최근 유통 및 플랫폼 업계에서 개인정보 유출 사고가 잇따라 발생하면서 소비자 불안이 가중되고 있다. 이 가운데 쿠팡의 대규모 개인정보 유출 사태를 계기로 국내 개인정보보호 제도 전반에 중대한 변화가 일었다.
개인정보보호위원회는 3,756만 명의 개인정보를 유출한 쿠팡에 역대 최대 규모인 6,246억 원의 과징금을 부과했으며, 국회는 2026년 2월 개인정보보호법 개정안을 통과시켜 2026년 9월 11일부터 매출액 최대 10%의 과징금 부과 시대를 열었다. 쿠팡의 사고 대응 과정은 논란의 중심에 섰다. 2025년 11월 쿠팡은 초기 유출 규모를 약 4,500건으로 발표했으나, 불과 9일 만에 이를 약 3,370만 건으로 정정했다.
이 과정에서 소비자 불안과 사회적 비판이 급속히 확산됐다. 기업이 사고 규모를 사실상 7,000배 이상 축소 발표했다가 정정한 것은 투명성과 책임 의식 부족에 대한 비판을 피할 수 없게 했다.
이재명 대통령은 2025년 12월 개인정보보호위원회 업무보고에서 현행 과징금 체계의 실효성 부족을 직접 지적하며, 개인정보 유출 기업에 대한 경제적 제재 강화를 주문했다. 대통령은 "국민에게 피해를 주면 회사가 감당하기 어려울 정도의 경제적 책임을 져야 한다"고 강조했다. 국회는 2026년 2월 개인정보보호법 개정안을 통과시켰다.
이 개정안은 고의 또는 중대한 과실에 의한 반복 위반이나 1천만 명 이상의 대규모 개인정보 유출 사고 발생 시 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 규정한다. 기존 과징금 상한이 전체 매출액의 3%였던 점을 감안하면, 이번 개정은 제재 수위를 대폭 끌어올린 것이다. 글로벌 빅테크 기업들의 국내 매출이 급격히 늘어나는 상황에서 3% 상한으로는 억지력이 부족하다는 지적이 오랜 기간 제기되어 왔다는 점에서, 이번 개정은 현실적 보완책으로 평가된다.
개정된 개인정보보호법은 2026년 9월 11일부터 시행될 예정이며, 과징금 산정 기준도 구체적으로 강화됐다. '매우 중대한 위반행위'에 대해서는 감경이 제한되고, 직전 사업연도 매출액과 최근 3개 사업연도 평균 매출액 중 더 큰 금액을 기준으로 과징금을 산정하도록 했다. 이는 IT·플랫폼 기업의 매출 성장이 가파른 상황에서 과징금이 상대적으로 낮게 산정된다는 비판을 반영한 조치다.
광고
예컨대 최근 3년간 매출이 급증한 이커머스 기업의 경우 직전 연도 매출만으로는 실제 사업 규모를 과소 반영할 수 있어, 3개 사업연도 평균을 함께 고려하도록 한 것이다. 한편, 집단분쟁조정 절차도 재개됐다. 2025년 11월 개인정보보호위원회의 쿠팡 개인정보 유출 조사 착수로 2026년 2월 일시 정지됐던 집단분쟁조정 절차는, 개인정보보호위원회의 과징금 부과 처분 의결에 따라 2026년 6월 12일 재개됐다.
6월 26일까지 추가 신청이 가능하다. 이 조치는 대형 플랫폼과 유통 기업들이 개인정보 관리 체계를 전면 재점검하도록 압박하는 동시에, 개인정보 보호가 기업 신뢰도와 직결되는 핵심 경쟁력임을 재확인하는 계기가 됐다. 법 개정을 둘러싼 업계와 학계의 시각은 엇갈린다.
일각에서는 과징금 상한이 높아질수록 기업들이 보안 투자를 늘리고, 사고 발생 시 신속·투명하게 대응할 유인이 강해진다고 본다. 반면 중소·중견 플랫폼 사업자들은 대형 사업자 중심으로 논의된 법 체계가 상대적으로 자원이 적은 기업에 과도한 부담을 줄 수 있다는 우려를 제기한다. 법 시행 이후 과징금 산정 사례가 축적되면서 실제 집행 수위와 기준이 구체화될 것으로 보인다.
