[서울이코노미뉴스 박희만 기자] 최근 1년사이 국내에서 발생한 개인정보 유출규모가 6000만건을 넘어선 것으로 추산되는 가운데, 기업들의 보안의식 부재 이면에 ‘솜방망이 처벌’이 자리하고 있다는 비판이 거세지고 있다.
기업들의 반복적인 사고에도 제재가 사실상 유효하게 작동하지 않자, 징벌적 손해배상 제도 강화를 요구하는 목소리도 커지고 있다.
대통령실 역시 기업의 명백한 책임이 인정되는 경우, 제도가 실효성 있게 작동하도록 개선해야 한다고 주문했다.
2일 과학기술정보통신부와 업계 등에 따르면, 쿠팡은 이번 사고로 총 3370만개 계정에서 이름·연락처·주소·주문이력 등이 유출됐다.
이번 사고는 악성코드 감염방식이 아니라, 퇴사 직원이 사내 시스템에 비정상적으로 접속해 정보를 빼낸 것으로 드러났다.
한 IT 업계 관계자는 “사실상 한 명이 모든 가입자 정보를 조회하고 내려받을 수 있었다는 점에서 관리체계가 기본수준에도 못 미쳤다는 의미”라며 “직원별 접근권한 세분화, 데이터베이스 분산, 퇴직자의 인증키 즉시 말소 등 최소한의 보안 절차조차 이뤄지지 않았다”고 지적했다.
강훈식 대통령 비서실장은 전날 열린 수석보좌관회의에서 과기정통부와 개인정보보호위원회에 근본적 제도보완과 현장점검 체계 재정비, 기업 보안역량 강화책을 신속히 마련하라고 지시했다.
전은수 대통령실 부대변인은 “강 비서실장이 ‘앞으로 데이터는 기업 경쟁력의 핵심인데, 겉으로는 엄격한 보안체계를 강조하면서 실제로는 뒷문이 활짝 열린 상태’라고 비판했다”고 전했다.
그는 “징벌적 손해배상제도가 거의 작동하지 않는 현실도 대규모 사고를 막지 못한 원인”이라고 덧붙였다.
쿠팡의 정보유출 사고는 이번이 처음이 아니다.
쿠팡은 지난 2020~2021년 쿠팡이츠 배달기사 정보 유출, 2021년 앱 업데이트 중 테스트 부실로 인한 유출, 2023년 판매자 전용시스템 접근 사고 등으로 약 18만건의 개인정보를 잃어버린 바 있다.
그럼에도 기본 보안조차 제대로 갖추지 못한 채 또다시 대규모 사고가 발생하면서 비판여론은 더욱 거세지고 있다.
특히 한국에서 사업을 영위하지만 모기업이 미국에 있는 구조 속에서 “과연 미국에서도 이런 수준의 보안관리가 가능했겠느냐”는 문제 제기도 나온다.
해외 주요국은 개인정보 유출에 강력한 징벌적 조치를 적용하고 있다.
독일은 EU 일반개인정보보호규정(GDPR)과 연방정보보호법(BDSG)에 따라 중대한 위반시 최대 2000만유로(약 341억원) 또는 전 세계 연 매출의 4% 중 더 큰 금액을 과징금으로 부과할 수 있다.
싱가포르 또한 연 매출 1000만싱가포르달러(약 113억원) 이상 기업에 대해 위반시 연 매출의 10% 또는 100만싱가포르달러(약 11억원) 중 더 큰 금액을 과징금 상한으로 적용하고 있다.
쿠팡 모회사 쿠팡 Inc가 위치한 미국은 더욱 강력하다. 지난 2019년 미국 연방거래위원회(FTC)는 이용자 8700만명의 개인정보를 무단 활용한 페이스북(현 메타)에 50억달러(약 7조3460억원)의 징벌적 과징금을 부과했다.
지난 2021년 T모바일은 고객 7660만명 정보유출 집단소송에서 약 3억5000만달러(약 5142억원)를 배상하기로 합의했다.
반면, 국내 제도는 사실상 행정 과징금에 일부 가중·감경을 적용하는 수준에 머물러 있다.
현행 개인정보보호법은 ‘손해액의 5배 이내’의 배상만 규정하고 있으며, 과징금 역시 반복성·중대성 등을 고려한 증감에 그친다.
개인정보보호위원회는 지난 10월 △반복유출 기업 과징금 가중요건 구체화 △과징금 상향 및 징벌적 과징금 도입 검토 △온라인 불법 개인정보 유통에 대한 형사처벌 규정 마련 등을 논의하는 태스크포스(TF)를 출범시켰다.
정부가 중장기적으로 현행 제재체계를 한 단계 강화하겠다는 의지를 보인 것으로 해석된다.