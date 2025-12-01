개인정보보호법 매출 3% 과징금 규정

쿠팡 적용시 최대 과징금 1조원대 관측

개보위, 접근통제·암호화 등 안전조치 전반 조사

SK텔레콤·인터파크·카카오 등 기존 사례 압도

쿠팡이 국내 최대 규모인 3370만건에 달하는 고객 개인정보가 유출되면서 법위반이 확인될 경우 최대 1조원 가량의 과징금이 예상된다. 주소록까지 포함된 생활정보 유출은 SK텔레콤·인터파크 등 기존 대형 사례를 모두 넘어서는 수준이다.

1일 업계에 따르면 개인정보보호위원회는 전날부터 쿠팡의 개인정보 보호 관련 접근통제, 접근권한 관리, 암호화 등 안전조치 의무 위반 여부를 조사 중이다.

앞서 쿠팡은 지난달 29일 공지를 통해 고객 계정 약 3370만개가 무단으로 노출됐다고 밝혔다. 노출된 정보에는 이름, 이메일 주소, 이름·전화번호·주소 등 배송지 주소록, 일부 주문 정보 등이 포함됐다.

쿠팡에서 3000만 건이 넘는 대규모 개인정보 유출 사고가 발생했다. 이는 경제활동인구 2969만 명을 넘어서는 규모로 역대 최악의 유출사고이다.

이번 유출 사고는 단순 계정 정보가 아니라 소비자의 실제 거주·배송 주소 정보까지 포함돼 악용될 경우 스미싱·피싱은 물론 방문형 범죄로까지 이어질 수 있다는 우려가 나온다.

매출액의 최대 3%…"수천억~1조원대" 전망까지 등장

현행 개인정보보호법에 따르면 대규모 유출 등 중대한 위반이 발생할 경우 기업 '전체 매출액의 최대 3%'까지 과징금을 부과할 수 있다.

쿠팡의 경우 지난해 연결 기준 매출액은 38조2988억원이며, 직전 3개년 평균 매출이 약 31조7000억원이다. 개인정보보호법 위반이 확인되면 최대 9510억원 수준의 과징금이 부과될 수 있다. 다만 위반과 관련 없는 매출은 기업의 소명 여부에 따라 제외돼 과징금 규모가 축소될 수 있다.

통상 과징금 부과액은 ▲보안조치 수준 ▲유출 경위·위법성 ▲관리적·기술적 보호조치 이행 여부 ▲사후 대응 성실성 등에 따라 달라진다. 그럼에도 업계에서는 유출 규모와 정보 민감도를 고려하면 제재가 기존과 비교하기 어려운 수준일 수 있다는 관측이 우세하다.

역대 개인정보 유출 제재 사례와 비교해도 '차원이 다른 규모'

국내에서는 그동안 크고 작은 개인정보 유출 사고가 이어져 왔지만 규모·정보 종류·매출 기준 과징금 산정 방식을 따져보면 이번 쿠팡 사태는 전례를 찾기 어려운 수준으로 평가된다.

개인정보 유출로 가장 큰 과징금을 부과받은 사례는 올해 SK텔레콤 사건이다. 지난 8월 처분된 SK텔레콤 사건은 약 2324만명의 통신 핵심 정보가 유출되며 1347억9000만원의 과징금이 부과돼 '역대 최대'로 기록됐다. 단순 고객 정보가 아니라 USIM 인증키·식별정보 등 25종의 통신 보안 핵심 데이터가 유출된 점이 중대하게 판단됐다. 특히 3% 과징금 규정 개정 이후 적용된 첫 초대형 처분이라는 점에서 의의가 있다는 평가다.

유출 규모만 보면 쿠팡과 가장 유사한 사례로는 2016년 인터파크가 있다. 해커가 고객센터 직원 계정을 탈취해 침투한 사건으로 약 2540만건의 광범위한 회원 정보가 유출됐다. 다만 당시에는 현재와 같은 '매출 대비 3%' 과징금 기준이 없어 과징금은 44억여원 수준에 머물렀다.

2024년에는 골프존이 랜섬웨어 공격으로 약 221만건의 정보가 빠져나가며 75억원대 과징금을 받았다. 백업·접근통제 등 기술적 보호조치가 미흡했던 점이 문제로 지적됐다. 같은 해 카카오는 유출 규모는 6만여건에 불과했지만 보안조치 미흡 및 대응 부실 등이 중대하게 판단돼 151억원대 과징금이 부과되며 유출 규모 대비 강한 제재라는 평가가 나왔다.

통신·플랫폼 외 업종에서도 사고는 이어졌다. 2023년 LG유플러스는 약 30만건의 고객 식별 정보가 유출되며 68억원대 과징금을 받았다. 이밖에 2017년 여기어때와 하나투어 유출사건은 각각 수십만건 수준의 정보가 유출됐으나 당시 규제 환경이 지금보다 완만해 과징금은 3억~4억원 수준에 머물렀다.

이들 사례는 정보 민감도·기업 규모·책임 수준에 따라 제재 폭이 크게 달라졌음을 보여준다. 그러나 쿠팡 사태는 유출 건수가 역대 최대일 뿐 아니라 주소록 기반 생활정보가 포함된 초대형 사고라는 점에서 기존 어느 사례와도 직접 비교하기 어렵다는 평가가 나온다.





