주병기 위원장의 ‘영업정지’ 발언, 법적 근거 무시한 행정 편의적 위압 행정

정보유출을 투쟁 지렛대 삼는 민노총, 기업 파괴적 공세는 문제 해결의 답 아냐

40만 고용과 23만 파트너사 직결된 물류망, 플랫폼 마비는 민생 경제의 ‘심정지’

e-커머스 침공 속 자국 기업 흔들기 그만두고, 국익 관점의 보안 시스템 정비에 집중해야

주병기 공정거래위원장은 지난 19일 오후 KBS ‘뉴스라인W’에 출연해 ‘e커머스 업체 쿠팡의 개인정보 유출사태’에 대해 “분쟁 조정이나 소송 지원 같은 가용 수단을 총동원해서 소비자 피해를 구제하려고 한다”며, 필요하면 “영업 정지 처분을 할 가능성도 열어놓고 있다”고 했다. 언론들은 이를 받아 ‘공정위의 영업정지 카드’로 보도했다. 

 쿠팡은 3,300만명대 고객 개인정보가 유출된 대형 사고를 쳤다. 유출 정보는 고객의 ‘이름, 연락처, 주소, 구매이력’ 등이다. 쿠팡은 ‘결제 정보와 신용카드 번호’ 등 핵심정보는 유출되지 않았다고 발표했다. 문제는 이 같은 정보유출이 해외 서버를 통해 지난 6월 24일부터 이뤄졌음에도 ‘5개월간 유출 사실을 알지 못했다’는 것이다. 정보를 유출 시킨 자는 퇴사한 ‘중국인’이 지목되고 있다. 

 정보유출은 예견된 일이었을 수 있다. 국내 e 커머스 업체의 정보보호 투자가 뒷전으로 밀려 있었기 때문이다. 2024년 기준 국내 연 매출 상위 10대 유통기업의 매출액 대비 정보보호 투자 현황을 보면 상당수가 매출 규모에 어울리지 않는 '저(低)수준'에 머무르고 있다.

 CJ제일제당(0.02%), 이마트(0.02%), 신세계(0.02%)는 매출이 10조~29조원대에 이르지만 매출액 대비 보안 투자 비율은 0.02%이다. 롯데쇼핑(0.05%), BGF리테일(0.03%)도 열악하기는 마찬가지다. 동원산업은 매출이 8조9442억원임에도 3억4000만원(0.00%)만 집행했다. 쿠팡은 ‘매출 38조2988억원 대비 860.7억원’을 투입해 투자 비율 0.20%로 차라리 높은 수준이다. 하지만 결과적으로 개인정보를 털렸다. 

 국내 유통기업들은 보안 지출을 ‘투자’가 아닌 '비용'으로 인식하고 있다. 디지털전환(DX)이 가속하면서 온라인·모바일 플랫폼 서비스가 사실상 모든 유통기업의 핵심 인프라로 자리 잡았지만 인식이 뒤따르지 못했다. 정보보호 투자의 중요성을 간과했다고 봐야 한다.  상대적으로 나름 보안투자를 한 쿠팡이 털린 것을 보면 시스템상에 문제가 있어 보인다. “직무와 무관한 정보에 접근할 수 없도록 차단하고 접속기록을 점검해 이상 징후를 즉각 발견할 수 있는 시스템을 갖추지 못한 것으로” 봐야 한다. 쿠팡사태를 계기로 더 이상 개인 정보가 유출되지 못하도록 ‘하드웨어와 스프트웨어’를 시스템적으로 정비할 필요가 있다. 하지만 민노총과 정치권은 ‘어떻게 보완할 것인 가’ 대신 ‘잘 걸렸으니 처벌을 각오하라’는 식이다. 위압적 접근은 문제 해결에 도움이 되지 않는다.

 

O 영업정지 발언은 ‘교각살우’의 우(愚)를 저지르는 것

 주병기 위원장이 혹여 ‘쿠팡에 대해 실제 영업정지를 명한다면’ 이는 치명적 ‘교각살우’의 우를 범하는 것이다. ‘개인정보 유출’이 곧바로 ‘영업정지’일 수는 없다. 그렇다면 한국에서 누구도 기업활동을 할 수 없다. 

  개인정보보호법(개보법) 자체엔 ‘영업정지’ 규정이 없다. ‘과징금’ 부과로 처벌한다. 쿠팡 영업정지의 법적 근거는 공정위 소관 ‘전자상거래 등에서의 소비자보호에 관한 법률(전자상거래법)’이다. 하지만 동(同) 법안은 “위반 행위의 중지, 시정 조치, 재발 방지에 필요한 조치 등을  명령했음에도 관련 기업이 이를 이행하지 않거나, 위반 행위가 중대해 시정 조치만으로는 소비자 피해를 막기 곤란한 경우”에 한해 일정 기간 영업정지를 명할 수 있도록 설계돼 있다. 즉 영업정지 이전에 조사 결과를 토대로 시정 명령, 개선 명령을 내리고 이후 이행 여부를 점검하는 절차를 밟아야 한다. 

