'3370만명 정보 유출' 쿠팡, 내일 과징금 운명의 날…최대 1.5조 거론

(서울=뉴스1) 이형진 기자 = 지난해 11월 말 촉발된 쿠팡의 대규모 고객 정보 유출 사고와 관련한 과징금 수위가 10일 결정된다. 최근 티빙과 편의점 CU의 개인정보 유출 사고가 연이어 터지면서 업계에서는 쿠팡의 과징금 규모가 업계의 바로미터가 될 것으로 보고 있다.

9일 업계에 따르면 개인정보보호위원회(개보위)는 10일 전체회의를 열고 쿠팡의 개인정보 유출 사고에 대한 과징금 처분 안건을 상정해 심의·의결할 예정이다.

앞서 민관합동조사단은 쿠팡의 '내 정보 수정 페이지'에서 성명과 이메일, 주소 등이 포함된 고객 정보 총 3367만3817건이 유출된 사실을 확인했다.

쿠팡의 유출 규모로만 보면 과거 SK텔레콤 해킹 사건인 2324만 명보다 많아 과징금 역시 역대 최고 규모에 이를 것으로 보고 있다. 개인정보 유출 과징금은 직전 3개년 매출의 3%까지 매길 수 있어 쿠팡Inc의 지난해 매출(49조 원)에 대비해 1조 5000억 원 규모가 거론되는 상황이다.

다만 업계에서는 과거 듀오 사례와 SK텔레콤 사례 등을 고려해 정부가 수위를 조절할 수 있다고도 보고 있다.

쿠팡은 그동안 △2차 피해 없음 △금융 결제나 유심·키·체중·재산 규모 같은 민감성 정보 아님 △개인정보 회수 노력 등을 주장해 왔다.

듀오의 개인정보 유출 당시에는 개인의 경제력과 사회적 지위도 추정이 가능한 규모였고, SK텔레콤은 휴대전화·가입자 식별 번호, 유심 인증키 등이 유출돼 쿠팡의 유출 정보와 비교해 민감성이 낮다는 지적이다.

쿠팡의 정보 유출 시점부터인지 시점까지 5개월가량 걸렸다는 점도 고려할 사항이다. SK텔레콤은 3년 8개월, 듀오도 1년 이상 걸렸고, 신한카드는 3년 9개월, KT도 11개월가량이 소요됐는데 쿠팡은 유출에 대한 초기 인지, 재통지, 사후 수습까지 기간이 상대적으로 짧았다.

지난 2월 쿠팡 사건을 조사한 과학기술정보통신부 민관합동조사단은 쿠팡 침해사고에 대해 발표하면서 "공격자의 외부 전송 사실을 확인할 수 없었으며 결제와 2차 피해는 없었다"고 밝혔다.

쿠팡의 과징금 규모는 국내외에서도 조명 받을 가능성이 크다.

현재까지 해킹 유출로 가장 많은 정부 과징금을 부과받은 기업은 메타다. 2021년 해커가 스크래핑을 통해 5억 3300만 명의 데이터베이스를 해킹했는데, 당시 메타 본사가 위치한 아일랜드 데이터보호위원회는 2억 6500만 유로(약 3800억 원)의 과징금을 부여했다.

이외에도 △에퀴팩스 2017년 1억 4700만 명 유출 △메리어트 인터내셔널 2018년 3억 2700만 명 유출 △캐피탈원 2019년 1억 600만 명 유출 사태를 겪었지만, 정부 과징금은 각각 한화로 1180억 원, 970억 원, 950억 원 수준에 그쳤다.

대신 에퀴팩스는 정부 과징금의 4배가 넘는 4억 7500만 달러를 '소비자 구제 배상 합의금'으로 지출했다. 미국은 행정처분보다 사법 시스템을 통한 소비자 구제에 무게를 두고 있기 때문이다. 쿠팡 역시 현재 한국과 미국 법원에서 다발적인 집단소송에 직면해 있는 상태다.

유통업계 관계자는 "국내 최대 e커머스 기업의 보안 미비에 대해 확실한 책임을 묻고 재발방지책을 세우는 것은 당연하다"라면서도 "다만 2차 피해 유무, 개인정보 회수 노력, 정보의 민감성 등에 대한 종합적인 검토 없이 유출 규모라는 외형에만 매몰돼 과징금을 때릴 경우 산업계 전반에 극심한 혼란을 야기할 수 있다"고 우려했다.

hjin@news1.kr