CloudPNG

ºC

logo
IT/바이오

개인정보 대형유출 쿠팡 겨냥한 과징금 논의…플랫폼 데이터 관리 분기점 되나

강예은 기자
입력

대규모 고객 개인정보 유출 사고가 전자상거래 플랫폼 산업의 규제 환경을 흔들고 있다. 쿠팡에서 3370만건 규모의 고객 정보가 유출된 사건을 두고 개인정보보호위원회가 전체 매출의 최대 3퍼센트까지 부과 가능한 과징금을 중점 검토하겠다고 밝히면서, 플랫폼 기업의 데이터 관리 수준과 법적 책임 범위가 다시 도마 위에 올랐다. 업계에서는 이번 제재 수위에 따라 국내 디지털 유통 생태계 전반의 보안 투자와 데이터 거버넌스 체계가 대폭 강화되는 전환점이 될 수 있다는 관측이 나온다.

 

개인정보보호위원회는 2일 국회 과학기술정보방송통신위원회 쿠팡 현안 질의 과정에서 이번 사고를 개인정보보호법상 과징금 부과 대상에 해당한다고 공식화했다. 이정렬 개인정보위 부위원장은 쿠팡 고객 3370만건 개인정보 유출과 관련해 1조원 이상 과징금 필요성에 대한 질문에 대해 매출 규모뿐 아니라 위반 행위의 중대성을 반영해 종합적으로 결정하겠다고 설명했다.

현행 개인정보보호법은 기업이 보유한 개인정보가 도난되거나 유출될 경우 전체 매출액의 최대 3퍼센트까지 과징금을 부과할 수 있도록 규정하고 있다. 쿠팡의 전년도 매출은 약 41조원 수준으로, 법정 상한 비율을 그대로 적용하면 이론상 과징금 규모는 약 1조2300억원에 달한다. 국내 정보보호 제재 역사에서 전례 없는 수준의 제재가 현실화될 수 있다는 점에서 업계 긴장감이 커지는 분위기다.

 

법적 기준상으로는 단순 사고 발생 여부를 넘어 기술적 보호조치 이행 여부가 관건이 된다. 이정렬 부위원장은 개인정보보호법 제64조에 따라 쿠팡 사례가 과징금 부과 대상으로 판단된다면서, 유출 방지를 위한 안전성 확보 조치 기준을 모두 충족했다는 점을 입증해야 일부 면책 여지가 생긴다고 설명했다. 입증 책임이 기업인 쿠팡에 있다는 점을 명확히 못박으면서, 향후 조사 과정에서 서버 접근 통제, 암호화 수준, 로그 관리 등 기술적 보호조치 이행 내역이 집중적으로 검증될 전망이다.

 

기술적 관점에서 개인정보 보호조치는 크게 접근 통제, 암호화, 침입 탐지, 로그 분석, 이상 징후 모니터링 등으로 구성된다. 대형 전자상거래 플랫폼은 주문, 결제, 배송, 통관 등 다양한 시스템이 유기적으로 연결돼 있어 공격 표면이 넓고, 마이크로서비스 구조와 클라우드 인프라를 병행할수록 보안 설계 난이도가 높아진다. 특히 이번 사건과 관련해 개인통관고유부호가 유출된 점이 부각되면서, 국가 시스템과 연계되는 민감 데이터에 대한 별도 암호화 체계와 분리 보관 요구가 한층 강화될 것으로 보인다.

 

그동안 국내 대형 플랫폼 기업은 매출 성장과 물류 인프라 확대에 비해 보안과 프라이버시 보호 투자가 상대적으로 뒤처져 있다는 지적을 받아왔다. 고객 경험을 개선하기 위해 결제 데이터, 구매 이력, 이동 경로 등 방대한 데이터를 통합 분석하는 과정에서 계정권한 관리나 내부자 통제 미비가 취약점으로 작용했다는 평가도 있다. 대규모 유출 사고와 초대형 과징금 논의가 맞물리면서, 향후에는 신규 서비스 기획 단계부터 프라이버시 설계 원칙을 반영하는 체계 전환이 불가피해질 가능성이 크다.

 

글로벌 환경에서는 이미 데이터 보호 규제 강화 흐름이 고착화되고 있다. 유럽연합은 일반개인정보보호법을 통해 위반 시 전 세계 매출의 최대 4퍼센트까지 과징금을 부과할 수 있도록 하고 있고, 실제로 글로벌 빅테크를 상대로 수천억원대 제재를 잇따라 집행했다. 미국에서도 주별 소비자 프라이버시법을 통한 소송 리스크가 커지며, 빅테크와 전자상거래 기업들이 데이터 수집 최소화와 암호화 의무를 상향 조정하는 흐름이 나타나고 있다. 국내에서도 쿠팡 제재 수위에 따라 글로벌 규제 수준에 맞춘 고강도 데이터 보호 정책 전환이 가속화될 수 있다.

 

정책 측면에서는 개인정보위가 행정조사와 과징금 부과 권한을 가진 독립 감독기구로 자리 잡은 이후, 플랫폼 기업을 대상으로 한 제재 강도가 한층 높아지는 추세다. 특히 전자상거래, 핀테크, 디지털 콘텐츠 서비스처럼 데이터 처리량이 방대한 산업을 중심으로, 알고리즘 추천 시스템과 고객 맞춤형 마케팅 과정에서 발생할 수 있는 과도한 수집과 목적 외 이용에 대한 점검도 병행되고 있다. 이번 사건을 계기로 마이데이터, 클라우드 전환, 제3자 제공 구조에 대한 가이드라인 재정비가 뒤따를 것이라는 전망도 제기된다.

 

국회 질의 과정에서 제기된 개인통관고유부호 악용 우려는 산업적 파장도 크다. 전자상거래와 물류 기업들이 통관 자동화와 물류 최적화를 위해 이 정보를 폭넓게 활용해 왔기 때문이다. 향후에는 통관 식별 정보에 대한 별도 보호등급 부여와 함께, 이용 목적 제한, 보유 기간 단축, 비식별화 의무 강화 등 추가 규제가 논의될 수 있다. 관련 기업들은 유출 사고 발생 시 소비자 피해 보상과 이상 거래 탐지 시스템 고도화까지 포함한 종합 리스크 관리 체계를 요구받게 될 가능성이 높다.

 

전문가들은 쿠팡에 대한 제재 수위가 국내 디지털 경제 전반의 기준점이 될 것으로 보고 있다. 과징금이 최고 수준에 근접할 경우 단기적으로는 기업 부담이 크겠지만, 중장기적으로는 전자상거래와 플랫폼 산업 전반의 보안 투자 확대와 데이터 관리 수준 상향을 촉발하는 계기가 될 수 있다는 분석도 나온다. 산업계는 개인정보위가 어떤 수준의 과징금과 시정 조치를 결정할지, 나아가 이를 계기로 마련될 후속 규제와 가이드라인이 실제 시장에 어떤 영향을 미칠지 예의주시하고 있다.

강예은 기자
share-band
밴드
URL복사
#개인정보보호위원회#쿠팡#개인정보보호법