4500명이라더니 3370만 명? 7500배 축소 신고한 쿠팡, 역대급 과징금 맞을 판

국내 이커머스 1위 쿠팡의 개인정보 유출 사태가 새로운 국면을 맞았다. 당초 쿠팡은 피해 규모를 약 4500개 계정 수준이라고 신고했지만, 정밀 조사 결과 그 숫자는 무려 3370만 개로 불어났다.

단순 계산으로도 초기 발표보다 약 7500배나 많은 수치다. 법조계에서는 쿠팡의 이러한 '고무줄 신고' 행태가 법적으로 소위 '괘씸죄'에 해당해, 역대급 과징금 철퇴를 맞을 결정적 트리거가 될 것으로 보고 있다.

법전에 없는 '괘씸죄', 과징금 산정 기준엔 있다

법률 용어 사전에 '괘씸죄'라는 단어는 없다. 하지만 행정처분과 재판 과정에서 피고인의 태도는 형량을 결정하는 핵심 변수다.

개인정보 보호법 시행령은 과징금 산정 시 위반행위의 내용 및 정도와 조사 협조 여부를 고려하도록 규정한다. 쿠팡이 초기 피해 규모를 4500명으로 축소해 신고한 행위가 단순 실수가 아니라, 파장을 줄이기 위한 '의도적 축소'나 '부실 조사'로 판명될 경우, 이는 명백한 과징금 가중 사유가 된다.

법률 전문가들은 "초기 신고와 최종 결과의 차이가 이토록 큰 것은 통상적인 오차 범위를 넘어선다"며 "이는 정보주체(고객)들이 비밀번호 변경 등 2차 피해를 막을 골든타임을 놓치게 만든 중대한 과실"이라고 지적했다.

"유출 아닌 노출" 말장난… 관리 소홀 책임, 말장난으로 못 피해

쿠팡 측은 이번 사고를 '해킹에 의한 유출'이 아니라 '비인가 조회에 의한 노출'이라며 의미를 축소하려는 모습을 보이고 있다.

하지만 법원의 시각은 냉정하다. 대법원 판례는 개인정보처리자가 관리·감독 의무를 소홀히 하여 정보가 밖으로 나갔다면, 그것이 해킹이든 내부 직원의 소행이든 손해배상 책임을 엄격하게 묻고 있다(대법원 2011다59834 판결).

특히 이번 사건의 유력한 용의자로는 중국 국적의 전 직원이 지목되고 있다. 내부자가 3000만 건이 넘는 정보를 빼돌리는 동안 보안 시스템(DLP)이 작동하지 않았거나 이를 방치했다면, 이는 기술적 보호 조치를 위반한 명백한 법 위반이다.

SKT 1347억 넘어서나… '조 단위' 과징금 가능성도

결국 관심은 돈으로 쏠린다. 지금까지 개인정보 유출로 인한 역대 최대 과징금은 SK텔레콤의 1347억 원이었다.

하지만 쿠팡은 이 기록을 갈아치울 가능성이 높다. 개인정보 보호법 개정으로 과징금 상한액이 전체 매출액의 3%로 대폭 상향됐기 때문이다. 쿠팡의 연간 매출을 약 38조 원으로 추산할 때, 이론상 과징금은 1조 원을 넘길 수도 있다.

물론 실제 부과액은 여러 감경 사유를 적용해 낮아지겠지만, ▲피해 규모가 전 국민의 대다수에 달한다는 점 ▲내부 통제 실패 가능성이 크다는 점 ▲초기 축소 보고로 혼란을 키웠다는 점(괘씸죄)이 더해져 전례 없는 철퇴가 내려질 것이라는 게 중론이다.

한편, 쿠팡은 이번 사고로 이름과 배송지 등이 노출됐으나 결제나 로그인 정보 같은 민감한 금융 정보는 포함되지 않았다고 선을 그었다. 이에 따라 고객들이 별도로 계정 정보를 변경할 필요는 없다는 입장이며, 박대준 대표가 직접 나서 사과하고 내부 보안 강화와 수사 협조를 약속했다.