[비즈니스포스트] '쿠팡, 개인정보 유출 과징금 6247억 원.'

많은 언론이 지난해 불거진 쿠팡 개인정보 유출 건에 대한 개인정보보호위원회의 과징금 처분 결과를 이렇게 보도했다.

단일 개인정보 유출 건에 대한 과징금으로는 가장 많고, 이전까지 최고치였던 SK텔레콤의 1348억 원과 비교하면 4.6배에 이른다는 분석을 덧붙이기도 했다.

결론적으로 단일 개인정보 유출 건에 대한 과징금으로는 가장 많다는 부분을 빼고는, 모두 틀렸다.

개인정보보호위가 쿠팡 개인정보 유출 건에 부과한 과징금은 정확히 4235억7500만 원이다. 추가로 과태료 1680만 원도 물렸다.

'6247억 원'은 이용자 개인정보 부당 수집 과징금 2011억600만원 등 쿠팡의 다른 개인정보 침해 건(별건)에 부과된 과징금들이 합산된 수치다.

물론 일부 언론은 '쿠팡 개인정보 유출 과징금 4236억 원'이라고 맞게 보도했다. 일부 언론은 제목은 '쿠팡 개인정보 유출 과징금 6247억 원'이라고 달아놓고, 기사에선 4236억 원이라고 쓰기도 했다.

개인정보보호위가 지난해 불거진 이용자 개인정보 대량 유출 건과 이 건 조사 과정에서 새로 발견된 별건들을 함께 전체회의에 상정해 심결(심의·의결)하고, 결과 발표 보도자료 제목도 개인정보 유출 과징금과 별건 과징금을 합산한 수치로 서술해 이런 혼란을 불렀다.

개인정보보호위는 쿠팡의 개인정보 침해 건에 대한 제재 결과 공식 발표(송경희 위원장 브리핑)에 앞서 언론에 보도자료 요약본을 먼저 돌리며 '쿠팡의 안전조치 의무 위반 및 법적 근거 없는 개인정보 수집 등에 대하여 과징금 6246억8100만 원과 과태료 1680만 원 부과와 함께 시정명령, 공표 및 공표 명령 등을 의결'이라고 적었다.

이후 엠바고(보도 시점) 시간에 맞춰 '쿠팡 개인정보 유출 과징금 6247억 원' 제목의 속보들이 쏟아졌다.

개인정보보호위가 쿠팡 개인정보 유출에 엄청나게 센 과징금을 물렸다고 착각하게 했다.

개인정보보호위가 쿠팡 개인정보 유출 건에 부과한 과징금 4236억 원은 당분간은 깨지지 않을 기록으로 남을 가능성이 크다. 앞으로 사회적으로 시끌벅적한 개인정보 침해 사건이 발생할 때마다 비교 잣대 내지 선례로 쓰일 수 있다.

그래서 '사실'을 분명하게 해둘 필요가 있다.

우선 법률대리(법무법인) 업계와 개인정보보호위 관계자들의 말을 들어보면, 이번처럼 발생 시점과 경로가 서로 다른 개인정보 침해 건을 함께 전체회의에 상정하고, 각각의 과징금을 합산해 발표한 것은 이례적이다.

법률대리 업계 관계자는 비즈니스포스트와 만나 "이전에는 같은 업체 위반행위 건이라도 시점과 경로가 다르면 별건으로 처리했다. 상정 시점도 달리 했다. 메타 등이 대표적"이라고 말했다.

개인정보보호위가 이렇게 할 것이라는 얘기는 쿠팡 개인정보 유출 건의 전체회의 상정 전부터 돌았다. 법률대리 업계를 중심으로 '개인정보위가 쿠팡 개인정보 유출 건과 추가로 조사된 별건들을 함께 상정하려고 한다'는 말이 돌았다.

개인정보 유출 건에 부과될 과징금 일부가 별건으로 넘겨질 수 있다는 전망과 함께 각 건을 맡고 있는 법률대리 업체 간에 물밑 신경전이 벌어지기도 했다.

당시 법률대리 업계 관계자는 비즈니스포스트와 만나 "쿠팡 로비를 받은 미국 정부·정치권 쪽의 압박을 의식하는 것으로 보인다. 쿠팡 과징금이 높게 보이게 하면서 개인정보 유출 건에 대한 과징금은 두드러지지 않게 하려는 것 같다"며 "독립 감독기관으로 원칙에서 벗어나 보이고, 개인정보보호위가 미국 눈치를 본다는 오해를 부를 수도 있다"고 우려했다.

