'더 센' 10% 규정은 미적용…"모회사 美 법인, 과징금에 제한 없을 것"
[파이낸셜뉴스]쿠팡이 대규모 개인정보 유출 사고와 관련해 거액의 과징금을 피하기는 어려울 것이라는 관측이 나온다. 개인정보를 처리하는 사업자로서 보호 의무를 충분히 이행하지 못했을 가능성이 크다는 점에서, 법조계에선 현행 법령상 부과 가능한 최대 수준의 과징금이 내려질 수 있다는 전망이 나온다. 본사가 미국 법인이라는 점도 국내 법인에 대한 제재를 피하는 근거로 작용하긴 어렵다는 분석이다.
18일 법조계와 정부 당국 등에 따르면 정부는 최근 쿠팡 고객정보 유출 사태와 관련해 개인정보보호위원회 등을 포함한 범부처 태스크포스(TF)를 구성하고 본격적인 조사에 착수할 예정이다. 관련 법률에 따르면 개인정보처리자가 내부관리 계획을 수립하지 않거나, 개인정보 보호를 위한 기술적·관리적 조치를 소홀히 하거나, 사고 발생 후 대응에 미흡한 경우 유출 사고가 발생한 서비스 매출액의 최대 3%까지 과징금을 부과할 수 있다.
국회에서는 과징금 상한을 매출의 10%까지 상향하는 방안도 논의됐지만, 정부는 법률 안정성 등을 고려해 해당 규정을 쿠팡 사례에 소급 적용하지는 않을 방침인 것으로 알려졌다.
구체적인 책임 소재는 향후 조사 결과를 통해 드러나겠지만, 쿠팡의 정보 유출이 발생한 한달여 동안 피해 규모가 3400만명에 달한다는 점, 유출 경로가 퇴직 직원을 통한 것이었다는 점 등을 고려하면 개인정보 보호 의무 위반이 인정될 여지는 충분하다는 것이 법조계의 중론이다.
곽준호 법무법인 청 변호사는 "재직자도 아닌 퇴직자에 의한 유출을 막지 못했다는 점에서 주의의무 위반이 인정될 가능성이 높다"고 말했다. 쿠팡 유출 사태와 관련해 소송을 진행 중인 한 변호사도 "아무리 규모가 작은 기업이라도 퇴직자에게 부여된 인증키 등 핵심 보안 수단을 회수하는 것은 기본적인 조치"라며 "이 같은 조치조차 이뤄지지 않았다면 보호 의무 위반으로 볼 수밖에 없다"고 지적했다.
쿠팡은 이번 사태로 총 3종의 책임을 질 수 있는 상황이다. △정부 당국의 행정 제재인 과징금 부과 △형사 고소에 따른 형사 책임 △유출 피해자들의 민사 소송 제기 등이다. 특히 올해 들어 개인정보 유출 사고가 잇따른 점을 감안하면, 쿠팡에 대한 과징금 역시 상당한 규모가 될 것이라는 전망이 나온다. 최신영 차앤권 법률사무소 변호사는 "지난해 쿠팡의 연매출이 38조원에 이르고, 피해 규모가 3400만건으로 방대한 데다 사고 발생 이후 수개월 동안 회사가 유출 사실을 인지하지 못했다는 점을 고려하면 매출의 3%까지 정할 수 있는 과징금 기준을 최대한 엄격하게 적용할 필요가 있다"고 말했다.
특히 사고 발생 이후 최근 국회 청문회 과정에서도 김범석 의장이 불참하는 등 국회에서도 쿠팡 관련 강한 징계를 예고하고 있어 향후 쿠팡을 향한 '반 쿠팡 입법' 추진도 쿠팡에 위기로 작용할 수 있다.
더불어 본사인 쿠팡Inc가 미국 법인이라는 점도 과징금 부과에는 큰 영향을 미치지 않을 것으로 보인다. 국내에서 대부분의 매출이 발생하고, 국내 이용자들의 개인정보가 대량으로 유출된 만큼 국내 개인정보보호법 적용에는 문제가 없다는 이유에서다. 최 변호사는 "한국 이용자를 대상으로 서비스를 제공하며 개인정보를 처리한 이상 법인 소재지와 무관하게 개인정보보호법이 적용된다고 봐야 한다"고 설명했다. 곽 변호사 역시 "국내 법인이 주된 법인이고 국내 사업 비중이 큰데다, 미국 사업 비중이 크지 않은 만큼 이러한 구조가 과징금 부과 여부나 수위에 영향을 주지는 않을 것"이라고 덧붙였다.
scottchoi15@fnnews.com 최은솔 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지