하라는 명령도 포함됐다.
탈퇴회원 개인정보 처리 체계 개선은 권고 형태로 제시됐으며, 개인정보위는 3개월 내 이행 결과를 확인할 계획이다.
이번 사건은 개인정보 유출 사고가 발생한 뒤 과징금만 내고 끝나는 문제가 아니라, 보안키 관리, 접근통제, 수집 근거, 파기 절차, 유출 통지, 책임자 권한까지 모두 다시 점검해야 하는 기업 거버넌스 문제로 확장됐다는 점에서 의미가 크다.
쿠팡 과징금 6246억8100만 원, CFS 과징금 2억4800만 원이라는 숫자보다 더 중요한 것은 대규모 플랫폼 기업의 개인정보 보호 체계가 실제 사고를 막을 만큼 작동했는지, 그리고 앞으로 3개월 안에 어떤 방식으로 개선을 증명할지다.