역대 최악 정보 유출 쿠팡, 관리 구멍 정황…최대 1조 과징금 전망

(서울=뉴스1) 이기범 기자 = 국내 이커머스 업계 1위인 쿠팡에서 3000만 건이 넘는 개인정보 유출 사고가 발생하면서 역대급 과징금 처분이 나올 수 있다는 전망이 나온다.

무엇보다 퇴사한 직원이 해외 서버를 통해 무단 접속해 벌어진 일이라는 황당무계한 정황이 속속 나오고 있어 안전조치 의무 위반으로 판단할 가능성이 있다. 쿠팡의 매출 규모를 고려했을 때 예측 가능한 최대 과징금은 1조 원대다.

1일 업계에 따르면 현재까지 파악된 쿠팡의 개인정보 유출 규모는 약 3370만 건이다. 정보에는 고객 이름, 이메일 주소, 배송지 주소록(이름·전화번호·주소) 등이 포함됐다. 국내 경제활동인구 2969만 명을 넘어선 규모로 역대 최악의 유출 사고다.

정부는 지난달 30일부터 본격적인 조사에 착수했다. 조사 결과가 나와야 하지만, 현재까지 밝혀진 개인정보 유출 규모를 봤을 때 과징금 처분을 피할 수 없을 것으로 보인다.

산술적으로 따졌을 때 쿠팡이 받게 될 과징금은 최대 1조 원에 달할 것으로 분석된다. 개인정보보호법은 개인정보 도난·유출 시 전체 매출의 최대 3%를 과징금으로 부과할 수 있도록 규정하고 있다. 쿠팡의 지난해 매출은 38조 2988억 원, 올해 3분기까지 매출은 36조 3094억 원이다.

여기에 위반 행위와 관련 없는 매출액을 제외하고, 위반의 중대성, 개인정보 보호 인증 여부 등을 따져 가중하거나 감경하는 '조정'이 이뤄진다.

최경진 가천대 법학과 교수(인공지능·데이터 정책연구센터장)는 "개인정보보호법상 개인정보 유출 사건은 전체 매출의 3%를 과징금으로 부과받을 수 있는데 쿠팡의 매출 규모를 토대로 계산했을 때 1조 원대 과징금이 가능하다"며 "ISMS-P(정보 보호 및 개인정보 보호 관리 체계) 인증을 받은 만큼 50% 감경 요소를 적용하면 5000억 원 이상의 과징금이 예상된다"고 말했다.

여기에 민관합동조사단 조사 진행 과정에서 과거 악성코드 등 신고 지연 행위가 발견되면 정보통신망법 위반으로 3000만 원 이하 과태료 처분을 받을 수 있다.

핵심은 안전조치 의무 위반 여부다. 쿠팡 측은 해킹이 아닌 '비인가 접근'에 따른 정보 '노출'로, 내부 직원 소행 가능성을 제기하고 있다. 이는 기본적인 비인가 접근 차단 시스템을 갖추지 못했다는 얘기로 관리 소홀 책임을 피하기 어려울 수 있다.

장기 유효 인증키 관리를 최대 10년간 방치했다는 의혹도 나온다. 쿠팡은 이 사실을 전면 부인했지만 인증 담당자에게 발급되는 서명키를 갱신하지 않아 퇴사 직원이 계속 접속할 수 있었다면 기초적인 관리에 구멍이 생겼다는 의미가 된다.

한편 SK텔레콤(017670)의 경우 2324만 4649명의 전화번호, 가입자식별번호, 유심 인증키 등 개인정보를 유출해 지난 8월 개보위로부터 1347억 9100만 원 과징금 처분을 받았다. 현재까지 개보위 과징금 처분으로는 역대 최대다.

Ktiger@news1.kr