개인정보보호위원회가 쿠팡에 개인정보 유출 사건과 관련 역사상 최대 금액인 6247억원을 부과하면서 그 배경에 관심이 쏠리고 있다. 이는 직전까지 최대 액수였던 SK텔레콤의 해킹 사건 관련 과징금 1347억원의 4배가 넘는 액수다.
여기에는 양사의 매출 차이가 가장 큰 요인이 됐다. 쿠팡의 이커머스 관련 매출이 SKT의 이동통신 매출을 2배 이상 상회했기 때문이다. 추가로 과징금의 가중, 감경요소의 판단이 극적인 차이를 만들었다는 분석이다.
11일 개인정보위에 따르면 쿠팡의 개인정보 유출과 관련해서 역대 최대 규모 과징금을 내리게 된 근거는 이커머스 부문의 매출이 결정적이다. 개인정보보호법에서는 개인정보 유출 사고 발생시, 안전조치 의무 위반 등이 확인될 경우 전체 매출의 3%를 초과하지 않는 범위 내에서 과징금을 산정하게 돼 있다.
쿠팡의 경우에는 2024년 매출 36조원 중 이커머스와 무관한 사업을 제외한 30조원의 매출이 과징금 부과 기준이 됐다. 반면, SKT는 2024년 매출 중 무선통신사업 매출 12조7700억원이 개인정보 유출과 관련된 매출로 인정받았던 것을 고려하면 과징금 대상 매출이 2배 이상 차이가 있었던 것.
피해 규모도 SKT의 경우 2324만명의 개인정보 유출이 있었지만 쿠팡은 3755만명에 달했다.
양사 모두 개인정보 유출에 대해선 ‘중대한 위반행위’로 판단됐지만 희비를 가른 것은 감경·가중요소였다.
개인정보위는 SKT의 위반행위 기간이 2년 이상 장기간 지속된 점 등을 고려해 일부 가중했다. 하지만 SKT가 유출사고 관련 위반행위를 시정한 점, 이용자의 피해 회복을 위해 노력한 점, 기타 개인정보 보호 노력 등을 고려해 일부 감경을 적용했다.
쿠팡의 경우에는 과정에서 비상용 대체 인증 시스템의 마스터키 관리 실패, 개인정보가 담긴 페이지와 일반 상품 페이지의 이상 트래픽 차단 기준을 동일하게 설정해 침입 탐지에 실패한 점이 가중요소로 고려됐다. 감경요소로 반영된 쿠팡의 보상 프로그램에 대해서는 얼마나 집행됐는지를 쿠팡이 공개하지 않으면서 일부만 반영됐다.
특히 쿠팡의 조사 방해가 구체적으로 확인된 것은 상당한 가중요소로 반영됐다. 개인정보위는 조사 착수 즉시 사고 관련 접속기록 등 각종 증거자료의 보전을 명령했음에도 쿠팡은 약 5개월 분량의 웹 접속 로그를 수동 삭제했다. 자사의 로그 자동 삭제 정책을 중단하지 않아 유출 규모 및 피해 범위 확인을 어렵게 했다. 이에 대해서는 별도의 고발 조치도 예고됐다.
결과적으로 SKT의 매출대비 과징금은 1.05% 규모에 그친 반면 쿠팡의 매출대비 과징금은 2.08%에 달했다. 쿠팡의 가중 요소가 SKT와 과징금 비율을 두 배 가량 끌어올린 셈이다.
개보위 측은 쿠팡의 과징금과 SKT 사건을 직접 비교하는 것은 신중해야 한다는 입장이다.
개보위 관계자는 “SKT 사건과 쿠팡 사건은 위반행위나 특성들이 다르기 때문에 단순히 비교할 수는 없다”며 “과징금이 매출액의 3%라고 돼 있지만 실제로 가중·감경 요소를 다 고려해, 현실적으로는 그렇게 나오게 설계돼 있지는 않다”고 말했다.
여기에는 양사의 매출 차이가 가장 큰 요인이 됐다. 쿠팡의 이커머스 관련 매출이 SKT의 이동통신 매출을 2배 이상 상회했기 때문이다. 추가로 과징금의 가중, 감경요소의 판단이 극적인 차이를 만들었다는 분석이다.
11일 개인정보위에 따르면 쿠팡의 개인정보 유출과 관련해서 역대 최대 규모 과징금을 내리게 된 근거는 이커머스 부문의 매출이 결정적이다. 개인정보보호법에서는 개인정보 유출 사고 발생시, 안전조치 의무 위반 등이 확인될 경우 전체 매출의 3%를 초과하지 않는 범위 내에서 과징금을 산정하게 돼 있다.
쿠팡의 경우에는 2024년 매출 36조원 중 이커머스와 무관한 사업을 제외한 30조원의 매출이 과징금 부과 기준이 됐다. 반면, SKT는 2024년 매출 중 무선통신사업 매출 12조7700억원이 개인정보 유출과 관련된 매출로 인정받았던 것을 고려하면 과징금 대상 매출이 2배 이상 차이가 있었던 것.
피해 규모도 SKT의 경우 2324만명의 개인정보 유출이 있었지만 쿠팡은 3755만명에 달했다.
양사 모두 개인정보 유출에 대해선 ‘중대한 위반행위’로 판단됐지만 희비를 가른 것은 감경·가중요소였다.
개인정보위는 SKT의 위반행위 기간이 2년 이상 장기간 지속된 점 등을 고려해 일부 가중했다. 하지만 SKT가 유출사고 관련 위반행위를 시정한 점, 이용자의 피해 회복을 위해 노력한 점, 기타 개인정보 보호 노력 등을 고려해 일부 감경을 적용했다.
쿠팡의 경우에는 과정에서 비상용 대체 인증 시스템의 마스터키 관리 실패, 개인정보가 담긴 페이지와 일반 상품 페이지의 이상 트래픽 차단 기준을 동일하게 설정해 침입 탐지에 실패한 점이 가중요소로 고려됐다. 감경요소로 반영된 쿠팡의 보상 프로그램에 대해서는 얼마나 집행됐는지를 쿠팡이 공개하지 않으면서 일부만 반영됐다.
특히 쿠팡의 조사 방해가 구체적으로 확인된 것은 상당한 가중요소로 반영됐다. 개인정보위는 조사 착수 즉시 사고 관련 접속기록 등 각종 증거자료의 보전을 명령했음에도 쿠팡은 약 5개월 분량의 웹 접속 로그를 수동 삭제했다. 자사의 로그 자동 삭제 정책을 중단하지 않아 유출 규모 및 피해 범위 확인을 어렵게 했다. 이에 대해서는 별도의 고발 조치도 예고됐다.
결과적으로 SKT의 매출대비 과징금은 1.05% 규모에 그친 반면 쿠팡의 매출대비 과징금은 2.08%에 달했다. 쿠팡의 가중 요소가 SKT와 과징금 비율을 두 배 가량 끌어올린 셈이다.
개보위 측은 쿠팡의 과징금과 SKT 사건을 직접 비교하는 것은 신중해야 한다는 입장이다.
개보위 관계자는 “SKT 사건과 쿠팡 사건은 위반행위나 특성들이 다르기 때문에 단순히 비교할 수는 없다”며 “과징금이 매출액의 3%라고 돼 있지만 실제로 가중·감경 요소를 다 고려해, 현실적으로는 그렇게 나오게 설계돼 있지는 않다”고 말했다.