비즈니스포스트는 추가 취재를 통해, 개인정보보호위가 쿠팡 개인정보 유출 건을 조사하는 과정에서 이용자 개인정보 부당 이용 행위를 발견해 별건으로 조사 중이며, 본건(개인정보 유출)과 별건(개인정보 부당 이용)을 전체회의에 함께 상정하려는 사실을 확인해 단독 보도([단독] 개인정보위 쿠팡 맞춤광고 개인정보 무단수집 추가 포착, 3천만 명 정보유출 더해 최대 4천억 과징금 전망)했다. 개인정보보호위의 쿠팡 개인정보 유출 과징금이 4천억 원 안팎에 그칠 수 있다는 전망이 나오고 있다는 점도 담았다.

그래서였을까. 개인정보보호위는 쿠팡 개인정보 침해 건에 대한 과징금 처분 보도자료에 첨부된 '예상 질의·답변' 자료에서 조사 시점과 경로가 서로 다른 쿠팡 개인정보 침해 건을 함께 전체회의에 상정한 배경에 대해 비교적 상세히 해명했다.

개인정보위는 자료에서 "쿠팡 개인정보 유출과 침해 등 각 사건에 대해 사실관계, 위법성 및 처분 사유는 개별적으로 심사·판단하였으나, 조사가 유사한 시기에 마무리됨에 따라, 처분 절차는 효율성과 일관성을 고려하여 종합하여 진행했다"고 밝혔다.

송경희 위원장도 브리핑 현장에서 “피심인(쿠팡)이 같은 회사이고, 조사가 유사한 시기에 마무리됐기 때문에 같이 (제재)하게 된 것”이라고 설명했다. 이어 두 건을 동시에 의결해 과징금 규모를 키웠다는 의혹은 사실이 아니라고 덧붙였다. 송 위원장은 또 “이번에 (쿠팡 개인정보) 유출 사건에서 (중점적으로) 본 것은 얼마나 사건이 중대하냐, 또 피해 규모라든가 이런 것들을 매우 숙고하고 토론을 거쳐서 의결했다"며 "책임에 상응하는 처분을 내리기 위해 최선을 다했다”고 했다. 이어 "이번 처분은 법과 원칙에 근거해 면밀한 검토와 충분한 숙고 끝에 내린 타당한 처분이라고 생각한다"고 했다.

하지만 쿠팡 개인정보 유출 건과 이용자 개인정보 부당 수집 건에 대한 과징금을 각각 어떻게 산정했는지에 대해서는 공개하지 않았다. 과징금 산정 출발점이 되는 쿠팡 최근 3개년 평균 '관련 매출액'이 36조 원이라는 것만 공개했을 뿐, 각 건 위반행위에 대한 중대성 판단 결과와 근거는 밝히지 않았다.

기자들의 질의가 이어졌지만 밝히지 않았다. 브리핑 현장을 찾은 개인정보보호위 실무자들도 이 부분에 대해서는 언급을 회피했다.

쿠팡 개인정보 유출 과징금이 4236억 원으로 산정된 게 적정한 것인지에 대한 의문이 쏟아졌다.

개인정보보호법에 따르면 개인정보 침해 과징금 산정은 최근 3개년 평균 관련 매출액을 산정한 뒤 위반행위의 중대성을 판단하는 것에서 출발한다.

'매우 중대한' 위반행위로 판단하면 관련매출액의 2.1~2.7%, '중대한'은 1.5~2.0%, '보통'은 0.9~1.4%, '약한'은 0.03~0.8%에서 한 지점을 꼽아 과징금 산정 기준금액으로 삼는다.

이어 1·2차 조정과 최종 과징금 결정 전 추가 조정 과정을 거쳐 실제 부과될 과징금이 산정된다. 1차 조정에선 기준금액의 100분의 90(90%), 2차 조정에선 1차 조정을 거친 금액의 100분의 50(50%) 범위에서 가중 또는 감경할 수 있다. 이어지는 추가 조정에선 2차 조정된 금액의 100분의 90(90%) 범위에서 더 감경할 수 있다.

개인정보보호법은 개인정보 침해 과징금을 '매출액의 3% 범위' 부과할 수 있도록 하고 있다. 지난 2월 개정돼 오는 9월11일 시행되는 개정 법에는 '징벌적 과징금' 제도가 도입돼, 이후 발생한 개인정보 유출 건에 대해서는 고의성이 있거나 중대하고 반복적일 때는 과징금 상한이 '매출액의 10%까지'로 높아진다.

쿠팡 개인정보 유출 및 개인정보 부당 수집 등 법 개정 전 발생한 개인정보 침해 건에는 소급 적용되지 않는다.

