역대 최대 과징금 맞은 쿠팡, 9월 이후 사고났다면 '조 단위'

등록 2026.06.12 06:00:00수정 2026.06.12 06:08:12

개인정보법 개정 따라 9월부터 과징금 상한 '3%에서 최대 10%'로 껑충

앞으로 대형 보안 사고 터지면 기업 파산 위기…정부 "대형 플랫폼 보안 실패 엄단"

[서울=뉴시스] 조성우 기자 = 개인정보보호위원회가 3750만명의 개인정보 유출 사고를 낸 쿠팡에 과징금 총 6246억 8100억 원을 부과하기로 11일 의결했다. 사진은 이날 서울 송파구에 있는 쿠팡 본사 모습. 2026.06.11. xconfind@newsis.com

[서울=뉴시스] 조성우 기자 = 개인정보보호위원회가 3750만명의 개인정보 유출 사고를 낸 쿠팡에 과징금 총 6246억 8100억 원을 부과하기로 11일 의결했다. 사진은 이날 서울 송파구에 있는 쿠팡 본사 모습. 2026.06.11. [email protected]

[서울=뉴시스]윤정민 기자 = 쿠팡이 역대 최대 규모인 6249억 원의 과징금 폭탄을 맞은 가운데, 만약 이번 사고가 오는 9월 이후에 터졌다면 과징금 액수가 1조4000억원대까지 치솟았을 것이라는 분석이 나왔다. 법 개정으로 중대 유출 사고에 대한 정부의 처벌 수위가 대폭 강화되기 때문이다. 앞으로 대형 인터넷 기업들에게 개인정보 유출은 회사의 생존을 흔드는 '조 단위' 리스크가 될 전망이다.

6200억 과징금 폭탄, 어떻게 계산됐나

개인정보보호위원회는 개인정보 보호법을 위반한 쿠팡에 총 6249억2900만원의 과징금을 부과했다고 밝혔다. 이 가운데 순수하게 개인정보 유출 사고와 관련된 과징금만 4235억7500만원에 달한다.

현재 적용되는 개인정보 보호법에 따르면 유출 사고 과징금은 기업의 최근 3개년 평균 매출을 기준으로 삼는다. 전체 매출에서 이번 사고와 직간접적인 관련이 없는 매출을 먼저 걷어낸다. 이후 남은 '관련 매출액'의 3% 부근에서 기본 금액을 정한다. 여기에 피해 규모와 사후 수습 노력 등을 더하거나 빼서 최종 액수를 도출한다.

정부는 쿠팡의 3개년 평균 매출을 약 30조 원으로 잡았다. 이 중 유출 사고와 상관없는 쿠팡플레이, 쿠팡이츠 등의 매출은 제외했다.

쿠팡이 금융감독원을 통해 공시한 2022~2024년 연결감사보고서에 따르면 3개년 평균 매출은 약 32조원이다. 이 중 멤버십, 배달서비스, 광고·수수료 등 서비스·기타 매출을 제외한 상품매출액은 약 27조1000억원이다.

정부가 구체적인 기준 매출액과 부과 비율을 공개하지 않았지만, 업계에서는 쿠팡의 순수 쇼핑몰 매출(약 27조1000억원)을 기준으로 삼았을 때 약 1.56%의 부과율이 적용된 것으로 보고 있다. 3% 상한선 중 절반 가량만 적용했는데도 4200억원이 넘는 천문학적인 액수가 나온 셈이다.

9월 11일 이후였다면…'징벌적 과징금'에 1조 원 돌파

하지만 오는 9월 11일부터는 판이 완전히 바뀐다. 새로 개정된 개인정보 보호법이 시행되기 때문이다. 개정법은 상습적이거나 중대한 개인정보 유출 사고를 낸 기업에 전체 매출액의 최대 10%까지 '징벌적 과징금'을 물릴 수 있도록 규정했다.

