[아이뉴스24 송대성 기자] 쿠팡을 비롯한 대기업들의 개인정보 유출 사고가 반복되면서 국내 산업 전반을 향한 국민의 경계심이 한층 고조되고 있다. 특히 온라인 플랫폼 등 데이터 의존도가 높은 분야를 중심으로 이용자 신뢰 훼손 우려 속에 개인정보 보호 책임을 강화해야 한다는 사회적 요구도 분명해지고 있다.
![국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. [사진=연합뉴스]](https://image.inews24.com/v1/7c1b7330b8a767.jpg)
특히 정부와 국회에서는 개인정보보호 유출사고를 산재사망 등과 같은 반열에 올려 과징금과 징벌적 손해배상은 물론 영업정지 등까지 고려해야 한다는 초고강도 발언을 경쟁적으로 내놓고 있다.
이재명 대통령은 2일 오전 용산 대통령실에서 열린 국무회의 모두발언에서 쿠팡 개인정보 유출 사건과 관련 "피해 규모가 약 3400만건으로 방대하지만 처음 사건이 발생하고 5개월 동안 회사가 유출 자체를 파악하지 못했다는게 참으로 놀랍다. 이 정도인가 싶다"라며 "유출 정보를 악용한 2차 피해를 막는데도 가용 수단을 총동원해주시기 바란다"고 말했다.
이어 "인공지능(AI)과 디지털 시대의 핵심 자산인 개인정보 보호를 소홀하게 여기는 이 잘못된 관행과 인식 역시 이번 기회에 완전히 바꿔야 한다"라며 "관계부처는 해외 사례들을 참고해서 과징금을 강화하고, 징벌적 손해배상 제도도 현실화하는 등 실질적인 실효적 대책에 나서주시기 바란다"고 엄중 대응을 주문했다.
같은 날 국회 과학기술정보방송통신위원회 전체회의에서는 조인철 더불어민주당 의원이 쿠팡의 매출액을 거론하며 "(과징금이) 1조원 이상 될 수도 있다"고 지적했다. 박정훈 국민의힘 의원은 "전자상거래법 32조 2항을 보면 통신판매로 재산상의 손해가 났을 경우 영업정지를 할 수 있다. 이것은 영업정지 정도가 고려되는 사안"이라고 강조했다.
![국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. [사진=연합뉴스]](https://image.inews24.com/v1/798614c2a4725f.jpg)
개인정보 유출과 관련한 법적 책임에 대해 개인정보보호법 39조에는 '개인정보 처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우'에는 손해액의 5배까지 손해배상을 하도록 규정돼 있다. 하지만 실제 소송 과정에서는 고의성 입증 부담과 피해 규모 산정의 어려움 등으로 배상액이 제한되는 사례가 적지 않았다.
대표적으로 2011년 해킹으로 약 3500만명의 개인정보가 유출된 SK커뮤니케이션즈(네이트·싸이월드) 사건에서 피해자들이 손해배상 소송을 제기해 일부 1심 재판부가 회원 1인당 10만~100만원의 위자료 지급을 인정했지만, 2018년 대법원은 회사가 법령에서 정한 보호 조치를 이행했다며 최종적으로 배상 책임을 부정했다.
관리 책임이나 무단 활용이 명확히 인정된 사례에서도 배상액은 개인별 소액에 그쳤다. 지난 2012년 KT 해킹 사건에서는 법원이 개인정보 관리 부실 책임을 인정해 피해자 1인당 10만원 배상 판결을 내렸으나 수년이 지난 후 대법원은 배상 책임을 인정하지 않았다.
이에 대통령은 물론 여야 정치인들이 보다 강한 벌칙을 통해 기업들이 주도면밀하고 촘촘한 개인정보 보호 시스템을 갖추도록 할 필요가 있다는 것을 주문하는 것으로 풀이된다.
개인정보를 대규모로 수집·활용하는 서비스 경쟁이 격화되는 반면, 보안 투자와 체계 정비는 비용 부담을 이유로 후순위로 밀려왔다는 평가도 이렇게 강력한 대응을 부르는 요인으로 지목된다. 데이터 활용이 기업 성장을 좌우하는 핵심 요소가 된 만큼 수집의 자유와 동일선상에서 보호 책임 역시 무겁게 다뤄져야 한다는 요구도 커지고 있어서다.
![국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. [사진=연합뉴스]](https://image.inews24.com/v1/c250abc0058f01.jpg)
잇단 유출에도 느슨한 관리…제도 실효성 시험대
개인정보 보호의 중요성은 오랫동안 사회적으로 강조돼 왔지만 동일 유형의 사고가 되풀이되면서 대규모 이용자 정보를 보유한 채 서비스를 하는 플랫폼 기업들의 내부 통제시스템이 느슨하게 작동하고 있는 것 아니냐는 의혹을 사고 있다.
특히 시스템 고도화를 위한 투자금액은 많지만, 정작 접근 통제와 암호화, 내부 점검 등 기본적인 관리 체계가 현장에서 촘촘하게 이뤄져 있지 않은 것이 문제로 지목된다.
쿠팡은 국가 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 두 차례나 취득했고 정보보호 관련 투자금액 역시 유통업계에서 가장 큰 규모를 자랑한다. 한국인터넷진흥원에 따르면 쿠팡은 올해 정보기술에 1조9171억원, 이중 정보보호 부문에 890억원을 각각 투입했다. 국내 기업 전체로 보면 삼성전자와 KT 다음으로 많다. 그럼에도 불구하고 퇴사자에게 핵심 접근권한이 건너갔는지, 또는 그 권한을 이용해 정보를 빼갔는지 여부에 대해 점검하고 재확인하는 절차가 엉성했고, 이로 인해 5개월여 동안 3370만명에 이르는 개인정보가 유출될 수 있었다는 점은 시사하는 바가 크다.
정부가 징벌적 손해배상 등의 제도 보완을 검토하는 것은 이러한 구조적 문제를 개선하기 위한 조치로 풀이된다. 규제 강화가 단기적으로 비용 부담으로 다가올 수는 있겠지만 장기적으로는 이용자 신뢰 회복과 서비스 안정성 제고를 위한 필수 과정이라는 인식도 필요하다는 지적이 많다.
전문가들은 기업의 인식 변화가 긴요하다고 강조했다. 최경진 가천대 법학과 교수는 "쿠팡뿐만 아니라 대부분 기업들이 디지털전환에 따라 정보 인프라를 구축한지 오래됐다. 하지만 이후 노후화, 증설 과정에서 보안 이슈가 제대로 접목되지 않았다"라고 말했다.
그러면서 "이번 쿠팡의 경우는 사회 전반에 퍼진 보안의식의 부재 또는 빈곤에서 비롯되지 않았나 싶다"라며 "자산, 인사 관리에 있어서는 정보보호를 기본값으로 두는 게 중요하다"라고 강조했다.
/송대성 기자(snowball@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기