"쿠팡 美·유럽서 장사했다면 수조원 배상하고 파산"…한국은?

美, 메타는 이용자 개인 정보 빼돌렸다가 7조 넘는 징벌적 과징금 물어
韓, 개인정보 유출 징벌적 손배사례 사실상 '전무'…입법 실효성 높여야

  • 권진영 기자

국내 최대 이커머스 업체 쿠팡에서 역대 최대 규모인 약 3370만 개의 고객 계정 정보 유출 사고가 발생했다. 이번 유출에는 이름·전화번호·배송지 등 신상정보가 포함된 것으로 알려져 소비자들 사이에서 2차 피해 우려도 확산하고 있다. 사진은 2일 서울 한 쿠팡 물류센터의 모습. 2025.12.2/뉴스1 ⓒ News1 이호윤 기자

(서울=뉴스1) 권진영 기자

"징벌적 손해배상제도가 사실상 작동하지 않는 현실은대규모 유출 사고를 막는 데 한계가 있다."-강훈식 대통령 비서실장

쿠팡 개인정보 유출 사태의 원인이 허술한 서명키 관리에 있었다는 지적에 정부가 징벌적 손해배상 제도 개선을 주문하고 나섰다. 해외 주요 국가들 대비 기업의 책임이 약한 한국의 구조적 문제가 다시 드러났다는 분석이다.

美는 '조 단위' 징벌적 손배…유럽은 '정보 보호' 특화된 법제 마련

징벌적 배상 제도를 가장 활발히 이용하고 있는 미국은 법적으로 기업의 고의적·악의적인 행위 또는 매우 무모한 행위로 피해가 발생했다고 판단 될 경우, 주(州)에 따라 3~5배 사이의 징벌적 손해배상금을 물도록 하고 있다.

대표적으로 2019년 8700만 이용자의 개인 정보를 여론조사 기관에 빼돌린 페이스북(현 메타)이 미국 연방거래위원회(FTC)에 50억 달러(약 7조 3465억 원)의 징벌적 과징금을 문 사례가 있다.

2017년에는 신용정보회사 에퀴팩스(Equifax)가 1억 4700만여 명의 이름·사회보장번호·주소 등 개인 정보를 유출해 FTC로부터 최대 7억 달러(약 1조 287억 원)를 배상 명령을 받았다.

이런 강력한 조처에 일각에서는 "모기업이 미국에 있는 쿠팡이 미국에서 정보를 유출했다면 소송으로 파산했을 것"이라는 쓴소리가 나온다. 경찰은 쿠팡의 기술적 취약점 외에도 정보 유출 은폐 시도에 대해서도 들여다볼 방침이다.

미국 뉴욕 맨하탄 타임스퀘어에 쿠팡의 뉴욕증권거래소 상장을 기념하는 전광판 광고가 진행되고 있다. (쿠팡 제공) 2021.3.12/뉴스1

유럽의 경우는 정보보호에 특화된 법을 제정하고 있다. 우리말로 '일반정보보호 규정'이라 불리는 GDPR(General Data Protection Regulation)이다. 이 법은 기업이 고객의 정보를 사용하려면 동의를 얻어야 하고 권리를 침해한 경우 72시간 이내에 감독 기관에 알려야 한다. 위반 시 기업은 글로벌 매출액의 4% 또는 2000만 유로(약 341억 3000만 원)의 많은 벌금을 내야 한다. EU 회원국뿐만 아니라 EU에 법인·지점을 둔 외국기업, 유럽 시민에게 서비스·제품을 공급하는 외국 기업에도 광범위하게 적용된다.

한국서 개인정보 유출로 징벌적 손배 사례, 사실상 '전무'

이에 비해 국내에서는 징벌적 손해배상 제도가 적용된 판결 사례가 극히 미미하다. 더구나 개인정보 유출 분야에서는 3배 배상 조항에 준하는 실제 판례를 찾아볼 수 없었다.

정완 경희대학교 법학전문대학원 교수는 논문 '징벌적 손해배상제도의 실효성 제고방안에 관한 고찰'을 통해 "(징벌적 손해배상 제도가 적용된) 판결 사례가 극히 미미한 것은 이 제도의 입법이 실효성을 갖지 못함을 의미한다"고 꼬집었다.

