작년 3개년 매출 평균 최대 3%⋯쿠팡, 과징금 기준 듀오의 756배
“징벌적 과징금 땐 매출 최대 10%⋯산정 기준 정교하게 재설계해야”
쿠팡이 개인정보보호위원회로부터 6000억원대 과징금을 부과받은 가운데 민감한 개인정보가 유출된 결혼정보업체 듀오의 과징금은 12억원에 그쳤다. 과징금이 유출 정보의 민감도보다 기업 매출 규모에 크게 좌우되면서 매출액과 연동되는 현행 산정 체계의 적절성을 둘러싼 논란이 커지고 있다.
14일 개인정보위와 업계에 따르면 개인정보 유출 관련해 쿠팡에 부과된 과징금은 4235억7500만원이다. 3755만 명의 이름, 이메일 주소, 전화번호, 주소 등이 유출됐다. 반면 신장, 체중, 혈액형, 종교, 혼인여부, 재산 등 43만 명의 민감정보가 털린 듀오는 12억원의 과징금을 부과받았다.
과징금은 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 뒤 위반행위의 중대성 별로 정한 부과기준율을 곱해 산출한다. 현행법상 직전 3개년 매출 평균의 최대 3%까지 부과할 수 있다. 2022~2024년 매출액 평균이 30조원인 쿠팡은 같은 기간 매출액 평균 413억원인 듀오보다 과징금 부과기준 자체가 726배 가량 많은 것이다.
중소·중견기업은 민감한 개인정보를 유출해도 매출액이 크지 않아 상대적으로 과징금이 적다. 개인정보위는 규모가 작은 기관이나 기업의 부담을 줄이기 위해 공공기관, 비영리법인, 비영리단체, 중소기업의 과징금을 감경해준다. 듀오는 개인정보 유출을 15개월간 회원에게 알리지 않았다. 개인정보위가 과징금 처분을 내리고 나서야 알려졌다. 유출 신고도 72시간 넘게 지연했다. 그럼에도 듀오는 중소기업으로 분류돼 기준 금액의 15%를 감경받았다.
김도승 개인정보보호법학회장(전북대 로스쿨 교수)은 “과징금은 본래 부당이득을 환수하는 목적인데 매출액이 과징금 산정에 미치는 영향이 클 수 있다는 점이 확인됐다”며 “징벌적 과징금이 적용되면 매출액의 10%까지 부과할 수 있는 만큼 관련 매출액을 보다 정교하게 산정·설계해야 한다”고 지적했다.
정보유출 사건 외에도 개인정보위의 추가 조사에서 쿠팡이 마케팅 프로그램인 ‘쿠팡 파트너스’를 통해 이용자의 동의 없이 총 1117만613명의 타사 온라인 활동 기록을 무단으로 수집·저장한 것이 드러나면서 2011억600만원의 과징금이 부과됐다.
쿠팡은 과징금 처분에 불복하며 행정소송을 예고한 상태다. 최경진 가천대 법학과 교수는 “법적 분쟁으로 넘어가면 2차 피해 발생 여부와 과징금 산정 방식의 적절성 등이 종합적으로 고려될 것”이라고 전망했다.
김 학회장은 “인증키 관리에 문제가 있다면 관리체계 및 개인정보보호 관리체계(ISMS-P) 인증을 받을 수 없다”며 “쿠팡이 기본적 조치를 명확하게 위반했는지 여부가 핵심 쟁점”이라고 말했다.
쿠팡에 6000억대의 과징금이 부과되면서 KT의 과징금 규모에도 관심이 쏠린다. 최 교수는 “아직 과징금 산정 공식이 구체적으로 공개되지 않았지만 감경 사유를 고려하더라도 최대한의 액수를 부과한 것으로 보인다”며 “일관성을 위해 쿠팡 이후부터는 기존보다 엄격한 기준을 적용하는 등 과징금이 늘어날 가능성이 있다”고 밝혔다.
한편, 개인정보위는 13일 국내외 개인정보 사건 과징금 부과사례를 정리해 공개했다. 개인정보위에 따르면 미국 연방거래위원회(FTC)가 2019년 이용자 정보를 소셜로그인 이용 앱과 공유한 메타에 50억달러(약 7조5900억원)의 과징금을 부과한 게 최대 규모다. 쿠팡 과징금을 달러로 환산한 금액은 유출 분야 2억7800만달러, 권리 침해 분야 1억3200만달러로 총 4억1000만달러 규모다.
