30일 업계에 따르면 지난 29일 쿠팡의 개인정보 유출 규모가 확대됨에 따라 과학기술정보통신부와 개인정보보호위원회 등은 민관합동조사단을 구성해 사고 원인 분석 등 강도 높은 조사에 착수했다. 쿠팡은 지난 18일 약 4500개 계정의 정보가 무단 노출된 사실을 확인해 관계기관에 신고했으나 조사 과정에서 유출 규모는 이의 7500배에 달하는 3370만개로 늘어났다.
이는 쿠팡의 월간 활성 이용자 수(약 3200만명)보다 많은 규모다. 지난 8월 발생했던 SK텔레콤의 개인정보 유출 사고(2324만명)보다 약 1.5배 크다. 유료 멤버십 특성상 가족들이 한 계정을 공유하거나 회사 등으로 배송지를 바꿔 가면서 주문하는 경우도 많아 피해 규모는 더욱 늘어날 수 있다.
업계에서는 이번 사고로 인해 쿠팡이 받게 될 과징금이 역대 최고치를 경신할 것으로 보고 있다. 기존의 최대 기록은 SK텔레콤의 1347억9100만원이다.
2023년 개정된 개인정보보호법에 따르면 관련법을 위반했을 경우 전체 매출액의 3%까지 과징금이 부과될 수 있다. 쿠팡의 지난해 연매출은 41조2901억원, 올해 3분기까지 누적 매출은 36조원을 넘어섰다.
여기에서 대만·파페치 등 이번 개인정보 유출 사고와 관련없는 사업 매출을 제외한 금액이 과징금 산정 기준이 된다. 대만 등 해외 사업부문의 매출이 10% 안팎이라는 점을 고려하면 과징금 산정 기준 매출은 약 35억원이다. 이론상 1조원 이상의 과징금 부과가 가능한 셈이다.
다만 최종 과징금은 개인정보 유출 사고 관련 매출에 감경요소를 더해 산출되므로 조사 결과에 따라 과징금 규모가 조정될 여지가 있다. SKT는 ▲사고의 직접적 원인이 다수의 안전조치의무 위반이라는 점 ▲가입자 인증에 필요한 핵심 정보(유심 인증키 등)가 유출된 점 ▲약 2300만명의 대규모 개인정보가 유출된 점 등이 과징금 가중요소로, ▲외부 해킹 공격이라는 점 ▲위반행위를 시정했다는 점 ▲유심보호서비스 등 피해 회복을 위해 노력했다는 점 등이 감경 요소로 작용했다.
이번 사고가 외부 공격이 아닌 내부 직원의 소행이라 정보 유출 책임이 쿠팡에 있다는 점이 가장 불리하게 작용할 것으로 보인다. 주소·전화번호·주문정보 결합 시 스미싱 등 2차 피해 우려가 크고 사고 발생 이후 5개월이 지나서야 인지 및 신고가 이뤄졌다는 점도 가중 요소로 판단된다.
엄홍열 순천향대 정보보호학과 교수는 "과징금은 법적으로 (매출의) 3%까지 처분할 수 있는데 조사 결과에 따라 가감하는 조치가 이뤄진다"며 "SKT는 매출의 1%가 적용돼 약 1330억원을 부과받았는데, 쿠팡의 매출 규모를 고려하면 산술적으로는 조단위도 가능해 보인다"고 말했다. 그러면서 "우리나라뿐 아니라 전 세계에서도 역대급 과징금이 될 수 있다"고 덧붙였다.
염 교수는 이번 사건에 대해 "해킹과 달리 내부자의 불법 행위에 의해 발생했고 규모가 역대급이라는 점에서 남다른 사고"라며 "유출된 정보를 바탕으로 한 2차 피해 가능성도 있어 소비자들이 경각심을 가져야 한다"고 당부했다.
<저작권자 © ‘재테크 경제주간지’ 머니S, 무단전재 및 재배포 금지>