 영업정지를 결정하기 위해서는 단순히 유출 사실을 확인하는 것을 넘어 △소비자 정보가 실제로 도용돼 재산상 손해가 발생했는지, 또는 발생할 우려가 큰지 △회사가 피해 회복과 재발 방지를 위해 필요한 조치를 요구받고 적절히 이행했는지 여부를 판단하는 것이 핵심사안이다. 문제가 발생했다고 해서 바로 ‘영업정지’를 내리는 것이 아니다. 

 주 위원장은 현재 합동 조사반의 조사가 진행 중이며 “개인정보 유출에 대한 책임을 묻는 것이 중요하다”고 했다. 그렇다면 지금 단계에서 영업정지를 입에 올려서는 안돤다. 

 영업정지 카드는 쿠팡을 ‘심정지 상태’로 몰고간다. 그만큼 파장이 커진다. 쿠팡의 물류·배송이 중단되면 고용과 거래가 동시에 흔들릴 수 있다. 플랫폼이 멈추면 정산·재고·광고 집행 등 운영 전반에 혼선이 생기고 거래 비중이 큰 판매자일수록 매출 공백이 치명적일 수 있다.

올 10월 국민연금 사업장 가입자 기준 쿠팡 직고용 인원은 9만명이다. 여기에 배송 기사, 협력사 인력 등을 포함하면 쿠팡 생태계 고용 규모가 40만 명 이상이라는 추산도 나온다. 쿠팡은 2023년 기준 거래 중인 소상공인 파트너가 23만 명, 이들의 연간 거래 금액이 약 12조 원이라고 밝힌 바 있다. ‘대마불사(大馬不死)’를 얘기하는 것이 아니다. 영업정지 이외의 다른 제대 수단은 없는 가를 묻는 것이다. 

 ‘과징금과 보안 개선 명령’ 등 실효성 있는 수단을 조합하는 방식이 우선 강구되어야 한다. 이를 건너뛰고 과잉 처분이 될 경우 산업 전반에 나쁜 선례를 남길 수 있으며 ‘해외투자자와 글로벌 기업’에 주는 메시지도 따져봐야 한다. 

 

O 법 위반과 처벌은 ‘비례 원칙’에 따라야 

 SK텔레콤은 ‘유심’이 해킹됨에 따라 개인정보분쟁조정위원회로부터 해킹 피해자 1인당 30만원을 배상하라는 권고안을 받았으나 이를 거부한 것으로 알려져 있다. 당장은 분쟁조정 신청 사건을 직접 제기한 피해 고객 3998명에 대한 배상 권고안이지만, 이를 전체 피해자로 확대할 경우 최대 7조원의 비용이 발생한다. SK텔레콤의 2024년 전체 영업이익(1조8234억원)보다 많은 비용을 부담해야 하는 만큼 현실성이 떨어진다. SK텔레콤은 이미 개인정보보호위원회로부터 과징금 1348억원을 부과받았다. 그리고 개인정보보호법상 개인정보가 분실·도난·유출돼 손해가 발생할 경우 손해액의 5배까지 징벌적 손해배상을 청구할 수 있게 끔 되어 있다. ‘손해액을 과장 없이 정확히 평가’하는 것이 관건이다. 

 정보 유출 관련 대형 사고들이 대부분 외부 침입 형태였다면 이번 쿠팡사고는 내부자 소행이라는 점이 가장 큰 특징이다. 문제를 더욱 키운 것은 그가 중국 국적관련자라는 깃이다. 통상 해킹이 벌어지면 돈을 요구한다. 하지만 이번엔 돈을 요구하지 않았다고 한다. 의도가 있었을 것이다. 중국과 관련된 것으로 의심되는 자의 소행이 e커머스 생태계를 초토화시켰다면 당하는 한국이 바보인 것이다. 정치권의 친중성향은 위험하기까지 하다. 이러니 반중 성서가 형성되는 것이다.

 이번 사태로 외부 침입 대비 만큼이나 내부 정보 취급자에 대한 관리 체계도 강화될 필요가 있다. 개인정보 취급자의 외부 유출을 막기 위해 대용량 저장 장치 다운로드를 제한하는 등 물리적 조치를 취하고, ‘직무와 무관한 정보에의 접속기록’을 점검해 이상 징후를 즉각 발견할 수 있는 시스템을 정비해야 한다. 인사, 영업, 정보기술(IT) 등 부서별 책임자를 지정하고 접근권한 범위를 최소화해야 한다. 

 주지하다시피 테무(Temu)와 알리익스프레스는 한국 배송시장에의 진출을 시도하고 있다. 이런 상황에서 쿠팡의 영업정지 논의는 잠재적 적(敵)을 이롭게 하는 것이다. 쿠팡의 ‘새벽배송과 고객정보유출’은 층위를 달리하는 문제이다. 민노총은 정보유출을 지렛대로 삼지 말아야 한다. 국익보다 앞서는 것은 없다.

 

조동근 명지대 경제학과 명예교수(바른사회시민회의 공동대표)