[파이낸셜뉴스] 개인정보보호위원회가 쿠팡 개인정보 유출 사고에 대해 4200억원대의 사상 최대 과징금을 부과하면서 제재 수위의 형평성을 둘러싼 논란이 커지고 있다. 유출 규모는 쿠팡이 압도적으로 크지만, 유출 정보의 민감성과 실제 사생활 침해 위험도 등을 고려할 때 과거 사고들보다 월등히 제재 수위가 높다는 지적이 나온다.
'유출 정보 수위'보다 '양'만 고려?
11일 개인정보위는 전날 전체회의를 열고 쿠팡에 총 6246억8100만원의 과징금을 부과했다. 이 가운데 4235억7500만원은 3755만명의 개인정보가 유출된 사고에 대한 과징금이다. 이는 지난해 SK텔레콤 개인정보 유출 사건에 부과된 1348억원을 크게 웃도는 규모다.
반면, 결혼정보업체 듀오는 지난해 개인정보 유출 사고로 12억3900만원의 과징금을 부과받았다. 쿠팡의 개인정보 유출 관련 과징금만 놓고 보면 340배 이상 많은 셈이다.
역대급 과징금 규모를 두고 일각에서는 유출된 정보의 '민감도'와 과징금 규모 사이에 차이가 크다는 지적도 나온다. 쿠팡에서 유출된 정보는 이름, 이메일, 전화번호, 배송지 주소, 주문번호, 일부 공동현관 비밀번호 등이다. 반면 듀오에서는 혈액형, 혼인 여부, 재산 현황, 학력, 직업, 신장, 체중, 원천징수 내역 등 결혼정보 서비스 이용 과정에서 수집된 다수의 개인정보가 유출됐다. 개인정보보호법은 종교, 건강정보 등 민감정보에 대해 일반 개인정보보다 엄격한 보호 의무를 부과하고 있다.
업계 관계자는 "유출 규모 측면에서는 쿠팡 사건이 훨씬 크지만 정보의 민감도만 놓고 보면 듀오 사건의 사생활 침해 위험성이 더 크다고 볼 여지도 있다"며 "현재 과징금 체계는 정보의 민감성보다 기업 규모가 더 큰 영향을 미치는 구조"라고 말했다.
"민감성보다 매출 규모가 더 큰 영향"
업계에서는 이러한 과징금 격차가 현행 개인정보보호법의 과징금 산정 방식에서 비롯됐다고 보고 있다.
현행법은 위반 행위와 관련된 매출액 등을 기준으로 과징금을 산정하도록 하고 있다. 기업 규모가 클수록 과징금 규모도 커질 수밖에 없는 구조다.
듀오는 위반행위 발생 직전 3개년 평균 매출액이 400억원대 수준인 반면, 쿠팡은 연 매출이 40조원이 넘는다. 결과적으로 유출 정보의 민감성이나 실제 피해 정도보다 기업 매출 규모가 과징금 액수에 더 큰 영향을 미쳤다는 것이다.
업계에서는 이번 논란의 배경으로 현행 매출 연동형 과징금 체계를 꼽는다. IT업계에 따르면 한국과 유럽연합(EU), 중국 등은 기업 매출과 연계해 과징금을 산정하는 반면, 미국과 일본, 대만 등은 정액 과태료나 집단소송·민사배상 중심의 제도를 운영하고 있다.
IT업계 관계자는 "한국에서도 민감정보 유출 여부 등을 과징금 산정 과정에서 고려하지만 매출 규모가 큰 기업일수록 제재 규모가 급격히 커지는 구조"라며 "정보의 민감성, 실제 2차 피해 여부, 기업의 대응 노력 등을 보다 종합적으로 반영할 필요가 있다"고 말했다.
clean@fnnews.com 이정화 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지