개인정보보호위원회가 쿠팡 개인정보 유출 의혹에 대한 조사를 마치고 제재 절차에 들어간 것으로 확인됐다. 업계에서는 이르면 6월 중 쿠팡에 대한 최종 제재 수위가 결정될 수 있다는 관측이 나온다.
11일 보안업계 등에 따르면 개인정보위는 쿠팡 개인정보 유출 사건 조사를 마무리하고 지난 4월 초 쿠팡에 처분 사전통지서를 보냈다. 해당 통지서에는 개인정보 보호법 위반으로 판단한 사항과 예정된 처분 내용 등이 담긴 것으로 알려졌다.
개인정보위 조사 및 처분에 관한 규정에 따르면 조사관은 조사 결과보고서를 바탕으로 예정 처분 내용을 당사자에게 미리 알리고, 14일 이상의 기간을 정해 의견 제출 기회를 제공해야 한다. 사전통지서에는 처분 사유가 되는 사실관계와 예정 처분, 적용 법령, 의견 제출 기한 등이 포함된다. 다만 구체적인 과징금 규모는 통상 사전통지서에 명시되지 않는 것으로 전해진다.
쿠팡은 사전통지서를 받은 뒤 의견 제출 기한 연장을 요청했고, 개인정보위는 이를 받아들였다. 이후 쿠팡은 의견서를 통해 개인정보위의 전반적인 처분 방향에 동의하기 어렵다는 취지의 입장을 낸 것으로 알려졌다. 현재는 개인정보위가 쿠팡 측 의견서를 검토한 뒤 전체회의에 안건을 올리는 절차만 남은 상태다.
개인정보위 전체회의는 이달 13일과 27일 예정돼 있지만, 13일 회의에는 쿠팡 관련 안건이 상정되지 않는 것으로 확인됐다. 다만 개인정보위가 상반기 내 사건 처리를 마무리하는 방향으로 내부 방침을 세운 것으로 알려지면서, 업계 안팎에서는 이르면 6월 중 제재 수위가 확정될 가능성에 무게를 두고 있다.
피해 규모가 큰 만큼 쿠팡에 역대 최대 수준의 과징금이 부과될 수 있다는 전망도 제기된다. 과학기술정보통신부 민관합동조사단 발표에 따르면 쿠팡 '내 정보 수정 페이지'에서 이용자 성명과 이메일이 포함된 개인정보 3367만3817건이 유출된 것으로 확인됐다.
현행 개인정보보호법은 개인정보 유출 사고가 발생한 경우 직전 3개년 평균 매출의 최대 3%까지 과징금을 부과할 수 있도록 하고 있다. 앞서 고의나 중과실로 대규모 개인정보 유출이 발생한 경우 전체 매출액의 최대 10%까지 과징금을 매길 수 있는 '징벌적 과징금 특례'가 담긴 개인정보보호법 개정안이 국회를 통과했지만, 시행 시점이 오는 9월이라 이번 쿠팡 사건에는 적용되지 않는다.
쿠팡 모회사 쿠팡Inc의 지난해 매출은 약 49조원이다. 여기에 3%를 단순 적용하면 법정 최대 과징금은 약 1조5000억원 수준이다.
다만 업계에서는 실제 과징금이 이 규모에 이를 가능성은 크지 않다고 보고 있다. 위반 행위와 직접 관련이 없는 매출액은 산정 대상에서 제외해야 하고, 고시에 따른 감경 요소도 반영되기 때문이다.
현재까지 개인정보위가 부과한 역대 최대 과징금은 지난해 SK텔레콤(017670) 유심 정보 유출 사고 당시 부과된 약 1348억원이다.