지난 2023년에도 개인정보 유출 사고가 발생했던 쿠팡은 개인정보보호위원회가 산정한 과징금을 여러 차례 조정을 거쳐 기준금액의 1/3만 부과받은 것으로 나타났다.

3일 국회 정무위원회 한창민 의원(사회민주당)이 개인정보위 제출 자료를 재구성해 분석한 결과, 개인정보위가 당시 산정한 과징금 기준금액은 약 39억4000만원이었지만 조정·감경 절차를 거치며 최종 부과액이 13억1000만원으로 줄었다.

쿠팡은 2023년 12월 판매자 전용 시스템 ‘윙(Wing)’ 로그인 과정에서 오류가 발생해 2만2440명의 주문자·수취인 개인정보가 다른 판매자에게 노출되는 사고를 일으켰다.

당시 개인정보보호위는 직전 3개 사업연도의 평균 매출액에 ‘약한 위반행위’에 해당하는 비율인 0.47%를 적용해 기준금액을 산정했다.

이후 1차 조정에서는 위반 기간이 1년 초과 2년 이내라는 점이 고려돼 25% 가중이 이뤄졌고, 반대로 이득 취득이 없다는 사정이 인정돼 30% 감경이 적용되면서 조정액은 약 37억4300만원으로 낮아졌다.

이어 과징금 기준금액은 시정 조치 완료, 조사 협력, ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 보유, 자율규약 운영 등이 2차 조정 사유로 인정되면서 총 50% 감경이 적용돼 과징금은 18억7150만원 수준으로 줄었다.

마지막으로 사고가 재해복구 테스트 과정에서 발생한 점과 정보보호 투자 노력 등이 고려돼 30% 추가 감경이 이뤄지면서 최종 부과액은 13억1000만원으로 확정됐다.

한 의원은 “2차 조정에 반영된 사유들은 기업이 당연히 수행해야 할 기본적 의무에 가깝다”며 “그런데도 이를 근거로 대폭 감경이 반복되는 것은 제도 취지와 맞지 않는다”고 지적했다.

그러면서 “ISMS-P 인증은 일정 규모 이상 기업이 의무적으로 받아야 하는 제도인데, 인증 보유만으로 최대 50% 감경 혜택을 주는 것은 납득하기 어렵다”며 관련 감경 규정의 폐지를 촉구했다.

장세풍 기자 spjang@naeil.com