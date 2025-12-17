과방위 쿠팡 청문회…“인증 취소도 검토 중” “징벌적과징금 소급적용 고려 안 해…엄격한 법 적용 필요”

[헤럴드경제=김영철 기자] 송경희 개인정보보호위원장은 17일 퇴직자가 5개월간 내부 시스템에 접근해 발생한 쿠팡 개인정보 유출 사고와 관련해 “내부자 통제가 제대로 이뤄지지 않았다면 심각한 ISMS-P(정보보호 및 개인정보보호 관리체계) 위반에 해당한다”고 밝혔다.

송 위원장은 이날 국회 과학기술정보방송통신위원회의 쿠팡 청문회에서 박충권 국민의힘 의원의 관련 질의에 “ISMS(정보보호)에 내부자의 접근 권한 관리 기준이 마련돼 있고, P(개인정보보호) 영역에도 관련 요구사항이 있다”며 이같이 답했다.

그러면서 “인증 운영 과정에서 점검했을 때 직접적인 위반은 드러나지 않았지만, 관련 결함 사실은 발견돼 시정 조치를 요구해 놓은 상태”라고 설명했다.

박 의원이 “위반 사항이라면 인증 취소를 포함한 강력한 제재가 필요하다”고 지적하자, 송 위원장은 “그것도 검토하고 있다”고 답했다.

ISMS-P는 과학기술정보통신부와 개인정보위가 공동 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다. 쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 받았지만, 이번 대규모 유출 사고를 포함해 4건의 개인정보 유출이 발생하면서 제도 실효성 논란이 제기됐다.

이와 함께 송 위원장은 이날 국회 정무위원회를 통과한 개인정보보호법 개정안의 징벌적 과징금 규정과 관련해 “이번 개정으로는 적용 시기를 소급하는 것은 고려하고 있지 않다”고 밝혔다.

이훈기 더불어민주당 의원이 ‘개정안으로 소급 적용이 어렵다면 정부 입법으로 쿠팡특별법을 마련해서 소급 적용할 수 있게 해야 한다’는 취지로 주장하자 송 위원장은 “특별법에 대해서는 별도의 검토가 필요하다”고 답했다.

이날 정무위를 통과한 개인정보보호법 개정안에 따르면 대규모 개인정보 유출 피해가 발생한 경우, 과징금 상한은 기존 전체 매출액의 3%에서 최대 10%로 상향된다.

과징금 부과는 ▷고의 또는 중대한 과실로 3년 이내 반복적인 법 위반이 있는 경우 ▷고의 또는 중대한 과실로 1000만명 이상 대규모 피해가 발생한 경우 ▷시정조치 명령에 따르지 않아 유출이 발생한 행위에 한해 10% 범위에서 할 수 있다. 다만 개정안 시행 전 발생한 사고에는 소급 적용되지 않아 법안이 국회 본회의를 통과하더라도 쿠팡은 과징금 폭탄을 피할 전망이다.

송 위원장은 과징금 산정 기준과 관련해선 “현재 조사 대상은 한국에 있는 쿠팡 주식회사”라며 “매출액 역시 한국 쿠팡 주식회사 기준으로 명확하게 정리돼야 한다”고 설명했다.

또 이 의원이 “쿠팡과 같은 기업에 대해 강력한 제재가 필요하다”고 강조하자 “엄격한 법 적용이 필요하다고 생각한다”고 답변했다.