개인정보는 오늘날 가장 중요한 사회적 자산 가운데 하나다. 디지털 경제가 확대될수록 개인정보는 개인의 사생활 보호를 넘어 인격권과 자기결정권을 보장하는 핵심적 법익으로 자리 잡고 있다. 따라서 개인정보를 처리하는 기업에 높은 수준의 보안 의무를 부과하고, 이를 위반한 경우 엄정한 법적 책임을 묻는 것은 정보사회에서 법질서를 유지하기 위한 필수적인 제도적 장치다.

최근 개인정보보호위원회는 쿠팡에 약 6246억원 과징금을 부과했다. 전직 직원이 퇴사 후 자신이 관리하던 인증 서명키를 이용해 약 3755만명 개인정보를 유출한 사건에 대한 행정처분이다.
개인정보위는 이번 사건을 단순한 개인정보 유출이라는 보안 미흡 문제로만 보지 않고 안전조치 의무 위반, 조사방해 행위, 개인정보 보호책임자 운영상의 문제 등이 종합적으로 고려된 결과라는 점도 함께 이해할 필요가 있다.
다시 말해서 인증 서명키 관리와 접근통제 소홀이라는 기본적 안전조치 위반 외에도 △조사 과정에서 약 5개월 분량 접속 로그를 삭제해 조사를 어렵게 만든 점 △법정 통지 기한을 넘긴 점 △개인정보 보호책임자(CPO)의 독립적 업무 수행을 보장하지 않은 점 등이 함께 적발되어 제재 수위에 영향을 미쳤다. 개인정보 침해는 결코 가볍게 볼 문제가 아니다. 기업이 적절한 기술적·관리적 보호조치를 다하지 못했다면 이에 상응하는 책임을 부담하는 것은 당연하다.
다만 이번 사건은 과징금이 위반행위의 성격과 책임 정도에 비례해 산정되고 있느냐는 과제를 던지고 있다. 행정법의 일반원칙인 비례원칙은 제재 목적과 위반행위 내용, 책임 정도 사이에 합리적인 균형이 유지될 것을 요구한다. 과징금도 법 위반을 예방하고 법질서를 회복하기 위한 행정제재인 만큼, 위반행위의 성격과 고의성, 관리상 과실 정도, 피해 규모, 기업의 예방 노력 등을 종합적으로 고려해서 결정돼야 한다. 제재가 법 위반에 비하여 과도하거나, 지나치게 가벼우면 모두 규제의 정당성을 약화할 수 있다.
이번 사건은 개인정보를 불법적으로 판매하거나 이를 통해 직접적인 경제적 이익을 얻은 사례와는 성격이 다르다. 내부 보안관리의 미흡과 사후 대응 과정의 문제로 개인정보 침해사고가 확대된 사안이다. 개인정보 보호 의무를 위반한 책임은 분명하지만, 위반행위를 통해 직접적인 경제적 이익을 취득한 경우와 같은 기준으로 평가할 것인지는 세밀한 검토가 필요하다.
또, 이번 처분은 인증 서명키 관리 소홀에 따른 개인정보 유출과 타사 온라인 활동 기록 수집이라는 각각 성격이 다른 위반행위를 함께 판단하면서, 쿠팡이츠와 쿠팡플레이를 제외한 이커머스 전체 매출을 기준으로 과징금을 산정하였다. 이러한 방식이 위반행위와 과징금 사이의 실질적인 관련성과 비례성을 충분히 반영하고 있는지에 대해 보다 세밀한 논의가 필요하다.
물론 기업 규모는 개인정보 처리 규모와 사회적 영향력을 반영하는 중요한 요소가 될 수 있다. 그러나 기업 규모만으로 과징금 규모가 사실상 결정되는 구조가 된다면, 같은 유형의 관리상 과실이라도 기업 규모에 따라 제재 수준이 크게 달라질 수 있다. 행정제재 예측 가능성과 법적 안정성 측면에서 논란의 여지가 있다. 과징금은 기업을 처벌하기 위한 제도가 아니라, 법 위반을 예방하고 적정한 법질서를 회복하기 위한 행정제재다.
유럽연합(EU)의 개인정보보호 규정인 GDPR은 이번 사건에 시사하는 바가 크다. GDPR 역시 세계에서 가장 엄격한 개인정보 보호제도 가운데 하나다. 기업 매출액을 기준으로 높은 수준의 과징금을 부과할 수 있도록 정하고 있다.
그러나 실제 과징금은 매출액만으로 결정되지 않는다. GDPR 제83조는 위반행위의 성격과 지속 기간, 고의 또는 과실 여부, 기술적·관리적 보호조치 수준, 피해 경감 노력, 감독기관과의 협조, 재발 방지 조치, 부당한 경제적 이익 등 다양한 요소를 종합적으로 고려하도록 규정했다. 매출액은 과징금 상한을 정하는 기준일 뿐, 실제 제재 수준은 기업의 책임 정도와 대응 노력에 따라 개별적으로 판단된다. 이는 GDPR이 위험기반(Risk-based Approach)에 따라 동일한 결과보다 위반행위의 위험성과 기업의 관리 수준을 함께 평가하는 구조라는 것을 보여준다.
