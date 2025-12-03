3370만명 피해 법적용 논란 재점화

배상 규모 수조 원대 가능성

고의·중과실 여부가 최대 쟁점… 기업 보안 관리 기준도 도마 위에



쿠팡의 '3370만명 고객 개인정보 유출' 사태가 국내에서 처음으로 징벌적 손해배상제가 실질적으로 적용되는 사례가 될지 관심이 모아진다. 현행 개인정보보호법은 기업의 고의나 중대한 과실로 개인정보가 유출된 경우 손해액의 최대 5배까지 배상하도록 규정하고 있으나, 그동안 실효성이 없다는 지적이 제기돼 왔다. 피해 규모가 역대 최대 수준인 이번 사건에서는 법 적용의 범위와 배상 규모가 전례 없이 확대될 수 있다는 분석이 나온다.

3일 관련 업계에 따르면 법률사무소 번화는 서울동부지법에 쿠팡을 상대로 1인당 위자료 30만원을 청구하는 소송을 제기했다. 앞서 법무법인 청도도 피해자 14명을 모아 서울중앙지법에 소장을 제출했으며, 대륜 등 다수 로펌이 집단소송 참여자를 모집 중이다. 쿠팡을 상대로 한 집단소송 준비 카페는 이미 30곳을 넘어섰고 가입자 수는 50만명 규모다. 지난달 29일 개인정보 대규모 유출이 알려진 지 닷새 만에 나타난 변화다. 이런 흐름이 이어질 경우 소송 참여 인원은 연말까지 수십만 명대로 확대될 전망이다.

첫 징벌적 손해배상 적용 가능성 커진 쿠팡

법조계는 현행 징벌적 손해배상 규정만으로도 쿠팡의 잠재적 부담 규모가 상당할 수 있다고 본다. 최근 판례 기준 1인당 정신적 손해액을 10만원으로 가정하면 5만명이 소송에 참여할 경우 기본 손해액은 50억원, 징벌적 손해배상(5배)을 적용하면 250억원으로 늘어난다. 참여 인원이 50만명이면 징벌적 손해배상액은 2500억원, 100만명 참여하면 약 5000억원에 달한다. 이를 총 피해자수(3370만명)에 그대로 적용하면 기본 손해액만 3조3700억원, 법 적용 최대치(5배)로는 16조8500억원까지 이론상 배상액이 늘어난다. 집단소송 참여 예상 규모가 이미 빠르게 증가하고 있는 만큼 실제 청구액은 이보다 더 커질 가능성도 있다.

전날 열린 국회 과학기술정보방송통신위원회 긴급 현안 질의에서는 쿠팡의 보안 관리 체계에 중대한 결함이 있었다는 점이 확인됐다. 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 공격자가 쿠팡 내부 프라이빗 서명키(암호키)에 접근해 가짜 인증토큰을 생성했고, 이를 통해 비밀번호 입력 없이 다른 이용자로 가장해 내부 정보를 열람했다고 밝혔다. 고도화된 외부 침입이 아닌, 반납되지 않은 암호키를 장기간 방치한 관리 실패가 근본 원인으로 지적됐다.

징벌적 손해배상제는 기업의 재발 방지와 경각심 제고를 위해 위법 행위로 인한 실손해보다 높은 금액을 부과하는 제도다. 2014년 카드사 정보 유출 사태 이후 2015년 개인정보보호법에 해당 규정이 신설됐지만 '고의·중과실 없음'을 기업이 입증하면 책임이 면제되는 구조여서 사실상 적용 사례는 없었다. 지난해 카카오의 3300만건 유출에 151억원의 과징금만 부과됐고, 올해 2300만명의 개인정보가 유출된 SK텔레콤 사태 과징금은 1347억원이었다.

쿠팡 사태 이후 국회에서는 제재 체계를 대폭 강화하는 방향의 입법 논의가 속도를 내고 있다. 이훈기 더불어민주당 의원이 발의한 개인정보보호법 개정안은 개인정보가 분실·도난·유출 등으로 훼손된 경우 사업자에게 '전체 매출액의 최대 10%'까지 과징금을 부과할 수 있도록 하는 내용을 담고 있다. 쿠팡의 지난해 매출 41조원을 기준으로 하면 법 적용 시 최대 4조1000억원의 과징금이 부과될 수 있다.

박주민 민주당 의원은 고의·중과실로 타인에게 피해를 준 경우 손해액의 두 배를 배상하도록 하는 '징벌적 손해배상 제정법'을 대표 발의했고, 박정하 국민의힘 의원은 '개인정보피해보상기금' 설치를, 이상휘 의원은 유출 사실을 인지하면 즉시 피해자에게 통보하도록 의무를 강화하는 개정안을 각각 제시했다.

해외선 이미 고액 배상·제재 현실화

해외에서는 대규모 개인정보 침해에 대해 이미 고액의 배상과 제재가 현실화한 사례가 존재한다. 미국 신용평가사 에퀴팩스(Equifax)는 2017년 7월 침해가 발생해 9월 공개된 유출 사고로 약 1억4700만명의 민감 정보가 노출됐고, 보안 패치 지연과 내부 통제 부실 책임이 인정되면서 2019년 최대 7억달러(9000억원)의 합의금을 부담했다.

2019년 메타(옛 페이스북)는 8700만명의 개인정보를 여론조사기관에 동의 없이 유출해 미 연방거래위원회(FTC)로부터 50억달러(6조원)의 과징금을 부과받았다. 미국의 이동통신사 T모바일도 2021년 7660만명의 정보가 유출되자 3억5000만달러(5140억원)를 보상금으로 지급한 바 있다.





임혜선 기자 lhsro@asiae.co.kr



