쿠팡 개인정보 유출 사건이 단순 사고를 넘어 한국 개인정보 규제 체계를 시험대에 올려놓고 있다. 유출 규모는 컸지만 결제정보나 로그인 정보 등 금전 피해로 이어질 수 있는 민감 데이터가 포함되지 않았다는 점에서, 정부와 정치권이 검토 중인 제재 수준이 합리적인지에 대한 논쟁이 확산되고 있다. 

업계에 따르면 현재까지 확인된 쿠팡 유출 정보는 이름, 이메일, 배송지 주소, 일부 주문 내역 등이다. 경찰 수사에서도 유출 정보가 실제 계정 탈취나 금융 사기로 연결된 정황은 확인되지 않았다는 발표가 이어졌다. 

데이터 보호 전문가들은 “정보 유출의 심각성을 단순히 ‘규모’로 판단하기보다 데이터 유형과 피해 가능성을 기준으로 평가해야 한다”고 지적하지만 정부 대응 기조는 빠르게 확전되고 있다. 개인정보보호위원회는 유출 사실 공개 직후 긴급 조사에 착수했고, 국회에서는 영업정지·징벌적 손해배상 적용을 포함한 ‘쿠팡 규제 패키지’ 입법이 논의 테이블에 올랐다. 개인정보보호법상 과징금 부과 상한은 기업 매출의 최대 3%인데, 쿠팡 최근 3개년 매출 기준으로 계산할 경우 최대 8900억 원까지 가능하다는 분석이 나온다.

여기에 영업정지까지 논의되는 상황을 두고, 산업계에서는 “형평성의 문제”를 제기하고 있다. 불과 수개월 전 ▲SKT의 유심 인증키 대규모 유출 ▲KT 소액결제 인증 우회 해킹 사고 당시 정부 대응 수위는 현재보다 낮았다. SKT는 최대 3000억 원 과징금 가능성이 제기됐으나 감경돼 1348억 원이 부과됐고, KT 또한 아직 최종 제재 수준이 정해지지 않았다. 반면 쿠팡의 경우 유출 정보 민감도·2차 피해 사례 여부와 관계 없이 제재 논의가 최상단에서 시작되고 있다는 것이다.

업계 한 관계자는 “통신망 인증키나 본인확인 데이터는 금융 사고로 직결될 수 있는 고위험 정보지만, 쿠팡은 결제정보 등이 포함되지 않은 범위”라며 “규제 기준이 리스크 기반이 아니라 ‘시장 영향력 기반’으로 움직이는 것 아니냐는 의심이 생길 수밖에 없다”고 말했다.

다만 강경 대응이 필요하다는 시각도 존재한다. 반복되는 정보 유출 사고로 개인정보 보호 체계 전반에 대한 신뢰가 흔들리고 있고, 생활밀착형 플랫폼의 정보 노출은 기존 금융 정보 유출과는 다른 유형의 현실적 위험을 만들 수 있다는 이유에서다. 

결국 논쟁의 핵심은 단순하다. 개인정보 규제 기준은 ▲유출 규모 ▲데이터 민감도 ▲실제 피해 ▲기업 대응 태도 중 무엇을 중심에 둬야 하는가다. 지금까지 한국의 개인정보 규제는 사건이 아니라 ‘기업의 위상’을 기준으로 움직였다는 비판과, 이번 사태를 계기로 규제 철학을 재정립해야 한다는 요구가 충돌하고 있다.

한 법조계 관계자는 “쿠팡 사태는 단순 보안 실패가 아니라 한국의 개인정보 규제가 무엇을 보호하고, 어디까지 책임을 묻고, 어떤 산업을 만들 것인지에 대한 질문”이라며 “정말 필요한 것이 제재라면, 그 전에 기준이 먼저 세워져야 한다”고 말했다.
 

[ 경기신문 = 박민정 기자 ]