과징금 1억 원 이상 사례로 본 한국 개인정보 보호의 현실

한국에서도 개인정보보호법과 정보통신망법 위반에 따른 과징금 처분 사례가 점점 늘어나고 있다. 특히 최근 몇 년 사이, 1억 원 이상의 고액 과징금이 부과된 사건들은 단순한 실수나 보안 취약점이 아닌, 기업의 구조적 방임과 반복적인 위반, 사용자 권리 무시에 기인한 경우가 많다. 개인정보 보호는 더 이상 IT팀만의 문제가 아니라, 경영 전반에서 관리해야 하는 핵심 리스크가 되었으며, 대기업, 스타트업, 공공기관을 막론하고 동일한 법적 기준에 따라 책임이 부과된다. 본 글에서는 실제 과징금 1억 원 이상이 부과된 주요 사건들을 정리하고, 어떤 유형의 위반이 제재로 이어졌는지, 한국 정부가 어떤 기준으로 과징금 수준을 판단했는지를 구체적으로 분석한다.

 

네이버 – 접속기록 과다 보관 및 동의 없는 활용

국내 대표 포털 기업인 네이버는 2020년 11월 개인정보보호위원회로부터 약 6억 7,000만 원의 과징금을 부과받았다. 핵심 위반 사유는 사용자 접속기록을 법정 보유기간(3개월)을 초과해 1년 이상 보관했고, 이를 사전 동의 없이 마케팅과 보안 분석에 활용한 점이다. 개인정보보호법에서는 서비스 제공 목적 외의 정보 활용은 사전 동의 없이 불가능하며, 특히 접속기록은 개인 식별성이 높은 민감 데이터로 간주다. 네이버는 관련 데이터를 “서비스 품질 개선”이라는 포괄적 항목 아래에 포함 보관하고 있었고, 사용자는 자신이 어떤 데이터가 수집되고 있는지 알 수 없었다. 또, 개인정보 수집·이용 동의서에 관련 내용이 구체적으로 명시되어 있지 않았고, 설정 화면에서도 해당 기록을 제어할 수 있는 방법이 없었다. 이 사건은 한국 내 대표 IT 기업이 기술적으로는 데이터 보호 조치를 했지만, 사용자 통제권 보장에는 실패했다는 점에서 큰 주목을 받았다. 이후 네이버는 개인정보 처리 방침을 개정하고, 데이터 보관 주기와 고지 구조를 전면 개선했다.

 

카카오 – 마케팅 수신 동의 위반과 과도한 개인정보 수집

2022년 2월, 카카오는 이용자 개인정보를 제자에게 제공하면서 명확한 동의 절차를 거치지 않았다는 이유로 약 3억 5,000만 원의 과징금을 부과받았다. 개인정보보호위원회에 따르면 카카오는 카카오 T, 카카오페이지, 멜론 등 계열 서비스 간 개인정보를 통합 관리하면서, 사용자의 동의 없이 데이터를 공유했고, 이 데이터를 광고 타겟팅에 활용한 것으로 드러났다. 문제는 사용자 입장에서 “내 정보가 어디서 어떻게 활용되고 있는지를 알 수 없는 구조”였다는 점이다. 또한 일부 서비스에서는 마케팅 수신 동의를 받지 않은 사용자에게도 문자나 앱 푸시 형태로 광고성 정보를 전송한 사례가 확인되었다. 이는 정보통신망법 위반에 해당하며, 방송통신위원회도 별도의 조사를 병행했다. 특히 카카오는 한 번에 전체 항목을 동의하도록 구성된 ‘묶음형 동의 구조’를 사용하고 있었고, 이는 개인정보 처리 목적별로 선택할 수 있는 동의 구조가 아니므로 위법이라는 판단이 내려졌다. 이 사건 이후 카카오는 광고 노출 설정 기능을 분리하고, 이용자 프로파일 기반 광고를 일정 부분 제한했으며, 계열사 간 개인정보 공유에 대한 고지 수단을 강화했다. 이 사례는 데이터 통합·연동이 기업 입장에서는 효율적일 수 있지만, 사용자 통제권이 배제되면 위법이 된다는 명확한 기준을 보여준다.

