• Korea Council of Chief Information Security Officers
      회원안내      

CISO 뉴스

  • HOME
  • CISO 뉴스
  • 최신뉴스

CISO 뉴스

최신뉴스

[쿠팡 해킹] ‘역대급’ 쿠팡 과징금, 과한걸까 적은걸까? 2026.06.16

[3줄 요약]
1. 빅테크 대비 너무 높기도, 적기도... “각국 법적 기준 따른 것”
2. 쿠팡 유출 정보가 민감하지 않다고?... “글쎄”
3. 개인정보위 “원칙과 기준 따라 엄정히 책정”

[보안뉴스 강현주 기자] 3755만명의 개인정보 유출 사고로 쿠팡에 부과된 과징금을 두고 과하다는 지적이 나오고 있다. 반면 오히려 적다는 주장도 일각에서 제기된다. 국내외 타사 사례들과 과징금 액수가 직접 비교되고 있지만, 각 국가별 법적 기준과 유출된 정보의 민감성 등을 따져봐야 될 것으로 보인다.

16일 법조계에 따르면, 쿠팡 모회사인 쿠팡 Inc가 서울행정법원에 법적 구제절차를 밟을 예정이라고 공시했다. 미국 증권거래위원회를 통해 공개된 수시보고서를 통해서다. 지난 11일 개인정보보호위원회가 의결한 6246억8100만원의 과징금에 대한 법적대응을 위해서다.

[출처: 연합]


6246억8100만원은 개인정보위가 부과한 역대 최대 규모다. 이 중 4235억7500만원은 미흡한 인증 서명 키 관리 및 접근통제 소홀로 인해 고객 3755만명의 개인정보를 유출한 것에 대한 것이다. 나머지 2011억600만원은 회원 1100만 여명의 온라인 활동기록을 동의 없이 저장한 것에 대한 것이다.

전체 과징금 6246억8100만원은 지난해 SK텔레콤의 유심 정보 유출에 대한 과징금 1348억원의 4.6배에 달한다. 쿠팡 전체 과징금 중 개인정보 유출로 인한 과징금인 4235억7500만원을 기준으로 비교해도 SKT 과징금의 3배가 넘는다.

이를 두고 쿠팡은 “2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 위원회 결정에 충분히 반영되지 못한 점을 유감스럽게 생각한다”며 행정소송을 예감케 하는 입장을 밝혔다.

빅테크 대비 과하다, 또는 적다?... “각국 법적 기준 달라”
쿠팡 과징금이 ‘과하다’는 주장의 근거 중 하나는 과거 빅테크 기업에 부과한 금액에 비해 훨씬 크다는 점이다. 2025년 9월에는 구글·메타가 이용자 동의 없이 맞춤형 광고 목적으로 개인정보를 수집한 위반행위로 약 1000억원을 부과 받았다. 또 2022년 9월 메타가 개인정보보호법 위반으로 약 216억원을 부과받았다.

마찬가지로 해외 기업 단순 비교를 근거로 오히려 쿠팡 과징금이 너무 적다는 여론도 있다. 메타의 경우 2019년에 이용자 및 그 친구 정보를 소셜로그인 이용앱과 공유한 행위에 대해 미국에서 50만달러(한화 약 7조5600억원)의 과징금을 부과받았다. 또 유럽 이용자 정보를 미국으로 무단 이전한 것에 대해 아일랜드에서 12억유로(한화 약 2조1084억원)을 부과받았다.

이용자 수와 매출이 국내 기업 대비 훨씬 높은 글로벌 기업이라 해도, 국내 과징금 책정 기준은 국내 매출을 기준으로, 또 그 중에서도 위반 사항과 관련된 매출을 기준으로 하기 때문에 금액이 낮을 수 있다. 마찬가지로 빅테크들이 해외에서 조단위의 과징금을 받은 것 역시 해외 법령 상 기준에 따른 것이란 얘기다.

국내 법조계 한 전문가는 “과징금 책정은 각 국가의 법적 기준에 따른 것으로, 국내의 경우 매출을 기준으로 부과하는 것은 부당 이익 환수의 기능이 있는만큼 매출이 높을수록 과징금도 높게 책정된다”며 “그 중에서도 개인정보 유출과 직·간접적 관련이 없는 매출은 제외하게 돼 있다”고 말했다.

이어 “유럽 GDPR 등 해외에서는 글로벌 매출이 기준인 부분도 있는데, 국내 법상 국내에서 발생한 매출이 기준”이라고 설명했다.

민감 정보 아니고 2차 피해 없다?... “설득력 없는 주장”
쿠팡에서 유출된 정보가 민감정보가 아니며, 2차 피해가 확인되지 않았다는 점도 과징금이 과하다는 논리로 제기되고 있다.

일부 시민단체는 “쿠팡에 대한 과징금 제재의 형평성과 비례성 여부를 제대로 따졌는지 살펴봐야 한다”며 “유출된 성명, 이메일, 주소, 전화번호 등은 엄밀한 의미에서 민감정보가 아니고 금융·결제 정보도 아니다”라고 반발했다. 특히 “유출 정보 유통 등 2차 피해가 발생하지 않았고, 유출된 정보의 질을 반영하지 않고, 유출 건수를 기준으로 한 과징금 부과는 과한 측면이 있다”고 지적했다.

하지만 반박 논리가 맞서고 있다. 쿠팡에서 유출된 정보 중 현관 비밀번호, 구매 내역 등이 포함돼 있다. 또 대부분의 개인정보 유출 사고에서 2차 피해가 정확히 확인까지 된 사례는 극히 드물다는 지적이다.

법조계 전문가는 “개인 구매내역 중 건강 상태를 유추해볼 수 있는 영양제나 성적 취향을 추측할 수 있는 정보들은 민감성이 높다고 볼 수 있고, 이 같은 민감성이 쿠팡 과징금 책정에 반영이 이미 됐을 것”이라며 “현관 비밀번호가 유출됐다는 것은 보안이 뚫린것이나 마찬가지”라고 말했다.

이어 “2차 피해증빙이 쉽지 않아 확인된 경우는 극소수며, 확인되지 않았다고 해서 과징금 감경 참작 사유가 되지는 않는다”고 설명했다.

▲국내·외 개인정보 사건 과징금 부과사례 [출처: 개인정보위]


개인정보위 관계자는 “쿠팡 과징금 책정은 일관된 원칙과 기준에 따라 엄정하게 판단했으며, 법령상 가중·감경 기준이 다 나와있다”며 “해외 역시 매출액을 기준으로 과징금을 부과하고 있으며 유럽 등에서 이번 쿠팡 과징금보다 더 높은 금액을 부과받은 기업들의 해외 사례가 충분히 있다”고 말했다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>