주민번호ㆍ운전면허 정보 털린 에퀴팩스

여권번호 유출 메리어트 과징금의 3~4배

“정보 민감성ㆍ피해수준 등 종합 고려해야”

[대한경제=문수아 기자] 쿠팡에 매겨진 과징금 6250억여원을 두고 유출 규모 대비 형평성에 맞지 않는 과한 처분 아니냐는 지적도 나온다. 유출 규모, 유출된 정보의 민감성 등을 고려할 때 글로벌 개인정보 유출 사고로 비교대상을 넓혀도 과도한 수준이라는 것이다.

역대 개인정보 유출 관련 가장 많은 과징금을 부과받은 곳은 메타다. 메타는 5억3300만명의 이름ㆍ생년월일ㆍ연락처가 해킹 포럼에 유출돼 아일랜드 당국에서 2억6500만유로(약 3800억원)를 부과받았다. 쿠팡의 유출 규모(3755만명)는 메타의 7% 수준이지만, 유출 한 건에 매겨진 과징금(4235억7500만원)은 메타보다 11% 많다. 주민번호ㆍ운전면허 정보가 털린 에퀴팩스(1억4700만명ㆍ1180억원), 여권번호가 유출된 메리어트(3억2700만명ㆍ970억원)와 견줘도 쿠팡의 유출 과징금은 3~4배에 이른다. 7600만명이 유출된 T모바일, 1억600만명이 유출된 캐피탈원도 정부 처분은 1000억원대에 그쳤다.

유출된 정보의 중요성을 따져보면 형평성 의혹은 더 커진다. 특히, 듀오는 혈액형, 혼인 여부, 재산, 원천징수 내역 등 24종의 내밀한 개인정보가 유출됐는데도 12억원대의 과징금만 부과됐다. 개인정보보호법 23조에 따르면 듀오에서 유출된 정보는 민감정보로 구분, 더 강력한 규제를 받도록 명시하고 있다. 게다가 유출 당일부터 15개월간 피해자에게 유출 사실을 통지하지 않는 등 추가 피해 방지 조치도 없었다. 카카오페이 역시 4000만명의 고객 정보가 국외로 이전되며 2차 피해에 노출됐는데도 59억6800원의 과징금이 부과됐다.

개인정보 유출의 성격이 고의적이고 상업적이었는지도 논란이다. 해외 규제당국은 외부 해커나 내부자에 의한 유출보다, 기업이 이득을 노려 개인정보를 조직적으로 빼돌린 행위를 더 무겁게 본다. 메타가 유럽 이용자 데이터를 미국 서버로 무단 전송한 혐의로 12억유로(약 1조7000억원), 8700만명 정보를 정치컨설팅업체에 넘기고 방치한 문제로 미국 연방거래위원회(FTC)에서 50억달러를 문 게 대표적이다. IT업계 관계자는 “전직원이나 외부 해킹은 기업이 보안 의무를 소홀히 했더라도 공격당한 피해자 성격을 일부 갖지만, 무단 수집이나 국외 전송은 조직적이고 고의적 위법으로 본다”며 “근본적으로 과실이 더 무거워 처벌 수위가 높아진다”고 말했다.

쿠팡의 개인정보 유출 사고는 고의적이거나 상업적인 성격이 상대적으로 옅다. 전체 과징금의 3분의 1인 2011억원은 타사 활동기록을 동의 없이 모은 무단수집 몫으로, 해외도 무겁게 다루는 유형이다. 다만, 나머지 4235억원은 전직 직원이 빼낸 것으로 해외라면 정상참작 여지가 있는 유출에 매겨졌다.

이 때문에 산업계에서는 지나친 과징금 처분이 산업 전반을 위축시킬 수 있다는 입장이다. 보안 투자를 늘려도 외부 침입을 100% 막기 어려운 현실을 반영하지 못한 과도한 처분이라는 것이다. 오는 9월부터 개인정보보호법 시행령 개정에 따라 중대한 침해의 경우 매출의 10%까지 과징금이 부과되면 부담은 더 무거워진다. 아울러 매출과 연동한 현행 과징금 체계로는 유출된 정보의 성격, 피해 규모에 따른 재발방지 효과도 적다는 지적이다.

서용구 숙명여대 경영학부 교수“개인정보 유출에 대한 책임은 엄정하게 물어야 하지만 제재 수위는 기업 규모가 아닌 정보의 민감성, 실제 피해 수준, 피해 확산 방지 노력을 종합적으로 고려해야 할 것”이라며 “이번 처분이 이후 발생한 다른 기업의 개인정보 유출 징벌의 기준이 될 수 있어 산업계 전반의 위축이 우려된다”고 말했다.

문수아 기자 moon@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