강화된 매출 기준 적용 가능성
“매출액의 최대 3%” 부과 전망
이용자의 개인정보가 유출된 티빙이 강화된 개인정보 보호법 과징금 산정 기준의 첫 시험대에 오를 전망이다. 직전 사업연도 매출액과 직전 3개 사업연도 매출액 평균 중 큰 금액을 기준으로 과징금을 산정하도록 한 개정 개인정보 보호법 시행령이 지난달부터 시행됐기 때문이다. 개인정보보호위원회가 과징금 체계를 대폭 손질한 가운데 제재 수위에도 관심이 쏠린다.
개인정보보호위원회는 3일 오전 2시경 티빙으로부터 개인정보 유출신고를 접수받아 조사에 착수했다고 4일 밝혔다. 개인정보위에 따르면 티빙은 2일 이용자 개인정보를 저장하고 있는 데이터베이스(DB)에 비인가 접근이 이뤄진 사실을 인지한 뒤 개인정보 유출 신고를 했다.
유출된 것으로 추정되는 개인정보는 아이디, 이름, 생년월일, 성별, 연계정보(CI), 중복가입 확인정보(DI), 휴대전화번호, 이메일, 환불 계좌번호, 비밀번호 등이다. 일부 항목은 암호화돼 저장된 것으로 확인됐다. 다만 티빙은 유출 규모와 피해 범위를 공개하지 않았다.
통신사·금융사·플랫폼에 이어 대형 온라인 동영상 서비스(OTT)까지 뚫린 가운데 티빙이 강화된 매출액 산정 기준을 처음 적용받는 사례가 될지 주목된다. 티빙의 월간 활성 이용자 수(MAU)는 5월 모바일인덱스 집계 기준 약 882만명으로 넷플릭스, 쿠팡플레이에 이어 국내 3위 수준이다. 실제 유료 가입자 수는 500만 명 안팎으로 추정된다.
개정 개인정보 보호법 시행령과 과징금 부과기준 고시에 따르면 ‘위반행위가 있었던 사업연도 직전 3개 사업연도의 연평균 매출액’을 기준으로 산정됐던 과징금은 △직전 사업연도 매출액과 △직전 3개 사업연도의 연평균 매출액 중 큰 금액을 기준으로 하도록 강화됐다.
빠르게 성장하는 IT·플랫폼 기업의 실제 경제력에 비해 과징금 산정 기준이 낮다는 지적을 반영한 조치다. 위반행위의 정도나 피해 규모가 심각한 ‘매우 중대한 위반행위’에 대해서는 과징금 감경을 전부 또는 일부 배제할 수 있는 근거도 마련됐다.
금융감독원 전자공시시스템에 따르면 지난해 티빙 매출액은 4059억원 규모다. 2024년 매출액은 4354억원, 2023년 매출액은 3264억원으로 집계돼 직전 3개 사업연도의 연평균 매출액은 약 3892억원으로 추정된다.
개정 기준이 적용될 경우 강화된 산정기준이 실제 개인정보 유출 사고에 적용되는 첫 사례가 될 수 있다. 개인정보위 관계자는 “유출 시점 및 법 위반 여부를 확인해야 하기 때문에 단정하긴 어렵다”면서도 “법령상 지난달 19일 이후 발생한 사건에는 개정된 시행령이 적용된다”고 말했다.
다만 반복적이거나 대규모 개인정보 침해를 일으킨 기업에 전체 매출액의 최대 10%까지 과징금을 부과하는 ‘징벌적 과징금’은 적용되지 않는다. 이 같은 내용이 담긴 개인정보 보호법 개정안은 9월 11일부터 시행된다. 이에 따라 현행법상 최대 3% 범위에서 과징금이 부과될 전망이다.
김도승 개인정보보호법학회장(전북대 로스쿨 교수)은 “디지털 플랫폼 시장에서 기업의 성장 속도가 매우 빨라진 현실을 반영하고자 직전 사업연도 매출액과 최근 3개 사업연도 평균 매출액 중 더 큰 금액을 과징금 기준으로 삼도록 한 것”이라며 “다만 과징금은 본질적으로 위반행위의 정도와 책임에 상응하는 범위 내에서 부과되어야 한다는 점에서 신중한 접근이 필요하다”고 지적했다.
