[손슬기 기자]
[디지털투데이 손슬기 기자] 쿠팡 개인정보 유출 사태를 계기로 국회가 개인정보보호법상 과징금 상한을 손보는 '징벌적 과징금' 논의에 시동을 걸었다. 대통령실이 직접 과징금 강화와 징벌적 손해배상 현실화를 주문하면서 관련 법안 처리에 속도가 붙는 분위기다.
쿠팡은 3370만개 계정에서 이름, 이메일, 전화번호, 배송지 주소, 일부 주문정보 등이 비인가 조회된 사실을 뒤늦게 인정했다. 유출 규모만 놓고 보면 SK텔레콤(2324만명)을 넘어선 국내 최대 사고다. 사고 발생 시점과 탐지까지 약 5개월이 걸린 정황이 드러나면서, '솜방망이 과징금' 구조부터 뜯어고쳐야 한다는 여야 공세가 이어지고 있다.
◆국회에 올라온 징벌적 과징금 법안들
![각종 개인정보 유출 사고에 따라 관련 대책 마련의 움직임이 분주하다 [사진: 셔터스톡]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/81/2025/12/05/ec920413025a4ccbb07fbc57a0cb916c.jpg) |
각종 개인정보 유출 사고에 따라 관련 대책 마련의 움직임이 분주하다 [사진: 셔터스톡] |
[디지털투데이 손슬기 기자] 쿠팡 개인정보 유출 사태를 계기로 국회가 개인정보보호법상 과징금 상한을 손보는 '징벌적 과징금' 논의에 시동을 걸었다. 대통령실이 직접 과징금 강화와 징벌적 손해배상 현실화를 주문하면서 관련 법안 처리에 속도가 붙는 분위기다.
쿠팡은 3370만개 계정에서 이름, 이메일, 전화번호, 배송지 주소, 일부 주문정보 등이 비인가 조회된 사실을 뒤늦게 인정했다. 유출 규모만 놓고 보면 SK텔레콤(2324만명)을 넘어선 국내 최대 사고다. 사고 발생 시점과 탐지까지 약 5개월이 걸린 정황이 드러나면서, '솜방망이 과징금' 구조부터 뜯어고쳐야 한다는 여야 공세가 이어지고 있다.
◆국회에 올라온 징벌적 과징금 법안들
5일 국회 의안정보시스템에 따르면, 최근 더불어민주당 김승원 의원 등 11인은 개인정보보호법 개정안을 발의했다. 개인정보 위반 시 부과할 수 있는 과징금 상한을 현행 '전체 매출액의 3% 이내, 산정 곤란 시 20억원 이내'에서 '4% 이내, 30억원 이내'로 각각 올리는 내용이다. 유럽연합(EU)·영국 수준(매출액의 최대 4%)에 맞추겠다는 취지다.
같은 당 권향엽 의원은 1일 유출 사고 발생 시 통지 대상을 넓히는 개정안을 냈다. 현재는 유출이 확인된 정보주체에게만 통지하지만, 권 의원 안은 '유출 가능성' 단계부터 피해 우려가 있는 모든 이용자에게 통지하도록 의무를 강화하는 내용이다. 유출 사실을 뒤늦게 공지하거나 최소 범위만 알리는 관행을 끊겠다는 것이다.
![국회 과방위 쿠팡 개인정보 유출 사고 관련 현안질의 [사진: 연합뉴스]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/81/2025/12/05/ceb047ce26e94268848d0ba38dd2d693.jpg) |
국회 과방위 쿠팡 개인정보 유출 사고 관련 현안질의 [사진: 연합뉴스] |
앞서 6월에는 국민의힘 이헌승 의원이 개인정보 유출 신고기한을 인지 후 '지체 없이'에서 '24시간 이내'로 명확히 하는 개정안을 발의했다. 정보통신망법(침해사고 24시간 신고)과 개인정보보호법(72시간 내 신고)의 불일치를 해소하고, SK텔레콤·KT 사례처럼 사고 인지 후 신고를 미루는 관행을 차단하겠다는 내용이다.
올해 SK텔레콤 사고를 계기로 발의된 다른 개정안들까지 더하면, 개인정보 유출 이후 '통지·신고·사후대응'을 전방위로 강화하는 법안이 누적돼 있다. 여야 모두 방향성에는 이견이 없다.