하지만 시행령에선 매출액이 관련 매출액으로 완화되고, 이어 산정된 과징금을 3차례에 걸쳐 조정할 수 있도록 하고 있다. 조정이란 게 가중과 감경을 포함하지만, 실제로는 감경되는 경우가 대부분이다.

매출액의 3%(징벌적 과징금일 때는 10%)로 돼 있는 과징금 상한선이 사실상 선언에 그치는 이유다.

송 위원장도 쿠팡 처분 결과 브리핑 과정에서 쿠팡 개인정보 유출 과징금이 당초 예상됐던 것보다 적다는 질문에 “보통은 최대 과징금이 매출액 전체의 3%라고 돼 있지만, 실제 가중·감경 요소를 다 고려해서 현실적으로는 그렇게 나오게 설계돼 있지는 않다”고 설명했다.

과학기술정보통신부 민관합동조사단과 개인정보보호위의 조사 결과 만을 놓고 보면, 쿠팡 개인정보 유출 건은 매우 중대한 위반행위로 판단되는 게 상식적이다.

우선 개인정보 유출 피해자가 3755만 명에 이른다. 비회원 개인정보 유출 피해 사례가 추가로 드러나며, 과학기술정보통신부 민관합동조사단 조사 과정에서 집계된 3367만 건보다 388만 건이나 늘었다.

쿠팡 회원정보 수정 페이지에서 3305만 명의 이름과 이메일 등 개인정보가 빠져나갔다.

배송지 관리 페이지에서는 최소 2237만여 명의 회원이 등록한 배송지 정보 6398만 건이 유출됐다. 외부로 나간 회원 배송지 정보에는 이름과 전화번호, 주소, 공동현관 비밀번호가 포함됐다.

배송지 관리 페이지에 등록된 이용자 가족·친구 등의 이름·전화번호·주소와 비식별화된 공동현관 비밀번호 등 배송지 정보 6398만 건이 유출됐고, 일부 페이지에선 비식별화되지 않은 공동현관 비밀번호도 4226건이나 빠져나갔다.

5만8천여 명의 주문내역 27만 건도 노출됐다. 해커가 쿠팡에 보낸 협박 메일에는 회원이 주문한 성인용품과 속옷 구매내역 등 민간한 주문 정보도 다수 포함됐다.

쿠팡은 지난해 12월 개인정보보호책임자(CPO)를 배제한 채 사실 관계 검증도 없이 3천여 명의 정보만 유출했다는 자체 조사 결과를 발표해 혼란을 일으키기도 했다.

로그 기록 삭제 등 증거자료 폐기로 조사를 방해하기도 했다. 이 행위로 수사기관에 고발당하기도 했다.

개인정보보호위가 이런 상황을 들어 쿠팡의 개인정보 유출을 중대한 위반행위로 판단한 경우, 과징금 기준금액은 7560억~9720억 원에 이른다.

혹시라도 한 단계 낮은 중대한 위반행위로 판단됐으면, 과징금 기준금액은 5400억~7200억 원대로 내려간다.

결국 이 두 가지 금액대 중 한 쪽의 적당한 선에서 과징금 기준금액이 잡혔고, 3차례에 걸친 가중·감경 과정을 거쳐 4235억7500만 원이 부과됐다고 볼 수 있다.

하지만 개인정보보호위는 이 모든 과정과 근거에 대해 입을 다물고 있다.

예상 질문·답변 자료에선 "연간 매출액 30조 원을 상회하는 대규모 개인정보처리자로서 인증 시스템 및 인증 키 관리를 소홀히 한 행위 및 다수의 이상행위를 탐지하지 못하여 대규모 개인정보 유출사고로 이어진 점을 위반행위의 중대성 판단에 고려하였고, 위반 기간 및 최근 3년 내 동종 행위로 과징금 부과 여부, 조사방해 및 협조 여부, 개인정보 보호 노력 및 피해 회복 노력 등 다양한 요소를 고려하여 최종 과징금을 산정했다"고 밝혔다.

전체회의 속기록이 공개되면 좀 더 상세한 내역을 엿볼 수 있을까. 일반적으로 전체회의 속기록은 2주 뒤에 열리는 다음 회차 전체회의 들머리에서 진행되는 공개 의결 절차를 거쳐 개인정보보호위 누리집에 올라온다.

다만 기업 비밀 보호와 위원 요청 등 여러 가지 이유로 공개 전 많은 부분이 가려지기도 한다. 이 작업을 이유로 공개 시점이 미뤄지기도 한다.

정보인권 보호 활동을 펴는 시민단체 등에선 쿠팡 개인정보 유출 과징금에 대해 '솜방망이 제재'란 평가가 나온다. 