 

쿠팡 – 수탁자 관리 미흡과 보안 사고

2021년, 전자상거래 플랫폼 쿠팡은 외주 인력(수탁자) 관리 미흡으로 인한 개인정보 유출 사건으로 약 3억 원 이상의 과징금을 부과받았다. 쿠팡은 고객센터 아웃소싱을 통해 외부 업체에 개인정보 처리 업무를 위탁했는데, 이 과정에서 고객 개인정보가 외주 직원 개인 이메일로 전송되고, 내부 모니터링 시스템이 이를 감지하지 못한 것이 문제로 지적되었다. 이는 개인정보보호법 제26조에 따른 수탁자 관리·감독 의무를 위반한 사례다. 특히 쿠팡은 수탁사에 대한 접근 제한, 작업 이력 관리, 실시간 감시 시스템 등을 일부 도입했지만, 위탁 업무에 대한 주기적 교육이나 감독체계는 마련되어 있지 않았고, 외주 직원이 데이터를 USB로 복사하거나 타인에게 전달하는 행위를 실시간으로 차단할 수 없었다. 결과적으로 10만 건 이상의 고객정보가 비인가 유출되었고, 일부는 실제 보이스피싱 시도에 악용된 정황까지 확인되었다. 이 사건은 ‘보안 시스템은 구축했지만, 사람의 행위에 대한 감독은 부족했다’는 점에서 조직 구조의 맹점을 드러낸 대표 사례로 남았다. 이후 쿠팡은 외주 인력의 접근권한을 최소화하고, 모든 작업을 중앙 서버 기반으로 제한하는 구조로 변경했으며, 교육 이수 확인 없이는 작업이 불가능하도록 내부 정책을 강화했다. 

 

LG유플러스 – 대규모 개인정보 유출과 부실한 대응

2023년 1월, LG유플러스는 해킹으로 인해 약 29만 건의 고객 개인정보가 유출된 사건에 대해 과학기술정보통신부로부터 5억 원 이상의 과징금 처분을 받았다. 해커는 LG U+ 고객센터 시스템의 취약점을 통해 침투했으며, 이름, 주민등록번호, 전화번호, 주소 등 중요한 식별 정보가 포함된 데이터가 외부로 유출되었다. 문제는 사고 이후 LG U+의 대응 방식이었다. 초기 대응에서 피해 규모를 축소하거나, 사용자 고지를 지연시키는 등의 조치 미흡이 발생했고, 백업 시스템에서도 침입 흔적이 확인되어 보안 시스템 전반의 허점을 드러냈다. 특히 보안 로그에 대한 정기 점검, 이상 탐지 시스템 구축, 사고 발생 시 외부 기관 통보 절차 등이 미비하다는 점이 지적되었다. 개인정보보호위원회와 과기정통부는 공동 조사를 통해 “기술적 보호조치 미흡과 법정 대응 기준 미준수”를 명시적 위반으로 판단했다. 이 사건은 보안 사고 자체보다, 그 이후의 조치와 책임 회피가 더 큰 문제로 작용할 수 있다는 점을 분명히 보여준다. 이후 LG U+ 는 전체 보안 정책을 재점검하고, 외부 보안 감사를 의무화했으며, 사용자 대상 고지 기준을 강화했다. 그러나 사건의 여파로 인해 기업 평판과 고객 신뢰도는 상당히 하락했고, 이는 보안 사고가 단순한 IT 문제를 넘어 경영 리스크로 직결된다는 교훈을 남겼다.

 

한국에서도 과징금 1억 원 이상이 부과된 개인정보 위반 사례는 점차 늘어나고 있으며, 그 원인은 대부분 단순 실수라기보다는 구조적·반복적·고의적 관리 부실에 가까운 패턴을 보인. 개인정보를 보호하기 위해서는 단지 보안 해을 도입하거나 방침을 게시하는 것만으로는 충분하지 않으며, 수집 → 동의 → 처리 → 위탁 → 보관 → 삭제 전 과정에서 사용자 권리를 실질적으로 보장하는 구조를 갖춰야 한다. 네이버, 카카오, 쿠팡, LG U+ 등 대형 기업도 예외가 될 수 없으며, 정부 역시 위반 규모와 파급력에 따라 점점 더 과감한 과징금을 부과하고 있다. 특히 이용자의 알 권리, 통제권, 이의 제기권을 무시한 설계는 그 자체로 위법이 되는 시대다. 앞으로 한국도 GDPR처럼 설계단계에서부터 개인정보 보호를 내재화하는 ‘프라이버시 중심 서비스 디자인’이 기업의 기본 책무가 될 것이며, 이는 단순한 규제 대응을 넘어 브랜드 신뢰, 시장 경쟁력, 경영 위기관리의 핵심 전략이 되어야 한다.