보안 사고 한 방에 1년 이익 날린 쿠팡...개인정보 유출로 물어야 할 '진짜' 비용은

|스마트투데이=황태규 기자| 개인정보보호위원회가 11일 쿠팡에 부과한 과징금 6246억8100만원은 국내 개인정보 유출 사고 제재금 사상 최대 규모다. 이는 특히 쿠팡의 2025년 영업이익 6790억원의 92%에 달하는 수준으로, 보안 사고 한 건 탓에 국내 최대급 유통 회사가 1년치 이익을 거의 다 날린 셈이라 업계에서 추후 전개될 상황을 예의주시하고 있다.

과징금은 시작일 뿐

12일 관련 업계에 따르면 이미 개인정보 유출 파장은 쿠팡 실적에 영향을 미친 상태다. 쿠팡의 2025년 4분기 영업이익은 115억원에 그쳤다. 이는 전년 동기(4353억원) 대비 97% 급감한 수치다. 4분기 영업이익률은 0.09%까지 추락했고, 당기순손실은 377억원을 기록했다.

쿠팡은 지난 2월 미국 증권거래위원회(SEC) 제출 연간보고서에서 "개인정보 유출 사태가 4분기 매출 성장률, 활성 고객 수, 로켓와우 멤버십과 수익성에 부정적 영향을 미친 것으로 추정한다"고 밝혔다. 과징금이 확정되기 전, 이미 실적에서 수천억원이 사라졌다는 의미다.

여기에 소송 리스크도 더해진다. 피해자 규모는 회원 3322만명, 비회원 433만여명을 합쳐 총 3755만명이다.

이미 집단소송이 추진 중인 가운데, 과거 유사 판례의 위자료(인당 5만~50만원 수준)를 단순 적용하면 잠재 배상 규모의 이론적 상단은 수조원에 달한다.

다만 실제 소송 참여율을 감안하면 현실적 규모는 크게 낮아질 전망이다. 쿠팡은 이번 과징금에 불복해 행정소송을 예고한 상태로, 법무 비용도 앞으로 누적된다.

보안 강화 투자도 빠질 수 없다. 쿠팡은 지난 2월 실적 발표에서 사고 이후 "자본지출이 증가했다"고 밝혔다. 구체적인 규모는 공개하지 않았지만, 개인정보위가 시정 명령한 인증 체계 정비·접근 통제 강화·모니터링 시스템 확충 등만 해도 상당한 비용이 수반될 것으로 추정된다.

특히나 보안 사고의 충격이 유통업에서 유독 치명적인 이유는 업종 구조에 있다. 쿠팡의 2025년 연간 영업이익률은 1.38%다. 2023년 1.93%에서 3년 연속 하락세다.

대형마트 등 오프라인 유통업도 사정은 다르지 않다. 매출 대비 이익이 얇기 때문에 수천억원짜리 일회성 충격이 연간 영업이익을 순식간에 지워버릴 수 있는 것이다.

과징금 외에 추가적 비용이 드는 구조는 이전 SK텔레콤(SKT)의 사례를 통해서도 알 수 있다.

지난해 4월 유심 정보 유출 사고를 낸 SKT에 부과된 과징금은 약 1348억원이다. SKT는 사고 직후 전 가입자를 대상으로 유심 무료 교체를 단행했다.

임봉호 당시 SKT MNO사업부장은 "유심 교체비용(개당 7700원)을 고려하면 2000만명 전체 교체 시 약 1500억원, 유통망 업무처리비용 300억~400억원을 더하면 총 약 2000억원이 들어갈 것"이라고 밝힌 바 있다.

여기에 한국소비자원은 피해자 1인당 10만원 보상을 권고하는 조정 결정을 내렸다. 대상 가입자를 기준으로 한 잠재 보상 총액은 2조3000억원 규모로 추산된다.

SKT는 과징금 취소 소송을 제기한 상태로, 조정 수락 여부는 아직 확정되지 않았다. 다만, 두 사례가 보여주는 것은 사고 유형에 따라 '진짜 비용'의 구성이 달라진다는 점이다.

개인정보 분쟁조정위원회는 개인정보를 유출한 쿠팡을 상대로 제기된 집단분쟁조정 신청사건 2건을 단일 건으로 병합해 12일 조정절차를 재개했다. 분쟁조정위는 개인정보위가 지난해 11월 21일 쿠팡의 개인정보 유출에 대한 조사를 시작하면서 해당 사안과 관련한 집단분쟁조정 사건 2건을 올해 2월 9일에 일시 정지했다. 이후 개인정보위가 쿠팡에 과징금 등 부과 처분을 의결함에 따라 일시 정지했던 조정절차를 재개해 추가 참가자 신청을 받는 것이다.

쿠팡만의 문제가 아니다... 보안 투자 늘려야

이번 쿠팡 사태가 주목받는 것은 과징금 규모만의 문제가 아니다. 규제 당국은 쿠팡의 정보보안 투자 미비 등을 직접 겨냥했다.

송경희 개인정보위원장은 "이번 유출사고는 고도의 해킹이 아닌 기본적인 안전관리 체계 미비와 관리 소홀로 인해 발생한 것으로 확인했다"라고 못 박았다.

유통·플랫폼업계의 유사 사례가 줄을 잇고 있다는 점에서도 이번 쿠팡 제재가 보안투자 강화 등의 실효를 거둘지에 관심이 쏠린다. 개인정보위가 이번 쿠팡 제재와 함께 국내외 기업을 막론하고 엄격한 법적 책임을 적용하겠다 선을 그은 만큼, 유통·플랫폼 업계 전반의 재점검 요구는 더욱 거세질 전망이다.

지난 5월 30일에는 국내 인터넷동영상서비스(OTT) 티빙의 데이터베이스에 신원 미상의 해커가 직접 침입해 회원 이름·생년월일·연계정보(CI) 등을 탈취했다. 개인정보위는 티빙에 대한 조사에 착수했다.

개인정보위는 "티빙에 대한 자료제출 요구, 현장 조사 등을 통해 구체적인 유출 경위, 피해 규모, 안전조치 의무 및 유출 통지·신고 의무 등 개인정보 보호법 준수 여부를 조사할 것이며, 법 위반사항 발견 시 관련 법령에 따라 엄정히 처분할 예정"이라고 전했다.

앞서 개인정보위는 과징금 등 제재의 실효성 강화와 기업 등의 개인정보 보호 투자 확대를 위한 개인정보 보호법 시행령 개정안을 마련해 이달 1일부터 7월 13일까지 입법예고 중이다.

개정안은 반복적이거나 중대한 개인정보 침해행위에 대해 전체 매출액의 최대 10%(현행 3%)까지 과징금을 부과할 수 있도록 하되, 예산·인력·설비·장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우에는 과징금을 감경해 사전적 예방 투자를 유도하는 내용이 골자다.