참여연대는 논평을 내고 "쿠팡 과징금은 1조 원도 부족하다"며 "감경을 결정한 사유들이 적절했는지 판단 근거를 투명하게 공개해야 한다"고 주장했다.

시민단체 쪽은 쿠팡 개인정보 부당 수집 건에 대한 과징금이 2011억600만원에 그친 것에 대해서도 의문을 제기한다.

고의성 잣대로 보면, 이용자 개인정보를 부당 수집한 게 개인정보를 유출한 것보다 더 고약한 위반행위로 볼 수 있는데 과징금은 턱없이 더 낮게 산정됐다는 것이다.

개인정보보호위 조사 결과에 따르면, 쿠팡은 2024년 12월23일부터 2026년 2월4일까지 1565만 개 웹페이지 또는 앱을 방문·사용한 쿠팡 이용자 1117만 명의 온라인 활동 기록을 무단 수집·저장했다.

'쿠팡 파트너스' 등의 정책에 따라 쿠팡 광고를 클릭하지 않은 사람의 기록까지 모았다.

이 기록은 기기 식별자 및 회원번호와 함께 광고 데이터베이스에 저장돼 있었다. 개인정보보호위는 "그 자체로도 개인 식별이 가능한 개인정보에 해당한다"고 판단했다.

더욱이 개인의 관심사와 성향 등을 폭넓게 파악할 수 있고, 장기간 누적되는 경우에는 개인을 프로파일링하거나 사상·신념·건강 등 민감정보를 추론하는 것도 가능할 수 있다.

쿠팡은 이용자 본인 동의 등 법적 근거 없이 이 기록을 수집·저장했고, 개인정보 처리 방침 및 맞춤형 광고 관련 안내 페이지 등을 통해 명확히 알리지도 않았다.

개인정보위는 개인정보 부당 수집 건에 대한 과징금의 기준금액 역시 쿠팡 최근 3개년 평균 관련 매출액(36조 원)을 기준으로 산정했고, 가중·감경 절차를 밟았다.

참여연대 등에선 "개인정보 침해 정도로 보면 수천만 명의 온라인 활동 기록을 무단 수집해 축적하는 등 결코 가볍지 않은데도 과징금이 낮게 산정된 것에 대한 해명이 필요하다"고 주장했다.

한편 개인정보위의 쿠팡 개인정보 유출 조사 과정에선, 쿠팡 자회사 쿠팡풀필먼트서비스(CFS)의 위법 행위도 드러났다. 이 업체 물류센터 근무 이력이 없는 경찰청 출입기자 71명의 명단을 수집해 취업 제한 목록에 등록해 관리해온 것으로 밝혀졌다.

쿠팡풀필먼트서비스는 또한 산업재해 관련 소송을 하며 임직원 건강관리 목적으로 보유 중인 물류센터 노동자의 체중 정보를 법원에 제출한 사실도 드러났다.

개인정보보호위는 이를 모두 개인정보 침해 행위로 간주해 2억4800만 원의 과징금을 별도 부과했다.

정보인권 보호 활동 시민단체 쪽에선 "있을 수도 없고, 있어서도 안 되는 일을 쿠팡이 벌였다. 어찌 이런 일을 벌일 수 있는지 혀를 차게 만든다"고 비판했다.

개인정보위가 쿠팡 개인정보 침해 건 각각에 대한 과징금을 제대로 산정해 처분했는지를 주목할 수밖에 없게 만든다고도 했다.

앞서 이재명 대통령은 지난해 12월 개인정보보호위 업무보고를 받으면서 "과징금 체계의 실효성이 부족하다"고 지적하며, 개인정보 유출 기업에 대한 경제적 제재를 대폭 강화해야 한다고 주문했다.

당시 이 대통령은 "경제 제재가 너무 약해서 규정 위반을 밥 먹듯이 하고 신경을 안 쓴다"며 "국민에게 피해를 주면 엄청난 경제 제재를 받아 '회사가 망한다'는 생각이 들도록 해야 한다"고 했다.

하지만 쿠팡은 개인정보보호위 과징금 처분에 수용 불가 입장을 내놨다.

쿠팡은 입장문을 내어 "2차 피해를 막기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 충분히 반영되지 못한 점을 유감스럽게 생각한다"며, 개인정보보호위 과징금 처분에 불복해 행정소송 등 법적 대응에 나설 뜻을 밝혔다.

당사자 쿠팡도 수용할 수 없다고 하니, 개인정보보호위가 쿠팡 개인정보 침해 건 각각에 대한 과징금 산정 근거와 과정을 낱낱이 공개하면 어떨까. 송 위원장 말대로 '법대로', '원칙대로' 산정했으면, 공개하지 못할 이유도 없다. 김재섭 선임기자