송경희 개보위원장 "쿠팡, 법대로 엄정 처분…통상 이슈 고려 안해"

송경희 개인정보보호위원회 위원장이 21일 서울 중구 한국프레스센터에서 열린 신년간담회에서 인사말을 하고 있다.ⓒ개인정보보호위원회

개인정보보호위원회(개인정보위)가 현재 조사 중인 쿠팡 개인정보 유출 사고와 관련해, 오로지 개인정보보호법을 원칙으로 사안을 엄중히 판단하겠다는 입장을 밝혔다. 쿠팡 사고를 조사하는 과정에서 한미 외교·통상 이슈는 고려하지 않겠다는 의지를 피력한 것이다.

이와 함께 최근 SKT가 개인정보보호위원회에 제기한 과징금 불복 행정소송에 대해서는 "유출로 인한 피해가 없었다고 과징금이 과도하다는 것은 논리에 맞지 않다"고 지적하며, 적극적으로 대응하겠다고 강조했다.

송경희 개인정보위 위원장은 21일 서울 중구 한국프레스센터에서 열린 신년간담회에서 "쿠팡은 대응 과정에서 다른 유출 사업자나 개인정보 훼손 사업자 및 기관과는 다른 면모가 있었다"며 "우리의 중요 원칙은 국내 사업자든 해외 사업자든 개인정보보호법 위반을 원칙으로 엄정하게 보겠다는 것이다. 국민에게 준 피해가 얼만큼인지, 안전조치에서 어떤 부분이 잘못됐는지 엄격하게 봐서 평가하겠다"고 말했다.

앞서 쿠팡은 지난해 11월 개인정보 유출 사고를 두 차례 신고했다. 1차는 4400명, 2차는 3000명이었다. 고객 이름, 전화번호, 배송지 등 신상정보가 포함된 것으로 알려져 2차 피해 우려가 제기됐다. 이에 대해 쿠팡은 개인정보 유출 사건 보상책으로 실질적으로 사용하기도 어려운 5만원 상당의 구매 이용권을 제공한다고 밝혀 또 다시 논란에 휩싸였다. 탈퇴한 이용자는 재가입 시 쿠폰을 받을 수 있어 이번 보상책이 오히려 '유인책' 아니냐는 지적도 제기됐다.

송 위원장은 "실질적인 피해 보상이라고 정보 주체가 인식할 정도라면 과징금 처분 시 고려할 수 있지만, 실질적인 피해 보상이 정말 이뤄진 것인지는 중요한 문제인 것 같다"며 "(엄정 조사가) 통상 변수가 되는 것은 고려하지 않고 있다"고 부연했다.

"정보 통제 못했으니 책임 져야…SKT 불복 소송 적극 대응"

SKT가 제기한 개인정보 유출 과징금 취소 소송에 대한 질의도 제기됐다. 개인정보위는 약 2300만명의 가입자 개인정보를 유출당한 SKT에 역대 최대 규모인 과징금 1300억원을 부과한 바 있다. SKT는 이에 불복해 지난 19일 행정 소송을 제기했다. 해킹 사고 이후 보상안과 정보보호 혁신안 마련에 총 1조2000억원을 투입한 점, 유출로 인한 금융 피해는 없었던 점 등이 고려돼야 한다는 입장이다.

송 위원장은 개인정보 유출 사고가 일어난 기업에 대해 과징금을 부과하는 이유를 이해해야 한다고 꼬집었다.

그는 "미국이나 EU(유럽연합)도 마찬가지로 개인정보 침해나 유출 사고에 과징금을 부과하는 의미는 많은 개인정보를 보유, 저장, 활용하는 과정에서 제대로 통제하지 못해 정보 주체에게 피해를 입힌 것에 책임을 지는 것"이라며 "부당 이득을 취하지 않았기 때문에 과징금을 부과하는 것이 부당하다는 것은 논리에 맞지 않는 말"이라고 지적했다.

이어 "법적 사항을 철저하게 검토하고 산정해서 나온 과징금이라 그에 맞게 대응하면 될 것으로 생각한다"며 "다윗과 골리앗의 싸움이라고 하는데 소송 담당 부처 규모가 작은 건 사실이나 과징금 규모가 더욱 커지고 있고 이런 일이 많이 일어날 개연성이 높아지면서 전반적인 흐름 속에서 (소송 대응) 팀 보강이 필요하다"고 덧붙였다.

송경희 개인정보보호위원회 위원장이 21일 서울 중구 한국프레스센터에서 열린 신년간담회에서 인사말을 하고 있다.ⓒ개인정보보호위원회

"KT 유출 조사 많이 진행돼…LGU+ 서버 폐기 심각하다고 본다"

KT 개인정보 유출 사고에 대한 조사는 아직 마무리된 상황이 아니라고 언급했다. 송 위원장은 "많이 진행했고 확인 및 처리 과정이 필요하다"며 "작은 규모지만 피해 이뤄진 것들 감안해서 충분히 논의 후 적절한 처분이 이뤄지도록 할 것"이라고 설명했다.

이날 송 위원장은 올해 기업과 기관의 개인정보 보호체계를 사후 제재가 아닌 사전 예방 방식으로 전환하는 작업에 드라이브를 거는 것을 일순위 과제로 내세웠다.

중대하고 반복적인 위반에 대해서는 징벌적 과징금 특례를 도입하는 안건을 추진 중이다. 공공기관은 매출액 개념을 적용하기 어려운 만큼 과징금을 20억원까지 상향하는 것을 검토하고 있다. 기업이 선제적으로 개인정보 보호에 투자하고 예방 조치를 이행한 경우에는 과징금 감경 등 인센티브 제도 도입을 논의 중이다.

송 위원장은 "매출의 10%를 과징금으로 부과하겠다는 것이 정부의 입장이다. 현재 법제사법위원회에 회부된 상태로, 세부 시행령도 마련 중"이라며 "인센티브 제도 역시 법적 근거를 마련하고, 기존 가중·감경 요소를 종합 및 정리해 새롭게 정립하고 있다"고 했다.

이와 함께 전사적 개인정보 관리체계가 작동할 수 있도록 CEO(최고경영자) 개인정보 보호에 대한 책임을 명확히하고, CPO(최고정보보호책임자)의 권한 강화와 지정 신고제 도입 등을 도모한다.

이 과정에서 개인정보 유출 사고 발생 시 기업이 신속하게 사고를 신고하고 대응할 유인이 필요하다는 의견도 제기됐다. 특히 LG유플러스의 경우, 침해 정황 통보 이후 일부 서버를 재설치하거나 폐기한 사실이 확인되며 조사가 불가해 사건이 경찰로 넘어갔다.

송 위원장은 "서버 폐기 등 자료를 없애는 문제는 매우 심각하다고 본다"며 "기존 법률 체계 하에서 엄중하게 보고 있고, 분명 부족한 면이 있다. 관계 조사권 등 법적 기준을 마련하고 있다"고 강조했다.

송 위원장은 "법령 개정이 필요한 사항은 입법 절차를 신속히 추진해 사전 예방 중심 보호 체계가 현장에서 안정적으로 정착될 수 있도록 하겠다"고 말했다.