정안뉴스 안정주 기자 | 최근 쿠팡에서 발생한 3,370만 명 규모의 대규모 개인정보 유출 사고와 관련해, 과징금·과태료가 감경될 수 있다는 관측이 나오면서 국민적 비판이 커지고 있다. 쿠팡은 과거 이미 과거 개인정보 유출 사고에서도 과징금을 대폭 감경받은 바 있어, 이번 사고마저 ‘솜방망이 처벌’로 끝나는 것 아니냐는 우려가 확산되고 있다.

 

이와 관련해 더불어민주당 조인철 국회의원(광주 서구갑, 국회 과학기술정보방송통신위원회)은 22일 동일한 개인정보 유출 등 위법행위가 반복될 경우 과징금 감경을 제한하는 내용의 '개인정보 보호법 일부개정법률안'을 대표발의했다고 밝혔다.

 

개정안은 최근 3년 이내 동일한 위반행위로 과징금이 부과된 경우에는 과징금 감경을 허용하지 않도록 명시함으로써, 반복적인 개인정보 침해에 대한 기업의 책임성을 실질적으로 강화하는 데 목적이 있다.

 

현행 개인정보 보호법은 위반 기업에 대해 전체 매출액의 3% 이내에서 과징금을 부과하도록 하고 있으나, 하위 법령에서는 정보보호 관리체계 인증(ISMS-P) 획득, 조사 협조 등 ‘개인정보 보호를 위한 노력’을 이유로 최대 50%까지 과징금을 감경할 수 있도록 규정하고 있다. 이로 인해 동일한 개인정보 침해 행위가 반복되더라도 제재 수위가 크게 낮아지는 구조가 고착화됐다는 비판이 꾸준히 제기돼 왔다.

 

실제로 쿠팡은 2023년 12월 주문자·수취인 등 2만2,440명의 개인정보를 유출하는 사고를 일으켰음에도, 2024년 11월 개인정보보호위원회의 제재 과정에서 ISMS-P 인증 획득, 조사 협조 등을 이유로 과징금이 대폭 감경됐다. 그 결과, 최초 산정된 과징금 약 39억 원은 세 차례의 감경을 거쳐 최종 약 13억 원으로 줄었다.

 

한편, 조인철 의원은 지난 12월 2일 과학기술정보방송통신위원회 쿠팡 현안질의와 17일 쿠팡 청문회에서 개인정보보호위원장과 부위원장을 대상으로 “과거 개인정보 유출로 과징금을 감경받은 쿠팡이, 동일한 사고를 반복해도 ISMS-P 인증을 이유로 다시 50%까지 감경받을 수 있는 것이 사실이냐”며“수천만 명의 개인정보가 유출된 중대한 사안인 만큼, 과징금은 최대한 엄중하게 부과돼야 한다”고 질의한 바 있다.

 

이에 대해 개인정보보호위원회 위원장과 부위원장은 “사안의 엄중성에 따라 엄격히 판단하겠다”고 답변했으나, 반복 위반에 대한 명확한 감경 제한 규정이 없다는 제도적 한계가 확인됐다는 평가다.

 

조인철 의원은 “같은 기업이 같은 사고를 반복해도 처벌이 깎인다면, 이는 개인정보 보호에 실패해도 괜찮다는 잘못된 신호를 주는 것”이라고 강조했다.

 

이어 “정보보호 인증과 같은 사전적 노력은 존중돼야 하지만, 동동일한 개인정보 유출이 반복되는 상황에서까지 감경 사유로 작동해서는 안 된다”며“반복 위반에 대해서는 예외 없는 경제적 책임을 부과해야만, 제2, 제3의 쿠팡 사태를 막고, 기업의 보안 투자와 국민의 개인정보 보호를 실질적으로 강화할 수 있다”고 말했다.