이와 관련된 대표적인 사례가 독일의 채팅서비스 크누델스(Knuddels) 사건이다. 해킹으로 이용자 비밀번호가 유출됐지만, 감독기관은 기업이 사고를 즉시 신고하고 조사에 적극 협조하고, 보안체계를 신속하게 개선한 점을 고려해 비교적 낮은 수준의 과징금을 부과했다. 이는 개인정보 유출 사실 자체보다 사전 보안체계와 사고 이후의 책임 있는 대응을 함께 평가하는 GDPR의 접근방식을 보여준다.
결국 GDPR의 핵심은 높은 과징금이 아니라 사전 예방 중심의 규제체계에 있다. 개인정보보호책임자(DPO) 지정, 데이터보호 영향평가(DPIA), 처리활동 기록 유지 등 다양한 예방 의무를 법률상 명확히 규정하고, 이를 성실히 이행한 기업에는 사고 발생 이후에도 그 노력을 과징금 산정에 반영한다. 이러한 제도는 기업이 과징금을 두려워하기보다 보안 투자와 내부 통제를 강화하도록 유도하는 데 목적이 있다.
우리나라 역시 개인정보 보호의 실효성을 높이기 위해서는 처벌의 강도뿐 아니라 예방 중심의 제도 설계에 더욱 관심을 기울일 필요가 있다. 접근권한 관리와 인증체계·암호화 기준 등 기술적·관리적 보호조치를 더욱 구체적으로 법제화하고, 과징금 산정에서는 위반행위의 고의성, 사전 보안투자 수준, 피해 경감 노력, 감독기관과의 협조 정도 등을 보다 정교하게 반영할 필요가 있다. 또, 국내 사업자와 해외 플랫폼 사업자 사이에 규제 집행의 실효성 차이가 지속된다면 규제의 형평성에 대한 논란도 피하기 어렵다.
개인정보 보호는 결코 기업의 부담만을 논하는 문제가 아니다. 국민의 기본권을 보호하고 디지털 경제에 대한 사회적 신뢰를 유지하기 위한 필수적인 공공가치다. 따라서 위법행위에 대한 엄정한 책임 추궁은 꼭 필요하다. 다만 제재는 위반행위의 내용과 책임 정도에 비례해 부과될 때 비로소 법적 정당성과 사회적 설득력을 함께 확보할 수 있다.
과징금제도의 목적은 기업을 강하게 처벌하는 데 있는 것이 아니다. 기업이 스스로 보안 투자를 확대하고 개인정보 보호체계를 지속적으로 개선하도록 유도하는 데 있다. 개인정보 보호의 실효성은 과징금 액수의 크기만으로 확보되지 않는다. 예측할 수 있는 법 집행과 정교한 과징금 산정기준, 그리고 예방 중심의 규제체계가 함께 작동할 때 비로소 개인정보 보호와 디지털 산업의 지속 가능한 발전이라는 두 가지 목표를 동시에 달성할 수 있을 것이다.
개인정보는 대부분 기업이 보유하고 관리하는 핵심 경영자산이다. 전자상거래 기업뿐 아니라 금융, 통신, 의료, 제조, 플랫폼 기업에 이르기까지 고객정보를 처리하지 않는 기업을 찾기 어려운 시대가 됐다. 이러한 점에서 이번 쿠팡 사건은 개별 기업에 대한 제재를 넘어 우리나라 개인정보 보호법제가 향후 유사한 사고에 어떠한 기준으로 책임을 묻게 될 것인지를 보여주는 중요한 선례가 될 가능성이 있다.
국내 기업은 물론 우리나라에서 개인정보를 처리하는 해외 사업자들 역시 이번 사건의 최종적인 법적 판단과 과징금 산정 기준을 예의주시하고 있을 것이다. 이는 단순히 한 기업의 문제가 아니라 앞으로 개인정보를 처리하는 모든 기업의 보안 투자와 내부통제 수준, 그리고 법적 위험 관리 방식에 영향을 미칠 수 있는 사안이기 때문이다.
따라서 이번 사건에 대한 법적 판단은 개별 사건의 해결에 그칠 것이 아니라 개인정보 보호의 공익성과 산업의 지속 가능한 발전을 함께 고려하는 균형 있는 기준을 제시하는 계기가 돼야 한다.
문상일(전 한국경제법학회 회장) 인천대학교 법학부 교수 moonsi97@inu.ac.kr
인천대 법학부 교수 문상일



