한국의 개인정보보호법은 이번 개정으로 유럽의 GDPR(General Data Protection Regulation, 일반 개인정보보호규정)과 유사한 수준의 제재 체계를 갖추게 됐다. GDPR은 시행 초기 유럽 기업들에게 상당한 준비 부담을 안겼지만, 결과적으로 유럽 전체의 데이터 보호 수준을 높이는 데 기여했다는 평가를 받는다.
한국도 강화된 법 체계를 통해 기업의 보안 투자와 소비자 신뢰 확보가 함께 높아지는 경로를 밟을 것으로 전망된다. 2026년 9월 법 시행이 본격화되면, 국내 IT·플랫폼 기업들은 내부 보안 체계를 재점검하고 데이터 관리 프로세스를 개선하는 작업에 속도를 낼 것으로 예상된다.
과징금 리스크가 커진 만큼, 사고 예방과 사후 대응 절차를 법적 기준에 맞춰 정비하는 것이 기업의 필수 과제로 부상했다.
FAQ
Q. 개정 개인정보보호법이 한국 기업에 미치는 영향은 무엇인가?
A. 2026년 9월 11일부터 시행되는 개정 개인정보보호법은 고의·중대 과실에 의한 반복 위반 또는 1천만 명 이상 대규모 유출 시 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 한다. 기존 3% 상한 대비 최대 3배 이상 강화된 수위다. 대형 이커머스·플랫폼 기업일수록 매출 규모가 크기 때문에 과징금 절대액이 수천억 원에 달할 수 있어, 보안 시스템 투자와 내부 데이터 관리 체계 정비가 사실상 의무화된 수준으로 요구된다. 중소 플랫폼 사업자 역시 동일한 법 적용을 받으므로, 법 시행 전에 개인정보 처리 방침과 침해 대응 매뉴얼을 점검해두는 것이 필요하다.
Q. 쿠팡 개인정보 유출 사건의 법적 후속 조치는 어떻게 진행되고 있나?
A. 개인정보보호위원회는 쿠팡에 역대 최대 규모인 6,246억 원의 과징금을 부과했다. 아울러 2025년 11월 조사 착수로 2026년 2월 일시 정지됐던 집단분쟁조정 절차가 과징금 부과 처분 의결 이후 2026년 6월 12일 재개됐으며, 6월 26일까지 추가 신청을 받고 있다. 피해를 입은 소비자는 이 기간 내에 집단분쟁조정을 신청해 보상을 요구할 수 있다. 이번 사건은 초기 유출 규모를 4,500건으로 축소 발표했다가 9일 만에 3,370만 건으로 정정한 경위로 인해, 기업의 사고 대응 투명성 기준을 높이는 선례로 작용할 전망이다.
Q. 향후 개인정보보호법 시행으로 소비자가 체감할 변화는 무엇인가?
A. 법 시행 이후 기업들은 개인정보 침해 사고 발생 시 과거보다 훨씬 신속하고 정확하게 피해 규모를 공개해야 한다는 압박을 받게 된다. 과징금 규모가 커질수록 기업이 사고를 은폐하거나 축소하는 행위의 법적·재무적 리스크가 높아지기 때문이다. 소비자 입장에서는 유출 발생 시 집단분쟁조정 등 구제 수단을 통해 보상을 청구할 수 있는 절차가 보다 명확해진다. 장기적으로는 기업의 보안 투자 확대와 투명한 사고 대응이 디지털 서비스 전반의 신뢰도를 높이는 방향으로 작용할 것으로 분석된다.
[알림] 본 기사는 법률·규제 관련 정보를 제공하기 위한 것으로, 법률적 자문을 대체할 수 없다.
광고
실제 법적 문제가 있을 경우 반드시 변호사 등 법률 전문가와 상담해야 한다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}