쿠팡, 개인정보 유출에 역대급 과징금 및 ISMS-P 인증 취소 위기

대규모 개인정보 유출 사고를 일으킨 쿠팡에 대해 개인정보보호위원회가 역대급 과징금 부과를 검토하고 있으며, 정보보호·개인정보보호 관리체계(ISMS-P) 인증 취소 가능성까지 제기된다. 

개인정보보호법에 따라 쿠팡은 매출액의 최대 3%에 해당하는 과징금을 부과받을 수 있으며, 이는 단순 계산으로 1조2천억원을 넘어서는 금액이다. 다만 실제 과징금은 위반행위와 직접 관련 없는 매출액을 제외하고, 감경 요소를 적용해야 하므로 이보다 낮아질 가능성이 있다.

개인정보위 출범 이후 가장 큰 규모의 과징금은 SK텔레콤에 부과된 1천347억9천만원이다. SKT 사례에서도 최대 3천억원대의 과징금이 예상되었지만, 실제 부과액은 이보다 적었다. 

개인정보위는 유심 인증키 등 핵심 정보 유출과 2천300만명 규모의 개인정보 노출을 중대한 위반행위로 판단했지만, 사고 이후 시정 조치와 이용자 보호 노력을 감경 사유로 반영했다.

이번 쿠팡 사안도 기준금액 산출 후 1, 2차 조정 과정에서 가중·감경을 적용받게 된다. 개인정보위 관계자는 1차 조정은 고시 기준에 따라 의무적으로 가산·감경하고, 2차 조정은 재량에 따라 가감할 수 있다고 밝혔다. 

최종 과징금 규모는 재량 감경 폭에 따라 달라질 수 있다. 송경희 개인정보보호위원장은 국회 질의에서 쿠팡 과징금 산정 시 ISMS-P 인증을 받았다는 이유로 50% 감면하는 것은 없으며, 사안의 엄중성에 따라 엄격히 판단하겠다고 밝혔다.

쿠팡의 ISMS-P 인증 취소 여부에도 관심이 집중된다. ISMS-P는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도이며, 쿠팡은 2021년과 2024년 인증을 받았다. 하지만 이번 사고를 포함해 4건의 개인정보 유출이 발생하면서 제도 실효성 논란이 일고 있다. 

송경희 위원장은 ISMS-P 인증 후 매년 모의해킹 등을 통해 운영 실태를 점검하고, 심각한 위반이 확인되면 인증을 취소할 계획이라고 밝혔다. 지금까지 ISMS-P 인증을 받았다가 취소된 기업은 없으며, 쿠팡이 최초 사례가 될 수 있다.