정완 교수는 "징벌배상액의 하한선을 규정할 필요가 있다"며 "원래의 손해배상액과 차이가 없는 현행 규정 방식을 개정하여 징벌 배상의 경우 판사가 인정한 원래 손해액의 3배를 반드시 배상하도록 판결할 것을 규정하는 것이 일반 손해배상제도와 다른 징벌 배상 규정의 의미를 살릴 수 있을 것"이라고 조언했다.

이어 "일부 소송을 제기할 엄두조차 못 내는 피해자들까지 고려한다면 징벌적 손해배상제도와 더불어 집단소송법 및 디스커버리 제도를 함께 논의해야 한다"고도 했다. 디스커버리 제도는 민사 소송에서 재판 개시 전 상대방이 가진 증거·자료를 강제로 공개시키는 절차다. 손해배상 소송에서는 기업이 중대 과실을 저지르지 않았다는 사실을 스스로 밝히고 이를 공개해야 하므로, 피해자의 입증 책임을 덜어줄 수 있다는 장점이 있다.

1일 업계에 따르면 현재까지 파악된 쿠팡의 개인정보 유출 규모는 약 3370만 건이다. 정보에는 고객 이름, 이메일 주소, 배송지 주소록(이름·전화번호·주소) 등이 포함됐다. 국내 경제활동인구 2969만 명을 넘어선 규모로 역대 최악의 유출 사고다. 무엇보다 퇴사한 직원이 해외 서버를 통해 무단 접속해 벌어진 일이라는 황당무계한 정황이 속속 나오고 있어 안전조치 의무 위반으로 판단할 가능성이 있다. ⓒ News1 김지영 디자이너

쿠팡의 개인정보 유출 사례는 이번이 처음은 아니다. △2021년 14건 △2020년 8월~2021년 11월 사이 13만 5000여 명 △2023년 2만 2440여 명 등 이미 3차례나 불거진 일이다. 선행 유출 사례는 모두 앱 업데이트 및 개발 과정에서 오류가 나는 바람에 발생한 '사고'였다.

그에 비하면 이번에는 부실 관리로 인한 '과실'에 가깝다는 해석이 나온다. 전 직원이었던 용의자는 퇴사 후 범행을 저질렀는데, 내부 시스템에 접근할 수 있는 서명키를 활용한 것으로 파악됐다. 통상적으로 퇴사 시 소멸하는 서명키가 관리되지 않은 채 방치되면서 보안에 구멍이 뚫린 셈이다. 고도의 해킹 기술 없이도 3370만여 명의 개인 정보를 털어갈 수 있었던 까닭이다.

이를 두고 최민희 국회 과학기술정보방송통신위원회 위원장은 지난 1일 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 질타했다.

이재명 대통령 역시 이날 "사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야겠다"며 "관계 부처는 해외 사례들을 참고해서 과징금을 강화하고, 징벌적 손해배상 제도도 현실화하는 등 실질적인 실효적 대책에 나서주시기를 바란다"고 당부했다.

realkwon@news1.kr

Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용금지.

많이 본 뉴스

  1. "박나래가 폭언·상해·안주 심부름 갑질"…매니저들, 부동산 가압류 손배소
    많이 본 뉴스
  2. '이병헌♥' 이민정, 두 돌 앞두고 백설공주 변신 딸 공개…귀여운 뒷모습
    많이 본 뉴스
  3. BTS 슈가 母, 지상 6층·지하 2층 173억 한남동 건물주였다…친형 식당도 입주
    많이 본 뉴스
  4. 조진웅, 고교 때 소년원 간 '일진 출신 소년범' 의혹…소속사 "사실 확인 중"
    많이 본 뉴스
  5. 조세호, 조폭에게 고가 선물 의혹…소속사 "사실 무근"
    많이 본 뉴스
  6. 1억 받던 김대호 "퇴사 9개월동안 MBC 연봉 4년치 벌어…이상형은 고윤정"
    많이 본 뉴스
  7. 고용지표 혼조에 미증시도 혼조, 다우 0.07%↓-나스닥 0.22%↑(상보)
    많이 본 뉴스
  8. 한진그룹 5개 항공사 '스타링크' 국내 첫 도입…기내 와이파이 제공
    많이 본 뉴스
  9. '첫눈' 서울에 첫 대설 재난문자…갓길에 주차 후 도로 탈출(종합)
    많이 본 뉴스
  10. 야노 시호 몰래 집 공개해 혼났지만…추성훈, 2025년 최고 인기 유튜버 등극
    많이 본 뉴스