쿠팡, 괘씸죄에 걸렸나

2021년 글로벌 테크 공룡 메타(페이스북)는 전 세계 106개국 5억3300만명에 달하는 이용자의 개인정보를 통째로 털렸다. 유출 경위는 황당할 만큼 허술했다. 해커들은 메타의 친구 찾기 기능인 '연락처 가져오기' 도구의 취약점을 노렸다.

자동화 프로그램(봇)으로 무차별적인 '데이터 스크래핑(무단 수집)'을 감행한 것이다. 이용자의 전화번호와 페이스북 고유 ID를 매칭해 이름, 생년월일, 거주지, 이메일 주소까지 포함된 거대한 고객정보를 생성시켰다. 그리고 5억명 넘는 이용자 정보를 무차별 공개했다. 메타가 서비스 구조의 치명적 결함을 방치해 5억명 넘는 정보를 털린 대가는 어땠을까. 유럽연합(EU)의 아일랜드 데이터보호위원회(DPC)는 2억6500만유로(약 3800억원)의 과징금을 부과했다.

지난 11일 개인정보보호위원회가 지난해 발생한 쿠팡의 대규모 정보유출 사고와 관련해 6246억8100만원의 과징금을 결정했다. 국내외에서 유례를 찾기 힘든 과징금 제재다.

물론 쿠팡의 과실은 크다. 퇴사한 외국계 직원이 인증시스템과 인증키를 수개월간 농락한 걸 까맣게 몰랐다. 그 과정에서 회원 3322만명과 비회원 433만명 등 총 3755만명의 정보가 유출됐다. 배송지 정보 6398만건과 공동현관 비밀번호까지 고도의 해킹이 아닌 안전관리 미비로 털린 것이다. 개인정보위 조사 결과는 쿠팡의 '보안 불감증'을 여실히 증명한다. 여기에 사태 초반 쿠팡이 보여준 태도도 기름을 부었다. 김범석 쿠팡Inc 의장은 대규모 유출 사태가 터진 지 한 달이 지나서야 뒤늦게 사과문을 냈다. 올 초 실적발표 컨퍼런스콜에서야 투자자들에게 첫 육성 사과를 전했다. 국내 소비자의 공분이 극에 달했음에도 한국을 직접 방문해 고개 숙여 사과하지 않은 건 아쉬운 대목이다.

그래서인지 전대미문의 과징금 폭탄이 오롯이 법적 산정기준의 결과인지 의문이다. 처벌의 엄정함이 법 집행의 형평성과 객관성을 행여 잃지는 않았는지 말이다. 만약 그렇다면 정당한 제재가 아닌 국가의 폭력이 된다. 쿠팡의 과징금은 지난해 연간 영업이익(6790억원)에 육박한다. 기존 국내 최대 과징금인 SK텔레콤의 1348억원을 4.6배나 뛰어넘었다.

4000만명의 신용정보를 고객 동의 없이 알리페이에 무단 전송했던 카카오페이는 59억6800만원의 과징금을 받았다. 직접 비교가 어렵다고 해도 형평성의 문제가 나올 수 있다. 알리페이에 넘어간 개인정보에는 휴대전화 번호, 이메일 주소, 자금부족 가능성과 관련된 정보(카카오페이 가입일, 충전 잔고 등) 등 총 24개 항목이 포함됐다. 정보의 민감도는 쿠팡보다 더 높다. 정보유출이 퇴사 직원의 짓이든, 회사의 업무적 차원이든 고객 모르게 이뤄진 건 마찬가지다.

개인정보위는 쿠팡 정보유출 피해의 실질적 규모나 2차 피해 가능성을 엄정하게 계량화하지 않았다. '직전 3개년 평균 매출액의 3% 이내'라는 법적 원칙을 최우선 기준으로 삼은 정황이 더 커 보인다. 쿠팡이츠나 쿠팡플레이 등 관련 없는 매출은 제외했다고 한다. 이를 제외하면 쿠팡 본체 매출의 '3% 상한선'을 최대한 반영했다는 셈이다.

사안의 본질보다 여론의 눈총과 '유통 공룡 길들이기'라는 정치적 역학관계 속에서 '괘씸죄'를 더했다는 의구심이 든다. 과도한 징벌적 규제의 부메랑은 결국 시장과 국민에게 돌아온다. 이번 처분으로 쿠팡의 일년 치 수익이 날아갈 위기다. 지금 전국 각지에서 추진 중인 신규 물류센터 투자와 고용 확대 계획의 전면 재검토도 불가피해졌다.

전국 100여개 물류센터에서 9만명을 고용하며 지역경제의 모혈을 돌리던 플랫폼의 발이 묶일 수 있다. 그 피해는 고스란히 일자리 감소와 서비스 질 하락으로 이어질 수밖에 없다.

한국에서 성장한 글로벌 기업의 보안관리 허술은 분명 엄정한 대가를 치러야 한다. 그러나 정보유출의 실질적 피해를 입증하지 않고 '패가망신' 격의 처벌을 내린다면 살아남을 기업이 몇이나 될 것인가.

cgapc@fnnews.com 최갑천 기자