"쿠팡, 3,370만 계정 유출"…최대 1조 과징금 위기

<출처 : 쿠팡>

 

사상 최대 개인정보 유출…“대한민국 경제활동인구보다 많다”

국내 최대 이커머스 기업 쿠팡이 3,370만 개 고객 계정 정보 유출이라는 초유의 사태를 일으켰다.
이 숫자는 대한민국 경제활동인구(약 2,969만 명)를 넘어서는 규모로, 사실상 국민 절반 이상이 피해자일 가능성이 있다.

법조계는 이번 사안을 “국내 개인정보보호 역사상 최악의 사건”으로 규정하며,
쿠팡이 역대 최대 과징금(최대 1조2,300억 원)을 부과받을 수 있다고 전망했다.

---

 “피해는 국민, 책임은 기업” — 과징금 1조 원 현실화될까

현행 개인정보보호법 제64조는 기업이 개인정보를 유출할 경우
전년도 전체 매출액의 최대 3%까지 과징금 부과를 허용한다.

쿠팡의 2024년 매출은 약 41조 원.
따라서 단순 산술상 최대 과징금은 1조 2,300억 원에 달한다.

“쿠팡의 사업구조상 유출된 개인정보는 거의 전 사업영역에서 활용된 것으로 봐야 한다.
위반 행위와 무관한 매출을 제외하기 어렵다.”
— 홍대식 서강대 법학전문대학원 교수

이는 과거 SK텔레콤(1347억 원 과징금)의 10배가 넘는 규모다.

---

감경 여지는 있으나…“안전조치 의무 위반 드러나면 가중 가능성”

쿠팡은 정보보호 관리체계(ISMS-P) 인증 기업으로,
이 인증이 감경 사유로 인정될 경우 과징금은 약 50% 줄어들 수 있다.

하지만, 전문가들은 감경은 쿠팡의 대응 태도와 조사 결과에 달렸다고 지적한다.

“소비자 피해가 실제로 확인되거나,
쿠팡의 안전조치 의무 위반이 명백해지면 감경은 어렵다.”
— 최경진 가천대 교수 (AI·데이터정책연구센터장)

반대로, 쿠팡이 보안 인력 교육·피해보상 방안 등 적극적인 조치를 제시하면
과징금은 3,000억~4,000억 원 수준으로 완화될 가능성도 있다.

---

반복되는 유출, 반복되는 변명…제도는 여전히 허술

한국에서 대형 개인정보 유출은 ‘연례행사’처럼 반복되고 있다.
통신, 카드사, 게임사, 포털, 배달앱, 그리고 이제는 이커머스까지.

하지만 매번 기업들은 “유감” “재발방지 대책 마련”이라는 동일한 멘트를 내놓는다.
그 사이 피해자는 비밀번호를 바꾸고, 신용조회에 불안해하며,
결국은 아무런 구제도 받지 못한 채 끝난다.

---

해외는 이미 ‘징벌적 과징금’ 시대

EU의 GDPR(일반개인정보보호규정)은 훨씬 더 엄격하다.

• 위반 시 매출의 4% 또는 최대 2,000만 유로 중 높은 금액 부과
• 2021년 룩셈부르크는 아마존에 7억4600만 유로(약 1조2700억 원) 과징금 부과
• 미국 FTC는 2019년 페이스북에 50억 달러(약 7조3400억 원) 과징금 부과

한국의 제도는 아직까지 “솜방망이”에 머물러 있다.

“소비자가 체감할 수 있는 제재가 있어야 한다.
그렇지 않으면 기업은 과징금을 단순 ‘영업비용’으로 인식할 뿐이다.”
— 박지순 고려대 법학전문대학원 교수

---

문제의 본질  : “보안은 비용이 아니라 신뢰다”

쿠팡의 문제는 단지 기술적 관리 실패가 아니다.
그것은 ‘보안에 대한 인식 부재’, 즉 “보안은 비용”이라는 사고방식의 결과다.

개인정보는 단순한 데이터가 아니다.
그것은 소비자의 신뢰이며, 기업 생태계의 근간이다.
국민 3,000만 명의 정보가 흘러나간 순간,
그 신뢰는 이미 돌이킬 수 없이 무너졌다.

---

맺음말  : “1조 원 과징금보다 무거운 것은 신뢰의 붕괴”

이번 사태는 단순한 사고가 아니다.
그것은 한국 디지털 산업의 신뢰 위기다.

쿠팡은 이제
“얼마를 내느냐”가 아니라
“어떻게 책임질 것이냐”를 답해야 한다.

기업의 신뢰는 서버실이 아니라, 소비자의 마음에서 지켜지는 법이다.