개보위 부위원장 "쿠팡, '유출'인데 '노출'로 통지…문제 있어"(종합)

(세종=연합뉴스) 차민지 오진송 기자 = 이정렬 개인정보보호위원회 부위원장은 2일 쿠팡의 3천370만개 계정 정보 유출과 관련해 최대 1조원대 과징금 부과 가능성에 대해 "중점적으로 검토하고 있다"고 밝혔다.

이 부위원장은 이날 국회 과학기술정보방송통신위원회의 현안 질의에서 '결론적으로 1조원 이상 과징금이 부과될 수 있는 것 아닌가'라고 조인철 더불어민주당 의원이 묻자 "유출 등에 해당하기 때문에 과징금 부과 대상이라고 판단된다"며 이같이 답했다.

그러면서 "안전성 확보 조치 기준을 모두 충족한 경우에만 일부 면책이 가능한데, 이 부분의 입증 책임은 쿠팡에 있다"며 "매출액 규모 확정뿐 아니라 위반 행위의 중대성 등을 함께 고려해 위원회에서 종합적으로 결정할 예정"이라고 덧붙였다.

개인정보보호법은 개인정보 유출 시 전체 매출의 최대 3%까지 과징금을 부과할 수 있도록 규정한다. 다만 유출 사안과 무관한 매출액은 산정 기준에서 제외될 수 있다.

쿠팡의 지난해 매출액은 41조원으로, 최대 비율인 3%를 적용할 경우 과징금 규모는 1조2천억원 이상으로 추산된다.

최수진 국민의힘 의원은 '쿠팡의 앞선 지난 세 차례 유출 사고에 대한 과징금·과태료가 16억원 수준에 그쳤는데 너무 솜방망이 아닌가'라고 질타했다.

이에 대해 이 부위원장은 "기존 3건의 유출 사고에 대해 이미 처분한 바 있지만, 작은 처분이었다고 생각한다"며 "실정에 비례하게 엄중히 책임을 물을 수 있는 방안을 적극 검토하겠다"고 밝혔다.

또 최 의원이 쿠팡이 ISMS-P 인증을 두 차례나 받았다는 점을 지적하자, 이 부위원장은 "정무위에서도 여러 위원님이 같은 문제를 지적해 내부 연구반을 구성해 제도 개선을 막바지 단계에서 논의 중"이라며 "조만간 전면적인 개편 방안을 보고드리겠다"고 말했다.

그는 "ISMS-P 예비심사 도입을 집중적으로 검토하고 있다"며 "사후 모니터링 과정에서 중대한 하자가 확인될 경우 인증 취소를 포함한 제재 수단을 강화하는 방향으로 전체 제도를 다시 뜯어고치고 있다"고 설명했다.

ISMS-P 인증은 과기정통부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다.

앞서 쿠팡에서는 최근 발생한 대규모 유출 사고 이전에도 세 차례 개인정보 유출이 발생한 바 있다.

2021년 10월에는 앱 업데이트 과정에서 테스트를 소홀히 하면서 총 14건의 개인정보가 외부로 노출됐다.

2020년 8월부터 2021년 11월까지는 쿠팡이츠 배달원 13만5천명의 실명과 전화번호 등이 음식점에 그대로 전달되는 문제가 이어졌다.

2023년 12월에는 판매자 전용 시스템 '윙(Wing)'에서 로그인 오류가 발생해 특정 판매자에게만 보여야 했던 주문자·수취인 2만2천440명의 개인정보가 다른 판매자에게 노출되는 사고도 있었다.

이 부위원장은 쿠팡이 이용자 통지에서 '유출'이 아닌 '노출'이라는 표현을 사용한 것과 관련해서는 "쿠팡 측에서 개인정보를 '노출'로 통지한 부분에 문제가 있다고 판단한다"며 "누가 봐도 유출로 보이는 사안인 만큼 제대로 된 통지가 필요하다"고 말했다.

그러면서 "그 부분까지 포함해 조사하겠다"며 "아주 민감한 정보들에 대해서는 (통지 문구를) 바로 바꿀 수 있도록 쿠팡 측과 긴밀히 협의하겠다"고 덧붙였다.

이 부위원장은 또 이주희 민주당 의원이 '대통령실이 징벌적 손해배상제도를 기업 책임이 명백한 경우 실효성 있게 검토하라고 지시했다'고 언급하자 "징벌적 수준의 과징금과 손해배상 제도를 지금보다 어떻게 강화할 것인지 검토하고 있다"며 "피해자 구제가 실효성 있게 작동하도록 관련 제도를 살펴보고 있다"고 답했다.

chacha@yna.co.kr, dindong@yna.co.kr

(끝)

<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>