개인정보보호위원회는 쿠팡 내부자 통제 부실로 인해 심각한 ISMS-P 위반을 발생했다고 밝혔다. 송경희 위원장은 “내부자 통제가 제대로 이뤄지지 않았다면 심각한 ISMS-P(정보보호 및 개인정보보호 관리체계) 위반에 해당한다”고 말했다. 쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 받았지만 4건의 개인정보 유출이 발생했다. ISMS(정보보호)에 내부자의 접근 권한 관리 기준이 마련돼 있고, P(개인정보보호) 영역에도 관련 요구사항이 있다. 인증 운영 과정에서 점검했을 때 직접적인 위반은 드러나지 않았지만, 관련 결함 사실은 발견돼 시정 조치를 요구해 놓은 상태다. 인증 취소도 검토 중이다. 정무위원회는 중대한 개인정보 유출 시 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 법안을 11월 27일 통과했다. 매출액 산정이 어려운 경우 최대 50억원의 과징금을 부과한다. 그러나 헌법상 형벌 불소급 원칙에 따라 쿠팡 사태에는 10% 과징금이 적용되지 않는다. 중대한 위반 아니면 기존 3% 이내 과징금을 부과한다. 징벌적과징금 소급적용 고려 안 해…엄격한 법 적용 필요
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com