"쿠팡 내부자 통제 부실땐 심각한 ISMS-P 위반"…송경희, 인증 취소 검토 시사

대규모 개인정보 유출 사고를 둘러싸고 국회와 개인정보보호위원회가 쿠팡을 정조준했다. 내부자 통제 실패 여부와 향후 과징금 부과 기준을 두고 정치권 공방이 가열되면서, 정부의 규제 강화 방향에도 관심이 쏠리고 있다.

송경희 개인정보보호위원장은 17일 국회 과학기술정보방송통신위원회가 연 쿠팡 청문회에서 퇴직자의 장기간 내부 시스템 접근으로 발생한 정보 유출 사태와 관련해 ISMS-P 제도 위반 가능성을 강하게 언급했다. 그는 박충권 국민의힘 의원 질의에 "내부자 통제가 제대로 이뤄지지 않았다면 심각한 ISMS-P 위반에 해당한다"고 말했다.

송 위원장은 "ISMS 영역에 내부자의 접근 권한 관리 기준이 마련돼 있고, P 영역에도 관련 요구사항이 있다"고 강조했다. 그러면서 "인증 운영 과정에서 점검했을 때 직접적인 위반은 드러나지 않았지만, 관련 결함 사실은 발견돼 시정 조치를 요구해 놓은 상태"라고 설명했다.

박충권 의원이 "위반 사항이라면 인증 취소를 포함한 강력한 제재가 필요하다"고 지적하자, 송 위원장은 "그것도 검토하고 있다"고 답했다. 쿠팡에 대한 ISMS-P 인증 유지 여부가 제재 수위 논의의 핵심 변수로 떠오른 셈이다.

ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증 제도다. 쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 획득했지만, 이번 사건을 포함해 4건의 개인정보 유출이 잇따르며 제도의 실효성을 둘러싼 비판이 제기돼 왔다.

한편 이날 국회 정무위원회를 통과한 개인정보보호법 개정안과 관련해서도 송 위원장 발언이 이어졌다. 그는 징벌적 과징금 규정과 관련해 "이번 개정으로는 적용 시기를 소급하는 것은 고려하고 있지 않다"고 선을 그었다.

이훈기 더불어민주당 의원은 질의에서 개정안 소급 적용이 어렵다면 "정부 입법으로 쿠팡특별법을 마련해 소급 적용할 수 있게 해야 한다"는 취지로 주장했다. 이에 대해 송 위원장은 "특별법에 대해서는 별도의 검토가 필요하다"고 답해, 국회와 정부 간 추가 논의 가능성을 남겼다.

정무위를 통과한 개인정보보호법 개정안에 따르면 대규모 개인정보 유출 피해 발생 시 과징금 상한은 종전 전체 매출액의 3퍼센트에서 최대 10퍼센트로 높아진다. 과징금 10퍼센트 부과는 고의 또는 중대한 과실로 3년 이내 반복적인 법 위반이 있는 경우, 고의 또는 중대한 과실로 1천만명 이상 대규모 피해가 발생한 경우, 시정조치 명령에 따르지 않아 유출이 발생한 행위에 한해 가능하도록 규정됐다.

다만 개정안 시행 이전에 발생한 사고에는 새 규정이 소급 적용되지 않는다. 이 때문에 법안이 국회 본회의를 통과하더라도 쿠팡이 매출액 10퍼센트 수준의 과징금 부과는 피하게 될 것이라는 전망이 나온다.

과징금 산정 범위와 관련해 송 위원장은 "현재 조사 대상은 한국에 있는 쿠팡 주식회사"라며 "매출액 역시 한국 쿠팡 주식회사 기준으로 명확하게 정리돼야 한다"고 설명했다. 국회 안팎에서 제기되는 글로벌 매출 기준 처벌 필요론에 선을 긋는 동시에, 국내 법 적용 대상과 기준을 분명히 한 발언으로 해석된다.

이훈기 의원이 "쿠팡과 같은 기업에 대해 강력한 제재가 필요하다"고 지적하자, 송 위원장은 "엄격한 법 적용이 필요하다고 생각한다"고 답했다. 향후 개인정보위가 쿠팡 사건 제재 수위를 결정하는 과정에서 최대한 엄정한 기준을 적용하겠다는 메시지로 읽힌다.

국회는 쿠팡 개인정보 유출 사태를 계기로 ISMS-P 제도 전반에 대한 점검과 징벌적 과징금 제도 보완 논의를 이어갈 전망이다. 정부와 개인정보보호위원회도 법 개정 취지를 살려 대규모 유출 사고에 대한 조사와 제재 기준을 구체화한다는 방침으로, 향후 본회의 통과 이후 시행령과 세부 지침 마련 과정에서 여야 간 추가 공방이 계속될 것으로 보인다.