쿠팡의 3,370만명 고객 개인정보 유출이 국내 최초로 징벌적 손해배상제가 실질 적용되는 사례가 될지 관심이 모이고 있다. 현행 개인정보보호법은 기업의 고의 또는 중대한 과실로 정보가 유출될 경우 손해액의 최대 5배까지 배상하도록 규정하지만, 그동안 기업이 ‘고의·중과실 없음’을 입증하면 책임이 면제되는 구조 탓에 실제 적용 사례는 없었다. 그러나 유출 규모가 역대 최대 수준인 이번 사태는 기존과 다른 판단이 내려질 수 있다는 전망이 나온다.

사건이 알려진 지 닷새 만에 집단소송 참여 움직임도 빠르게 확산되고 있다. 법률사무소 번화는 최근 서울동부지방법원에 1인당 30만 원의 위자료를 청구하는 소송을 제기했으며, 법무법인 청도 역시 피해자들을 모아 소장을 제출했다. 여러 로펌들이 추가 참여자를 모집 중이고, 관련 온라인 카페는 이미 30곳 이상으로 늘어 가입자 수만 50만 명에 달한다. 이런 추세가 이어질 경우 연말까지 소송 참여 인원이 수십만 명대로 확대될 가능성이 크다.

법조계는 최근 판례를 기준으로 1인당 정신적 손해액을 10만 원으로 추산하고, 여기에 징벌적 손해배상까지 적용할 경우 쿠팡의 부담이 상당할 것으로 보고 있다. 소송 참여자가 5만 명이면 배상액은 최대 250억 원, 50만 명이면 2,500억 원, 100만 명이면 5,000억 원 수준까지 늘어난다. 이론적으로 전체 피해자 수를 기준으로 하면 배상 규모는 최대 16조 원대까지 확대될 수 있다는 분석도 제기된다.

국회에서도 제재 체계를 강화하려는 입법 논의가 속도를 내고 있다. 더불어민주당 이훈기 의원이 발의한 개인정보보호법 개정안은 개인정보가 유출될 경우 기업 매출액의 최대 10%까지 과징금을 부과하도록 하는 내용을 담고 있다. 쿠팡의 지난해 매출 41조 원을 기준으로 하면 최대 4조 원대 과징금도 가능해진다. 이와 함께 징벌적 손해배상 제정, 피해보상기금 설치, 유출 즉시 통보 의무 강화 등 다양한 개정안도 함께 논의 중이다.

이번 유출의 원인이 고도화된 외부 공격이 아닌 쿠팡 내부의 보안 관리 실패였다는 점도 규제 강화 분위기에 힘을 싣는다. 쿠팡 측은 공격자가 내부 프라이빗 서명키에 접근해 가짜 인증 토큰을 생성했으며, 반납되지 않은 암호키가 장기간 방치된 관리 부실이 근본 원인이라고 밝혔다. 기업의 책임이 명확하게 드러난 만큼 재발 방지를 위한 강력한 제재 필요성이 강조되고 있다.

해외에서는 이미 고액의 제재가 현실화된 사례가 적지 않다. 미국 에퀴팩스는 1억4,700만 명 규모의 유출 사고로 약 7억 달러를 합의금으로 지불했고, 메타는 개인정보 무단 유출로 FTC로부터 50억 달러 과징금을 부과받았다. T모바일 역시 대규모 유출 이후 3억5,000만 달러 보상금을 지급한 바 있다. 글로벌 흐름을 고려할 때 한국의 규제 체계 역시 이번 사건을 계기로 크게 변화할 수 있다는 평가가 나온다.

한국e마케팅저널 이채영 기자 |