국내 최대 이커머스 플랫폼 쿠팡이 3000만 건이 넘는 개인정보 유출 사고로 사상 최대 규모의 과징금 심판대에 오른다. 개인정보보호위원회(개인정보위)는 오는 10일 전체회의를 열고 쿠팡에 대한 제재안을 심의할 예정이라고 9일 밝혔다.
이번 심의는 지난해 11월 쿠팡의 개인정보 유출 사실이 외부에 알려진 지 약 7개월 만이다. 과학기술정보통신부 민관합동조사단은 올해 2월 공식 조사 결과를 발표하며 쿠팡의 ‘내 정보 수정 페이지’ 취약점을 통해 이용자 성명·이메일 주소 등 총 3367만3817건의 개인정보가 유출된 것으로 확인됐다고 밝혔다.
7개월간의 추적…제재 심의 문턱에 서다
개인정보위는 올해 4월 쿠팡에 개인정보보호법 위반 사항과 예정 처분 내용을 담은 사전통지서를 발송했다. 쿠팡은 이후 의견 제출 기한 연장을 요청한 뒤 소명 의견을 제출한 것으로 전해졌다.
10일 열리는 전체회의는 위원장과 상임·비상임 위원으로 구성된 합의제 의결기구로, 위반 여부와 과징금 부과 여부·액수, 시정명령 등 부가 처분을 표결로 결정한다. 구체적인 과징금 액수와 처분 내용은 위원들의 심의를 거쳐 최종 확정된다.
법정 최대 1조3637억…현실적 가능성은?
현행 개인정보보호법은 유출 사고 발생 시 관련 매출액의 최대 3% 범위에서 과징금을 부과할 수 있도록 규정한다. 쿠팡이 전자공시시스템에 공시한 지난해(2025년) 매출은 45조5000억 원으로, 이를 단순 적용하면 법정 최대 과징금은 약 1조3637억 원에 달한다.
업계에서는 유출 규모와 사고 대응 과정 등을 고려할 때 역대 최대 수준의 과징금이 부과될 수 있다는 전망을 내놓는다. 개인정보위가 지금까지 부과한 역대 최대 과징금은 지난해 SK텔레콤 유심(USIM) 정보 유출 사고와 관련해 내린 1348억 원이다.
다만 실제 과징금은 위반 행위의 고의성·중대성, 피해 규모, 사고 이후 기업의 대응 협조 정도 등을 종합적으로 고려해 산정된다. 규제 실무에 정통한 전문가들은 법정 상한선에 근접한 수준으로 부과될 가능성은 크지 않다.
‘한국형 GDPR 집행’의 분수령 될까
법조계와 개인정보 분야 전문가들은 이번 사건이 단순 과징금을 넘어 한국의 빅테크 개인정보 규제 수위를 가늠하는 기준점이 될 것으로 본다. 유럽연합(EU)이 GDPR을 통해 아마존·메타 등 글로벌 빅테크에 수억~수십억 유로의 과징금을 부과해 온 흐름과 비교할 때, 이번 쿠팡 제재가 한국 규제 집행력의 실효성을 입증하는 사례가 될 수 있다는 시각이다.
개인정보 보호 전문가들은 쿠팡에 거액의 과징금이 실제로 부과될 경우, 동종 이커머스·플랫폼 업계 전반에서 보안 설계(Privacy by Design) 강화와 정기적인 취약점 점검 확대로 이어질 것이라고 분석한다. 쿠팡은 뉴욕증권거래소 상장사인 만큼, 이번 제재 결과가 글로벌 투자자들의 규제 리스크 평가에도 영향을 미칠 것이라는 관측도 제기된다.
