쿠팡 개인정보 유출, 기업은 어떤 책임을 질까?
최근 쿠팡에서 대규모 개인정보 유출 의혹이 제기되면서 소비자들의 불안이 커지고 있다. 이미 집단소송을 준비하는 움직임까지 나오고 있는 상황. 나 역시 쿠팡을 자주 이용하는 사람으로서 이번 사안이 남의 일 같지 않다.
대형 플랫폼에서 이런 사고가 발생하면 한 번에 수십만, 많게는 수백만 명이 피해자가 될 수 있어 파급력이 상당하다. 오늘은 이 문제를 법률적 관점에서 정리해본다.
기업의 '안전조치 의무'란?
가장 기본이 되는 규정은 개인정보보호법 제29조, 이른바 '안전조치 의무'다.
"개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하기 위하여 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다."
즉, 기업은 단순히 정보를 보관하는 데 그쳐서는 안 된다. 암호화, 접근권한 통제, 접속기록 관리, 보안 프로그램 설치 같은 실질적인 보안 조치를 갖추고 운영해야 한다. 이 의무를 제대로 지키지 않으면 행정처분, 과태료, 나아가 형사처벌까지 가능하다.
행정처분의 단계
먼저 행정처분부터 살펴보자.
문제가 있다고 판단되면 우선 시정권고가 내려진다. 아직 법적 강제성은 없지만, 이 단계에서 시정하지 않으면 곧바로 시정명령으로 넘어간다. 내부관리계획 마련, 보안 프로세스 강화, 누락된 조치 시행 등을 법적 의무로 명령하는 것이다.
여기서 끝이 아니다. 손해배상 명령이라고 해서, 민사소송을 거치지 않더라도 행정기관이 직접 배상금 지급을 명령할 수 있다. 과징금도 부과 가능한데, 과거 KT나 인터파크 사건에서는 수십억 원의 과징금이 나오기도 했다. 최악의 경우 업무정지나 영업정지 명령까지 내려질 수 있다.
과태료는 얼마나 부과될까?
과태료는 행정처분과 별개로, 구체적인 항목 하나하나에 부과되는 금전적 제재다. 개인정보보호법에 구체적으로 명시되어 있다.
내부 관리계획 미수립: 최대 3천만 원
접속기록 보관 미흡: 최대 3천만 원
고유식별정보(주민등록번호, 비밀번호, 결제정보 등) 암호화 미비: 최대 3천만 원
보안 프로그램 미설치 또는 미업데이트: 최대 3천만 원
유출 사실 미신고: 최대 3천만 원
특히 마지막 항목이 중요하다. 기업이 사고를 인지하고도 즉시 신고하지 않으면 그 자체로 법 위반이다.
형사처벌까지 가능하다
사안이 심각하면 형사처벌도 가능하다. 특히 민감정보나 주민등록번호 같은 고유식별정보가 적절한 보호 조치 없이 유출된 경우에는 5년 이하의 징역 또는 5천만 원 이하의 벌금이라는 강한 처벌이 내려질 수 있다. 단순 실수 수준이 아니라, 기업이 명백히 안전조치 의무를 소홀히 했을 때 적용된다.
소송해도 보상금은 적다?
현실적인 문제가 있다. 정보가 한 번 새어나가면 돌이킬 수 없다는 불안은 큰데, 막상 소송을 하면 보상받는 금액이 크지 않다.
법원은 "유출로 인해 어떤 실제 피해가 발생했는가"를 기준으로 판단하기 때문에, 기존 판례들을 보면 집단소송이라 총액은 커지지만 개별 피해자에게 돌아가는 금액은 1인당 5만~10만 원 정도에 그친 사례가 많다.
이번 쿠팡 사건에서는 플랫폼 규모가 크고, 소비자 불안에 대한 정신적 손해 인정 여부 등이 쟁점이 될 수 있어 기존 판례 흐름이 유지될지, 변화가 생길지 지켜봐야 한다.
"해킹당했으니 어쩔 수 없다"는 통하지 않는다
과거 인터파크 해킹 사건을 기억하는 분들도 있을 것이다. 약 2,500만 명의 개인정보가 유출된 사건이었는데, 당시 대법원은 이렇게 판단했다.
"해킹 공격이 있었더라도, 기업이 필요한 보호조치를 적절히 취하지 않았다면 민사상 손해배상 책임을 진다."
취약한 보안서버 운영, 접속기록 관리 미흡, 암호화 수준 부족 등이 '과실'로 인정되었고, 1인당 10만 원 배상 판결이 내려졌다. 해킹을 당했다는 사실 자체가 면책 사유가 되지 않는다는 뜻이다.
소비자는 어떻게 대응해야 할까?
쿠팡을 이용하신 분들이라면 다음 사항을 점검해보시길 권한다.
첫째, 내 정보가 어떤 범위까지 유출됐는지 기업의 공지나 마이페이지에서 확인한다.
둘째, 비밀번호 변경, 이중 인증 설정, 결제수단 점검, 피싱 문자 주의 등 개인 보안을 강화한다.
기업은 사고 발생 시 '지체 없이' 이용자에게 알려야 할 의무가 있다. 공지 없이 조용히 넘어가는 것 자체가 법 위반 소지가 있으니, 기업의 대응도 주시할 필요가 있다.
제도적으로 필요한 것들
이번 사건을 계기로 몇 가지 제도적 보완이 필요해 보인다.
우선 손해배상 금액의 현실화다. 현재 수준으로는 기업 입장에서 보안 투자보다 사후 배상이 더 저렴할 수 있다. 배상 금액이 올라가야 기업이 보안에 더 적극적으로 투자하게 된다.
다음으로 투명한 정보 공개다. 기업이 사고를 언제, 어떻게 인지했고, 어떤 조치를 했는지 명확히 공개하도록 감독을 강화해야 한다.
마지막으로 사전 예방이다. 개인정보는 한 번 유출되면 회수가 불가능하다. 정기적인 보안 점검, 꼭 필요한 정보만 수집·보관, 암호화와 이중 인증 같은 기술적 조치 강화가 선행되어야 한다.
우리 주변의 위험들
쿠팡 같은 대형 플랫폼만의 문제가 아니다.
전통시장이나 자영업 매장의 POS 단말기, 키오스크도 보안 업데이트가 미흡한 경우가 많다. 이런 곳에서 카드번호나 연락처가 외부로 유출될 위험이 있다. 병의원이나 학원처럼 많은 개인정보를 다루는 기관에서 내부 직원이 정보를 무단 열람하거나, USB로 옮기던 자료를 분실하는 사례도 전국적으로 반복되고 있다.
이런 사고 역시 모두 개인정보보호법 위반이고, 안전조치 의무를 제대로 지키지 않은 것으로 평가된다. 규모와 관계없이 개인정보를 다루는 모든 곳에서 주의가 필요하다.
개인정보는 한 번 유출되면 되돌릴 수 없다. 기업도, 개인도 '사후 대응'보다 '사전 예방'에 더 많은 관심을 기울여야 할 때다.
