‘개인정보보호위원회’(개보위)는 2026년 6월 10일 전체회의에서 쿠팡에 ‘미증유’의 역대 최고인 “6,246억 8,100만원”의 과징금 부과를 의결했다. 사유는 두 가지다. 첫째, ‘인증 서명키 관리 및 접근통제 소홀 등 기본 안전관리 체계’ 미흡으로 약 3,755만 명의 개인정보가 유출됐으며, 둘째, 회원 약 1,117만 명의 온라인 활동기록을 법적 근거 없이 수집·저장했다는 것이다.  

 개보위가 위법으로 판단한 부분은 “내부 보안통제 실패에 따른 개인정보 대규모 유출 및 개인회원 온라인 활동 무단수집”으로 요약된다.

 ‘개인정보보호법’(개보법)은 과징금 상한을 ‘위반행위와 관련된 매출액의 3% 이내’로 정하고 있다. 이는 ‘위반행위와 관련 없는 매출액’은 제외시켜야 한다는 것이다. 

 개보위의 제재는 ‘적법성(適法性)과 적정성(適正性)’의 기준을 충족시키는 가? 3가지 관점에서 접근할 수 있다. “첫째, 위법행위 관련 매출액 산정이 합리적인가. 둘째, 제재 수준이 위반행위의 중대성에 ‘비례’하는가. 셋째, 유사 사건과 비교해 형평성을 유지했는가”이다. 순차적으로 살펴본다.  

 쿠팡의 서비스 범주(coverage)는 “전자상거래, 물류, 광고, 멤버십, 데이터 활용과 결합”에 걸쳐 있어, 개인정보 처리와 매출이 거미줄처럼 연결돼있다. 만약 개보위가 쿠팡의 국내 플랫폼 매출 대부분을 관련 매출로 규정하면 “개인정보 유출 또는 온라인 활동 무단 수집과 직접 관련 없는” 매출까지 도매금으로 ‘관련매출’로 집계될 수 있다. 그러면 과징금이 부당하게 과다계상될 개연성이 크다.

 쿠팡의 사전적 개인정보보호활동의 적정성 여부를 따져봐야 한다. ‘KISA (Korea Internet & Security Agency, 한국인터넷진흥원) 정보보호공시’를 보면, 쿠팡은 2024년 기준으로 ‘정보기술부문’에 약 1조 1,781억원, ‘정보보호부문’에 약 659억6천만원을 지출했다. ‘정보보호 지출비중’은 5.6%였다. 같은 해 쿠팡의 “경쟁사 A사, B사, C사의 정보보호지출은 각각 40억원, 137억원, 50억원”에 지나지 않았다. 정보보호지출액이 직접 보호조치로 연결되는 것은 아니지만 쿠팡은 상당한 수준의 ‘사전 예방노력’을 기울인 것으로 판단된다. 하지만 과징금 산정에 이같은 ‘사전 예방노력’이 반영되지 않았다.

 쿠팡은 국내 e-커머스 중 가장 많은 보안투자를 해왔고, 정보보호 인력과 인증체계도 갖추고 있었다. 정보유출을 막지는 못했지만 고의적 방치나 보안투자를 소홀히 한 기업으로 낙인찍힐 이유는 없다.   

 정보유출을 효과적으로 차단하려면 정보유출자를 색출해 형사고발하는 길이 열려있어야 한다. 외국인으로 추정되는 쿠팡의 개인정보 유출자에 대한 형사고발이 제대로 이뤄졌는지도 짚어야 한다. ‘스스로를 정보 유출자로 지목’하고 퇴사한 중국계 직원에 대한 수사가 제대로 이뤄졌는지 따져야 한다. 

 과징금 제재의 ‘비례성’ 여부를 평가해야 한다. 쿠팡에서 유출된 개인 정보는 “성명, e-메일, 주소, 전화번호, 공동현관 비밀번호” 등이다. 이는 엄밀한 의미에서 민감한 정보가 아니다. 금융·결제 정보 같은 ‘고도의 민감 정보’는 유출되지 않았다. 그리고 유출 정보가 유통되는 등, 2차 피해도 발생하지 않았다. 유출된 ‘정보의 질(質)’을 반영하지 않고, 정보유출 건수 ‘3367만 3817건’을 기준으로 한 과징금부과는 과한 측면이 있다. 

 끝으로 ‘과징금 부과의 형평성’을 따져야 한다. 개보위는 2025년 SK텔레컴 개인정보 유출사고에 대해 1,347억 9,100만원의 과징금을 부과했다. 부과사유로 “SK텔레컴 약 2,300여만 명의 USIM 정보 등 주요 개인정보 유출, 방화벽 설정 미흡, 서버 계정정보 관리 부실, 암호화 미실시, 악성프로그램 방지 소홀” 등을 지목했다. 유출정보 중 ‘가입자 식별번호와 유심인증키는 각각 금융사기와 복제폰 제조로 악용될 수 있다. 그럼에도 “쿠팡 과징금은 SK텔레컴의  4.6배”이다. 과징금의 논거가 충분하지 않으면 개소위는 재량권 일탈·남용 논란에 휘말릴 수 있다.

 과징금은 응징이 아닌 ’법치행정‘의 수단이어야 한다. 비례성은 ‘분노의 크기’가 아니라 산정의 합리성으로 입증돼야 하고, 형평성은 비교 가능한 사건과의 일관성으로 입증돼야 한다

 ‘쿠팡Inc’는 뉴욕증권거래소에 상장된 미국 기업이다. 미국 증권거래위원회(SEC)의 공시 의무와 각종 규제를 받고 있다. 그런 기업의 경영자를 한국 공정거래법상 동일인으로 지정해 “친족 공시, 내부거래 규제 등의 의무를 부과하는 것”은 한국 규제를 역외 적용한 것이다. 한국은 역외적용에 문제가 없다는 입장이다. 하지만 ‘한국의 갈라파고스적 규제’가 글로벌 스탠다드를 밀어내는 것은 문제다. 글로벌 스탠다드는 개방국가를 표방하는 한국의 운명이기도 하다.

 쿠팡에 대한 ‘동일인 지정, 대주주 국회 출석 압박, 여러 부처 동시다발적 중복조사, 미증유의 개인정보 과징금’을 묶어 보면, 미국 투자자나 의회는 이를 “전방위적 표적 규제”로 해석할 여지가 있다. 

 최근의 쿠팡 사태가 ‘미국기업 길들이기’로 비춰지면, 미국의 차별규제 프레임은 더 힘을 받을 수 있다. 한쪽으로 기울은 운동장은 갈라파고스 규제의 산물이다. 글로벌 스탠다드를 지향해야 한다.