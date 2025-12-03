쿠팡, 두 차례 ISMS-P 인증 받아…실효성 논란 송경희 “예비 심사 도입…기준 미달 시 취소도”

[헤럴드경제=주소현 기자] 송경희 개인정보위원장은 3일 쿠팡 대규모 개인정부 유출 사건에 관련해 “과징금을 강화하는 한편 징벌적 손해배상 제도의 실효성을 제고할 수 있는 방안을 강구하겠다”고 말했다. 집단소송 제도 도입 필요성에 대한 지적에는 “다양한 방식을 검토하고 있다”고 했다.

송 위원장은 이날 국회에서 열린 정무위원회 전체회의에서 이같이 말했다.

쿠팡에 과징금 최대 1조2000억원 부과, 징벌적 손해배상 최대 6조원 청구할 수 있다는 지적에 송 위원장은 “관련 규정이 있다”고 답했다. 김승원 더불어민주당 의원은 “쿠팡의 연 매출이 41조원이니 (매출액의 최대 3%인) 과징금은 1조2000억원까지 부과가 가능하다”며 “현행법에서도 그 5배인 6조원까지 징벌적 손해배상을 청구할 수 있지 않느냐”고 말했다.

개인정보보호법에는 고의 또는 중대한 과실로 개인정보가 유출돼 피해가 발생하면 법원이 손해액의 최대 5배까지 배상할 수 있다고 규정돼 있다. 그러나 ‘개인정보처리자가 고의 또는 중과실이 없음을 증명한 경우 적용하지 않는다’는 단서 조항에 따라 2015년 징벌적 손해배상제도가 도입된 이후 적용된 사례는 없는 것으로 알려졌다.

송 위원장은 “재판 절차를 거쳐야 하고, 소송이 장기화하거나 손해액 입증이 어려운 탓에 (징벌적 손해배상) 제도가 실효성 있게 작동하지 못하는 상황”이라고 분석했다. 또 송 위원장은 “과징금을 강화하는 한편 징벌적 손해배상제도의 실효성을 제고할 수 있는 방안을 강구하겠다”고도 했다.

집단소송에 관해서는 “현행 개인정보보호법 제51조에 단체소송 규정이 있지만, (권리 침해 행위에 대한) 금지 청구만 가능하고 손해배상 청구가 포함돼 있지 않다”며 “손해배상을 포함하는 방안도 검토 중”이라고 말했다.

김용만 민주당 의원이 “ISMS-P 인증 기업 263곳 중 27개 기업에서 33건의 개인정보 유출 사고가 발생했다”고 지적하자 송 위원장은 “ISMS-P 제도가 전반적인 정보보호 수준을 끌어올린 효과는 부정하기 어렵지만 부족한 점이 많이 있다”고 답했다.

ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다. 쿠팡은 두 차례 ISMS-P 인증을 받고도 이번을 포함해 4건의 개인정보 유출 사고를 일으킨 것으로 알려졌다.

송 위원장은 현행 인증 방식에 대해 “지금은 서면심사와 샘플링 조사 위주로 인증을 부여하고 있다”며 “예비 심사제도 도입과 현장심사 확대 등을 검토하고 있다”고 답했다. 이어 “인증 후에는 매년 모의해킹 등을 통해 실제로 인증 기준에 맞게 운영되는지를 점검하고, 심각하게 기준을 지키지 못하는 기업·기관은 인증을 취소할 계획”이라고 덧붙였다.

김용만 의원의 “대책 마련을 위해 11억원 증액을 요청했지만 반영되지 않았다. 어떻게 추진하겠느냐”는 질문에 송 위원장은 “어떻게든 하겠다”고 강조했다.

유영하 국민의힘 의원도 ‘ISMS-P 인증제도를 강화하겠다고 했는데 계속 말뿐이다. 실효성 있게 만들어 달라’고 주문했다. 송 위원장은 “과기정통부와 함께 제도개선 태스크포스(TF)를 구성해 개선안을 검토 중”이라며 “인증을 받았음에도 사고가 발생한 24개 기업에 대해 12월 중 현장조사를 실시할 계획”이라고 설명했다.