Coupang is facing the possibility of a record fine from the data protection regulator following a significant breach of customer information, which affected 33.7 million customers, according to industry sources.
The Personal Information Protection Commission (PIPC) has indicated that it will take stern action against the e-commerce giant. Under the personal information protection law, companies that experience data leaks can be fined up to 3 percent of their total sales, excluding sales from unrelated business activities.
With Coupang's reported sales of 41 trillion won ($27.8 billion) last year, the potential fine could reach up to 1.2 trillion won.
In a previous case, the privacy watchdog imposed a record fine of 134.8 billion won ($91.9 million) on a wireless carrier for a data breach affecting 23 million users. However, this penalty was significantly lower than the maximum possible fine of over 300 billion won.
PIPC Chairperson Song Kyung-hee stated during a parliamentary session that the commission would make a strict judgment regarding Coupang's situation, considering the seriousness of the breach.
The regulator has also demanded that Coupang re-notify its users about the data leak, criticizing the company's initial notification for downplaying the incident as merely an "exposure" of personal data.
Additionally, the breach has raised concerns about the potential revocation of Coupang's Personal Information and Information Security Management System (ISMS-P) certification. Song mentioned that the commission would investigate whether Coupang's practices align with the certification standards and could revoke it if significant violations are identified.
To date, no company has had its ISMS-P certification canceled.
개인정보 보호위원회 위원장인 송경희가 수요일 서울 국회에서 열린 국회 정책위원회 회의에서 의원들의 질문에 응답한 후 자리에 돌아가고 있다.
산업 소식통에 따르면 쿠팡은 고객 정보 대규모 유출로 인해 데이터 보호 규제 기관으로부터 기록적인 벌금을 받을 가능성에 직면해 있다고 전했다.
개인정보 보호위원회(PIPC)는 쿠팡이 지난주 3,370만 고객의 개인정보가 유출되었다고 발표한 후 엄중한 조치를 예고했다. 이로 인해 쿠팡이 받을 가능성이 있는 벌금의 규모에 대한 의문이 제기되고 있다.
개인정보 보호법에 따르면 개인정보 유출 사고를 겪는 기업은 총 매출의 최대 3%까지 벌금을 부과받을 수 있으며, 위반과 관련 없는 매출은 제외될 수 있다.
쿠팡의 지난해 매출이 41조 원(약 278억 달러)에 달하는 만큼 최대 1.2조 원의 벌금이 부과될 수 있다.
이번 8월, 개인정보 보호 감시 기구는 데이터 유출로 2,300만 사용자에게 영향을 미친 SK텔레콤에 대해 1,348억 원(약 9,190만 달러)의 기록적인 벌금을 부과했다.
이 금액은 규제 기관에서 부과한 가장 높은 벌금이었지만, 3,000억 원이 넘는 최대 가능 금액에는 훨씬 못 미친다.
송경희 위원장은 수요일 국회 정책위원회 회의에서 쿠팡의 잠재적 벌금에 대해 "관대함을 부여할 여지가 있는 만큼 사안의 심각성에 따라 엄정하게 판단할 것"이라고 말했다.
규제 기관은 쿠팡의 데이터 유출에 대해 엄정한 입장을 유지하고 있으며, 쿠팡에게 누출 사실에 대해 재통지할 것을 요구하고 있다. 쿠팡이 이전에 개인정보 노출 사건을 가볍게 다룬 것으로 보이는 통지에 문제를 제기하고 있다.
또한 쿠팡의 데이터 유출 사건은 개인정보 보호 감독 기관과 과학기술부가 부여한 개인정보 및 정보 보안 관리 시스템(ISMS-P) 인증이 취소될 수 있을지에 대한 의문을 제기하고 있다.
송 위원장은 위원회에서 쿠팡의 운영 방식이 인증 기준을 충족하는지 조사하고, 중대한 위반 사항이 발견될 경우 인증을 취소할 것이라고 말했다. 현재까지 ISMS-P 인증이 취소된 기업은 없다.