올해만 놓고 봐도 유통·통신·금융·게임을 가리지 않고 대형 개인정보 침해 사고가 잇따랐다.
1월 GS리테일 홈페이지에서 고객 9만여명의 개인정보가 유출됐고, 4월 SK텔레콤 서버 침해로 2324만명의 유심 관련 정보·전화번호 등이 빠져나갔다. 사실상 가입자 전원 규모다.
9월엔 롯데카드에서 전체 회원 약 31%에 해당하는 297만명의 결제 정보가 유출됐고, 같은 시기 KT에서도 불법 기지국(BPF 도어) 방식 공격으로 2만명 안팎의 개인정보가 노출된 정황이 확인돼 조사가 진행 중이다. 상반기에는 예스24 랜섬웨어 사태, 다수 글로벌 브랜드의 국내 고객정보 유출 사례도 이어졌다.
![조좌진 롯데카드 대표(가운데 단상)는 18일 서울 부영태평빌딩에서 대국민 사과 회견을 하고 있다. [사진: 디지털투데이 강진규 기자]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/81/2025/12/05/4f0117fcc97840d5b7a2030b5fb58d06.jpg) |
조좌진 롯데카드 대표(가운데 단상)는 18일 서울 부영태평빌딩에서 대국민 사과 회견을 하고 있다. [사진: 디지털투데이 강진규 기자] |
11월에는 넷마블이 해킹 공격으로 611만명 규모의 고객·가맹 PC방·입사지원자 정보 유출을 인정했다.
◆실제 과징금은 매출 1%도 안 되는 수준
문제는 현행 제도 아래에서는 과징금이 매출의 1%도 안되는 수준에 그치는 경우가 많다는 점이다. 법상 상한은 매출의 3%지만, 실제 부과 단계에서는 '관련 매출'만 분리 산정하고 각종 감경 사유가 적용되며 제재 수위가 크게 낮아지는 구조다.
![SK텔레콤이 해킹 공격을 받아 관계 당국이 비상대책반을 구성했다. 사진은 22일 서울 중구 SK텔레콤 본사 모습. [사진: 연합뉴스]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/81/2025/12/05/b056db9f04cf4ba5aae72a98055551e5.jpg) |
SK텔레콤이 해킹 공격을 받아 관계 당국이 비상대책반을 구성했다. 사진은 22일 서울 중구 SK텔레콤 본사 모습. [사진: 연합뉴스] |
중견·중소기업은 절대액이 더 낮다. 현행 개보법은 전체 매출이 아닌 '해당 침해와 직접 관련된 매출'을 기준으로 과징금을 산정하고, 이후 감경까지 적용되기 때문이다. 클래스유(5360만원), 케이티알파(491만원)처럼 최대 수백만명 규모 유출에도 수천만원 과징금에 그치는 사례가 반복되고 있다.
롯데카드는 해킹 사고와 관련해 금융당국이 '영업정지 6개월·과징금 50억원' 안을 검토 중인 것으로 알려졌다. 개인정보보호법상 매출(약 2조7000억원)의 3%까지 최대 800억원대 과징금이 가능하지만 실제로는 수십억원에 그칠 것이란 전망이 우세하다. 넷마블 역시 현행 제도상 최대 800억원대 부과가 가능하지만, 실제 제재는 그보다 크게 낮을 것으로 보는 시각이 많다.
◆"쿠팡 1조3000억 과징금, 현실성 충분"
법조계에선 쿠팡과 관련해 중대행위 판단과 감경 요소 등을 고려하더라도, 현실적으로 1조원 이상 과징금 부과가 가능하다는 분석이 나온다.
김수희 법무법인안심 변호사는 "쿠팡 유출은 규모 자체가 역대급이라 중대행위로 평가될 가능성이 크다. 이 경우 계산상 최대 과징금은 약 1조3000억원까지 가능하다"고 말했다. 이어 "과징금 산정 과정에서 '안전성 확보조치' 이행 여부가 감경 요소지만, 이번처럼 규모가 큰 유출에서는 쿠팡이 이를 제대로 이행했다고 인정받기 어렵다"며 "최대치보다는 낮겠지만, 3%에 근접한 높은 수준이 나올 가능성이 크다"고 말했다.
<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.