[이데일리 권하영 기자] 3370만 건에 이르는 초대형 개인정보 유출 사태를 일으킨 쿠팡을 둘러싸고 정부와 정치권의 ‘엄벌론’이 거세지는 가운데, 송경희 개인정보보호위원장이 현행 법률이 허용하는 범위 내에서 “엄중한 판단”을 예고했다. 단순히 한 기업의 사고 대응을 넘어, 국내 개인정보보호 제도의 구조적 허점을 재점검해야 한다는 지적도 힘을 얻고 있다.

송경희 개인정보보호위원장은 3일 국회 정무위원회 전체회의에서 “매출 연동 과징금이나 징벌적 손해배상 제도 개선을 이번 쿠팡 사태에 즉시 적용할 수 있느냐”는 질의에 “법적으로 소급 적용은 어렵다”면서도 국회의 ‘현행 제도 내 최대한의 엄정 처벌’ 요구에는 “모든 가능성을 열어두고 엄격하게 보겠다”고 강조했다. 개인정보위가 재량 감경 폭을 최소화할 가능성이 제기되는 대목이다.

송 위원장은 “향후 유사 사고 재발 방지를 위해 징벌적 과징금과 손해배상 실효성 제고를 위한 법 개정을 준비 중”이라고 설명했다.

이번 사태를 계기로 정치권에서는 개인정보보호법상 과징금 상한(매출액의 3%)을 대폭 상향해야 한다는 논의가 빠르게 확산하고 있다. 그러나 법이 개정되더라도 지금 조사 중인 쿠팡 사건에는 적용할 수 없다는 점이 분명한 한계로 남는다. 현행 제도상 쿠팡이 개인정보보호관리체계(ISMS-P) 인증을 보유했다는 이유만으로 과징금 감경 대상이 될 수 있다는 점도 도마에 올랐다. 실제 2023년 쿠팡 정보 유출 사고 당시 개인정보위의 기준 과징금은 39억 원이었지만, ISMS-P 인증 보유로 50% 감경됐고, 자진 신고 등 재량 감경 30%가 추가 적용되면서 최종 과징금은 13억 원으로 줄었다.

박상혁 더불어민주당 의원은 “인증을 받았음에도 보안이 뚫려 사고가 났는데 이것이 오히려 과징금 감경 사유가 되는 건 앞뒤가 맞지 않는다”고 지적했다. 같은 당의 허영 의원도 “이번 조사에서도 쿠팡의 과실이 확인되면 또다시 ISMS 인증을 근거로 50% 감경해 줄 것이냐”고 질타했다.

이에 대해 송 위원장은 “ISMS 제도가 자율 인증이다 보니 참여 독려 차원의 혜택이 있었다”면서도 “문제점을 반영해 철저하게 검토하겠다”고 말했다. 감경 여부에 대해선 “여러 가지 사항을 엄격하게 보겠다”며 “감경 역시 제가 재량적으로 할 수 있는 여지들이 많기 때문에 사안의 엄중성에 따라 보겠다”고 했다.

현행 법 체계 내에서도 정부가 강력한 처분을 내릴 수 있다는 지적도 제기됐다. 김성주 더불어민주당 의원은 “관련 법에 따르면 매출액 3%까지 과징금을 부과할 수 있고 징벌적 손해배상도 5배까지 가능하다”며 “쿠팡 매출 41조 원을 고려하면 1조2000억 원의 과징금과 6조 원대 배상도 가능한데 정부가 법이 허용하는 권한을 제대로 쓰지 않고 있다”고 말했다. 개인정보보호법은 기업의 중과실이 인정되면 손해액의 5배까지 배상하도록 규정하지만, 실제 적용된 사례는 아직 없다.

실제 쿠팡의 ISMS-P 인증을 취소해야 한다는 주장에도 힘이 실린다.

이날 한창민 사회민주당 의원이 “이번 사안은 인증 기준을 지키지 않은 중대 사례로서 ISMS-P를 취소해야 한다”고 지적하자 이상중 한국인터넷진흥원(KISA) 원장은 “엄중한 사안으로 보인다”며 “개인정보위와 논의하겠다”고 답했다.