|
22일 업계에 따르면 쿠팡 유출 사태는 단순 보안 사고를 넘어 법적·재무적 부담이 동시에 가시화하는 국면으로 접어들었다. 개인정보보호위원회의 조사와 과징금 심의가 본격화하는 동시에 집단소송과 분쟁조정 절차까지 번질 조짐을 보이고 있다. 유출 건수와 사고 인지 지연 시점, 내부 통제 실패 여부가 모두 쟁점으로 떠오르면서 리스크의 성격도 한층 복합적이라는 평가다.
비교 대상으로 가장 많이 거론되는 사례는 SK텔레콤이다. SKT는 앞서 해킹 공격으로 2324만명의 유심 정보가 유출됐다. 개인정보보호위원회는 이에 대해 역대 최대 규모인 1348억원의 과징금을 확정했다. 과징금은 정부가 기업에 부과하는 행정제재로 국고로 귀속된다.
문제는 피해자 개인에게 돌아가는 배상금이다. 지난달 개인정보분쟁조정위원회는 SKT에 대해 1인당 30만원 배상을 권고했으나 SKT는 이를 거부했다. 전체 가입자에 적용하면 약 7조원에 달하는 규모다. 이후 한국소비자원 소비자분쟁조정위원회가 1인당 10만원(통신요금 5만원·포인트 5만원) 조정안을 제시했지만, SKT는 이 역시 난색을 보이고 있다. 전면 적용 시 약 2조 3000억원 규모다.
쿠팡 유출 사고는 파장과 규모 면에서 SKT를 훨씬 웃도는 사안이다. 쿠팡은 지난 6월 24일부터 11월 8일까지 약 5개월간 3370만건의 개인정보가 외부로 새어나갔다. 이는 전 국민의 약 65%에 해당하는 수치다. 회사가 유출 사실을 인지한 시점은 고객 민원이 접수된 11월 18일로, 사고 발생 이후 상당 기간 내부 통제 시스템이 작동하지 않았다는 비판이 제기된다.
SKT 사례를 단순 비교 지표로 적용할 경우 쿠팡의 잠재적 리스크는 더 커진다. 현행 개인정보보호법상 과징금은 관련 매출액의 최대 3%까지 부과할 수 있다. 쿠팡의 2024년 국내 매출(약 41조원)을 기준으로 하면 과징금만 최대 1조원 이상이 가능하다. 여기에 피해자 배상까지 더해질 경우, SKT 조정안 기준(1인당 10만원)을 적용해도 약 3조 4000억원, 30만원 기준이면 10조원을 넘는다. 과징금과 배상금을 합산하면 이론상 11조원 이상이 거론되는 셈이다.
다만 실제 배상 규모가 이 같은 추산치에 그대로 수렴할 가능성은 높지 않다는 시각도 많다. 개인정보위 조사와 과징금 심의에 수개월이 소요되는 데다, 기업이 불복할 경우 행정소송으로 이어질 수 있다. 민사 배상 역시 SKT처럼 조정안 거부 이후 장기 소송전으로 흘러갈 가능성이 크다. 과거 판례를 보면 실제 확정 배상액은 1인당 10만원 안팎에 그친 사례가 적지 않다.
그럼에도 소비자단체와 법조계의 움직임은 빨라지고 있다. 민주사회를위한변호사모임(민변)과 참여연대, 한국소비자연맹 등은 지난 10일 개인정보보호위원회와 한국소비자원에 집단분쟁조정을 신청했다. 신청 인원은 620명으로, 와우멤버십 회원에게는 50만원, 일반·탈퇴 회원에게는 30만원 배상을 요구하고 있다. 기타 법무법인 등도 대규모 피해자 모집에 나서는 중이다.
한국소비자원 소비자분쟁조정위원회 관계자는 “쿠팡 개인정보 유출 건은 이미 집단분쟁 사건으로 접수됐지만 아직 초기 단계”라며 “유출 경위와 정보 성격, 사후 대응 등을 종합적으로 봐야 해 SK텔레콤 사례를 그대로 적용하긴 어렵다”고 말했다. 이어 “외부 해킹과 내부 관리 문제는 책임 판단에서 결이 다르고, 식별 가능한 개인정보가 대규모로 유출된 점도 중요한 변수”라며 “관계 기관 조사 결과에 따라 사안의 중대성이 달라질 수 있어 결론까지는 수개월이 걸릴 것”이라고 덧붙였다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
