[논평] 쿠팡 개인정보 유출 제재, 책임은 묻되 비례 원칙에 따라야 한다
-
글쓴이
자유기업원 2026-06-11
-
- [자유기업원 논평] 쿠팡 개인정보 유출 제재, 책임은 묻되 비례 원칙에 따라야 한다.pdf
개인정보보호위원회가 쿠팡 개인정보 유출 사건에 대해 역대 최고 수준인 6,246억 8,100만원의 과징금과 1,680만원의 과태료 부과를 결정했다. 이번 사건은 대규모 이용자 정보를 보유한 플랫폼 기업에서 발생한 개인정보 유출 사고라는 점에서 결코 가볍게 볼 수 없다. 그러나 과징금 규모가 지나치게 과도하면 비례 원칙에 어긋날 수 있다.
개인정보는 디지털 경제의 핵심 자산이자 소비자 신뢰의 기초이다. 기업이 이용자의 개인정보를 수집·활용해 서비스를 제공하는 만큼, 그에 상응하는 보안 책임과 관리 의무를 부담해야 한다. 다만 개인정보 보호의 중요성이 곧바로 무제한적·상징적 제재를 정당화하는 것은 아니다.
행정제재는 여론의 강도나 기업 규모가 아니라 법과 원칙에 따라 이루어져야 한다. 과징금은 유출 건수만을 기준으로 산정되어서는 안 되며, 유출 정보의 민감도, 고의 또는 중과실 여부, 실제 피해와 2차 피해 발생 여부, 사고 인지 및 신고 시점, 사후 대응과 재발 방지 노력 등을 종합적으로 고려해야 한다. 이것이 법치주의와 비례 원칙에 부합하는 제재 방식이다.
이번 사안에서 쿠팡 측은 사고 인지 시점이 5개월로 타사 사례와 비교해 상대적으로 빨랐고, 금융·결제 정보나 유심 인증키, 정부 신분증과 같은 고도의 민감 정보는 유출되지 않았다는 점을 감경 사유로 주장하고 있다. 또한 전문 업체를 통한 확인 결과 다크웹 등에서 유출 정보의 유통이나 2차 피해가 확인되지 않았고, 자체적인 정보 회수 노력도 기울였다는 입장이다. 이러한 사정들은 기업 책임을 면제하는 근거가 될 수는 없지만, 제재 수위를 정할 때 비례성과 형평성 차원에서 검토되어야 할 요소다.
일부 여론은 법정 최고 수준의 과징금을 요구해 왔다. 반복되는 개인정보 유출 사고에 대해 강한 경고가 필요하다는 문제의식은 이해할 수 있다. 그러나 법정 최고 수준의 제재를 사전에 요구하는 방식은 행정제재를 여론재판으로 흐르게 할 위험이 있다.
제재의 목적은 기업을 공개적으로 응징하는 데 있는 것이 아니라, 개인정보 보호 수준을 높이고 재발 방지를 유도하는 데 있다. 실제 피해와 위반 행위의 성격을 넘어선 과도한 제재는 기업의 보안 투자 확대보다 규제 회피와 법적 불확실성만 키울 수 있다.
이번 사건은 우리나라 개인정보 보호 규제체계의 방향도 함께 점검하게 한다. 그동안 개인정보 보호 정책은 동의서, 고지 의무, 내부관리계획, 각종 인증과 절차 준수 등 사전규제와 형식적 컴플라이언스에 치우친 측면이 있었다. 디지털 플랫폼, 클라우드, 인공지능, 데이터 결합이 일상화된 환경에서는 정부가 사전에 모든 위험을 세세하게 규정하고 통제하기 어렵다. 이제는 형식적 사전규제보다 사고 발생 시 실제 관리책임, 피해 여부, 대응의 신속성, 재발 방지 조치의 실효성을 중심으로 책임을 묻는 사후규제 방식으로 전환할 필요가 있다.
아울러 정부는 개별 기업에 대한 사후처벌자 역할에만 머물러서는 안 된다. 개인정보 유출과 사이버 보안 위협은 국가 디지털 인프라의 안정성과도 연결된다. 정부 차원의 보안 거버넌스를 구축해 위협 정보 공유, 침해 사고 대응, 보안 취약점 진단, 중소·중견기업 보안 역량 강화 등을 체계적으로 지원해야 한다. 처벌만으로는 보안 수준을 높일 수 없으며, 민관이 함께 작동하는 보안 생태계가 필요하다.
이번 결정은 쿠팡 한 기업에 대한 제재를 넘어 향후 디지털 플랫폼과 대규모 이용자 정보를 보유한 기업 전반에 적용될 기준선이 될 수 있다. 개인정보보호위원회는 개인정보 보호의 엄정함을 분명히 하되, 법적 안정성과 예측가능성을 훼손하지 않는 합리적 기준을 제시해야 한다. 명확하고 비례적인 제재 기준이 있을 때 기업은 보안 투자를 확대하고, 소비자는 제도를 신뢰할 수 있다.
정부는 과징금 부과에만 의존할 것이 아니라, 사전규제 중심의 형식적 통제 실패를 인정하고 사후규제 전환, 국가 차원의 보안 거버넌스를 구축에 나서야 한다. 개인정보 보호의 실효성은 최고 수위 과징금 경쟁이 아니라, 법과 원칙에 따른 일관된 제재, 기업의 자발적 보안 투자, 정부의 체계적인 보안 지원에서 나온다.