징벌적 과징금은 아무 때나 때리는 것이 아니다. ▲고의나 중과실로 3년 안에 보안 사고를 반복하거나 ▲1000만 명 이상의 대규모 유출 피해를 준 경우 등이 대상이다.

쿠팡의 이번 유출 사고 피해자는 회원과 비회원을 합쳐 3755만명이다. 대한민국 경제활동인구 대부분이 털린 초대형 사고다. 9월 이후에 이 사고가 터졌다면 '1000만 명 이상 유출' 요건에 직격탄을 맞아 무조건 징벌적 과징금 대상이 된다는 게 법조계의 중론이다.

현행 3% 기준에서 적용된 비율을 개정된 10% 체계로 그대로 대입하면 부과율은 5.2%까지 뛴다. 이를 돈으로 환산하면 무려 1조 4000억원이라는 계산이 나온다.

개인정보 유출, 이젠 수천억서 조 단위 리스크로

[서울=뉴시스] 정부가 개인정보 유출 사고를 낸 쿠팡에 역대 최대 과징금을 부과했다. 조사 결과 회원 3322만명과 비회원 최소 433만명의 개인정보가 유출된 것으로 확인됐다. 추가된 피해자는 비회원들로 쿠팡 회원이 배송지 목록에 등록해 둔 가족이나 지인의 이름, 전화번호, 주소다. (그래픽=안지혜 기자) [email protected]

보안 전문가들은 이번 쿠팡 사태를 기점으로 국내 대형 플랫폼 기업들의 개인정보 관리 비용 구조가 완전히 바뀔 것으로 보고 있다. 예전에는 사고가 터져도 수백억원 수준의 과징금으로 막을 수 있었지만, 이제는 대기업도 한 방에 무너질 수 있는 '조 단위 리스크'가 현실이 됐기 때문이다.

최경진 가천대 법학과 교수(전 개인정보보호법학회장)는 이번 처분에 대해 "전반적으로 국민적 관심사와 우려가 반영된 결과로 보인다"며 "기존 사례와 비교할 수 없을 정도의 역대 최대 과징금"이라고 평가했다.

최 교수는 9월 이후 같은 사고가 발생했다면 조 단위 과징금 가능성도 있었을 것으로 봤다. 그는 "9월 이후에는 징벌적 과징금 유형이 추가되기 때문에 기업 입장에서는 굉장히 신경을 써야 한다"며 "징벌적 과징금 대상이 되지 않도록 고의·중과실 이슈를 관리하고, 많은 데이터를 처리하는 기업일수록 더 조심해야 한다"고 말했다.

쿠팡은 이번 조사에서 자료보전명령 이후 로그 삭제 등 조사 방해 정황도 확인됐다. 조사 방해 자체가 10% 징벌적 과징금의 독립 요건으로 명시된 것은 아니지만 현행 과징금 부과기준상 증거인멸·은폐·조작 등 조사 방해 행위는 2차 조정 단계에서 과징금 가중 사유가 될 수 있다.

전문가들은 개정법 시행 이후에도 조사 방해 여부가 징벌적 과징금 적용 요건과 별개로 실제 부과액 산정 과정에서 불리하게 작용할 수 있다고 본다.

이번 역대 최대 과징금 배경에도 쿠팡의 매출, 유출 규모뿐 아니라 국민 생활과 밀접한 대형 플랫폼의 기본적 안전조치 실패, 조사 방해 등이 크게 작용했다는 설명이다. 개인정보위는 쿠팡이 국민 다수가 이용하는 플랫폼인 만큼 인증키 관리와 접근권한 통제, 침입 탐지·대응 체계를 엄격히 운영해야 했지만 이를 제대로 이행하지 못했다고 봤다.

송 위원장도 징벌적 과징금과 관련해 "전반적으로 요건에 해당된다면 당연히 과징금 액수라든지 심각성은 더 커질 것"이라고 말했다.

◎공감언론 뉴시스 [email protected]