※ 본 칼럼은 언론 보도 내용을 기초로 법적 쟁점을 분석한 것이며, 향후 수사 결과에 따라 사실관계는 달라질 수 있습니다.
들어가며
최근 발생한 쿠팡의 대규모 개인정보 유출 사태가 연일 화두입니다. 언론에 따르면 퇴사한 중국 국적의 전 직원이 재직 당시의 시스템 접근 권한(Key)을 이용하여 막대한 데이터를 유출했다고 합니다.
이번 사태는 단순한 해킹 사고가 아닙니다. 기업 내부의 '권한 관리 실패'가 핵심입니다. 변호사의 시각에서 이번 사건의 법적 쟁점을 분석하고, 피해자들이 궁금해할 손해배상의 현실적인 가능성을 짚어보겠습니다.
1. '접근 권한 통제' 의무 위반의 명백성
「개인정보 보호법」 제29조는 개인정보처리자에게 안전성 확보 조치 의무를 부여합니다. 특히 이번 사태에서 가장 치명적인 부분은 고시인 「개인정보의 안전성 확보조치 기준」 제5조 위반 여부입니다.
개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리) ② 개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
보도대로 퇴사자가 재직 시절의 '토큰'을 퇴사 후에도 사용했다면, 이는 변명의 여지가 없는 관리적·기술적 보호 조치 위반입니다.
실무적으로 기업들은 '퇴사 프로세스'를 운영하지만, 인사팀의 퇴사 처리와 IT 보안팀의 계정 권한 회수가 실시간으로 연동되지 않아 '보안 공백'이 발생하는 경우가 잦습니다. 그러나 법원은 이러한 내부 사정을 봐주지 않습니다. "지체 없이" 말소하지 않아 사고가 터졌다면, 이는 법률상 의무를 태만히 한 것으로 평가될 수 있습니다.
2. 징벌적 손해배상, 과연 '대박'일까? (현실적 분석)
피해자분들이 가장 관심 있어 하는 부분은 단연 '손해배상'일 것입니다. 현재 집단소송 플랫폼 등을 통해 소송 참여 움직임이 활발합니다.
개인정보 보호법 제39조 제3항은 고의 또는 중대한 과실이 있을 경우 손해액의 5배 이내에서 징벌적 손해배상을 할 수 있다고 규정합니다. 최근 이재명 대통령 역시 징벌적 손해배상의 현실화를 언급한 바 있어 기대 심리가 높은 것이 사실입니다.
하지만 법조인으로서 냉정하게 말씀드리면, 현실은 기대에 못 미칠 수 있습니다.
입증의 난이도: 징벌적 배상을 위해서는 기업의 '중대한 과실'이 입증되어야 합니다. 쿠팡 측은 "우리는 할 만큼 했다(해킹 기술이 고도화되었다 등)"는 방어 논리를 펼칠 것입니다.
보수적인 법원: 우리 법원은 전통적으로 위자료 산정에 매우 인색합니다. 과거 옥션, 네이트, 카드사 유출 사태 등을 돌아보면, 유출 사실이 인정되더라도 위자료는 1인당 10만 원~30만 원 선에 그치거나, 구체적 손해 입증 부족으로 기각된 사례도 많습니다.
배상액의 한계: '손해액의 5배'라고 하지만, 개인정보 유출로 인한 1인당 실제 손해액을 산정하기 어렵기 때문에, 법원이 인정하는 기본 위자료 자체가 낮게 책정되면 5배를 곱해도 실익이 크지 않을 수 있습니다.
따라서 징벌적 손해배상이 적용되더라도, 피해자가 생각하는 '징벌'의 수준과 법원이 판단하는 '배상'의 수준에는 큰 괴리가 있을 것으로 예상됩니다.
3. 기업에게 남겨진 과제: '형식'이 아닌 '작동'하는 보안
이번 사건은 기업들에게 시사하는 바가 큽니다. 아무리 비싼 보안 솔루션을 도입하고, 완벽한 문구의 '내부 관리계획'을 수립해 두었어도, 실제 현장에서 퇴사자의 계정이 살아있었다면 법적 책임을 피할 수 없습니다.
쿠팡 측은 이번 사태로 인한 행정적 과징금과 형사 책임, 그리고 민사상 손해배상 등 막대한 비용을 치를 수도 있습니다.
4. 마치며
피해를 입은 소비자분들은 2차 피해 예방을 위해 비밀번호 변경 등 자구책을 우선 마련하시기 바랍니다. 집단 소송 참여는 승소 가능성과 실익(변호사 비용 제외 후 실제 수령액)을 꼼꼼히 따져본 뒤 결정하시는 것이 현명합니다.