수사당국과 정부의 조사에 따르면 쿠팡의 개인정보 유출은 6월 24일부터 11월 18일까지 약 5개월간 지속됐다. 공격자는 로그인 절차 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했으며, 이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다. 공격자가 누구인지는 특정되지 않았으며, 쿠팡에 개인정보 유출 사실을 알리겠다는 협박성 이메일을 보낸 인물과 공격자가 동일인인지도 확인 중이다. 여기에 비회원 배송자 정보도 유출된 것으로 확인돼 쿠팡의 개인정보 유출 사태의 피해자는 더욱 늘어날 것으로 전망된다.
쿠팡의 개인정보 유출 발표 이후 소비자들과 시민단체에서는 집단분쟁조정과 단체소송에 나섰다. 12월 3일 참여연대와 민주사회를 위한 변호사모임(민변), 민생경제위원회, 한국소비자연맹은 서울 송파구 신천동 쿠팡 본사 앞에서 기자회견을 열고 한국소비자단체협의회 자율분쟁조정위원회에 분쟁조정을 신청한다고 밝혔다. 이들 단체는 9일까지 분쟁조정에 참여할 피해자를 모집 중이다.
쿠팡 이용자 50여 명도 12월 2일 한국소비자원에 '쿠팡 개인정보 유출 사태 집단분쟁조정 신청서'를 제출한 바 있다. 소비자들은 전체 쿠팡 이용자를 대상으로 1인당 12만 원 배상 또는 이에 상응하는 서비스 혜택 지급을 요구했다. 또 쿠팡 이용자 37명은 개인정보분쟁조정위원회에 개인정보 유출과 관련해 분쟁 조정을 신청하기도 했다.
단체손해배상소송도 본격화되고 있다. 단체소송을 위해 만들어진 온라인 카페 회원 수는 50만 명을 돌파했고, 법무법인과 법률사무소별로 수천~수만 명 참여 의사를 밝혔다.
가장 먼저 손해배상 소송을 제기한 법무법인 청은 14명을 대리했다. 청은 12월 1일 서울중앙지법에 1인당 20만 원의 위자료를 청구하는 소송을 제기했다. 소송대리인을 맡은 곽준호 법무법인 청 대표변호사는 “유출 범위가 모두 확인될 때까지 기다리면 피해 구제가 지연될 수 있어 선제적으로 소송을 제기했다”고 말했다. 3일에는 법률사무소 번화에서 3000명 이상의 참여자를 대리해 1인당 30만 원의 손해배상을 서울동부지법에 청구했다.
이외에도 법무법인 일로에서는 착수금과 소송비용 없이 성공보수 30%로 집단소송을 진행 중이며, 노바법률사무사에서는 착수비 1만 1000원에 성공보수 20% 조건으로 진행 중이다. 법무법인 대륜은 개인정보보호 및 IT 분야에 특화된 전문 변호사들을 중심으로 전담 태스크포스(TF)를 구성하고 본격적인 대응에 나선다는 방침이다.
SK텔레콤, 롯데카드, KT 등에서도 발생한 대규모 개인정보 유출 관련 집단분쟁조정과 단체소송도 진행 중인 상황에 쿠팡 사건도 더해진 셈이다. 하지만 과거 전례를 비춰봤을 때 개인정보가 유출된 이용자들이 받는 배상액은 10만 원 내외로 예상된다. 게다가 소송에 참여한 이용자만 배상액을 받을 수 있다.
2014년 KB국민·NH농협·롯데카드에서 고객 이름, 주민등록번호, 카드번호 등 20종의 개인정보 1억여 건이 유출된 사건 당시 법원은 1명당 최대 10만 원을 배상하라고 판결했다. 피해자들은 1인당 20만∼70만 원씩 총 13억여 원을 요구했으나 재산상 피해가 확인되지 않았고 카드사가 2차 피해 방지를 위해 노력한 점이 참작됐다. 이후 발생한 2016년 인터파크, 2024년 모두투어 개인정보 유출 사례에서도 1인당 10만 원 배상 판결이 내려졌다.
기업 배상액을 받지 못한 사례도 있다. 2014년 KT 가입자 981만 명의 개인정보 1170만 건이 유출된 사건에서 고객들은 1인당 50만 원을 요구하며 소송을 냈으나 대법원은 KT의 손해배상 책임을 인정하지 않았다. 당시 대법원은 KT가 법령상 보호조치를 이행했음에도 정보 유출이 발생해 책임을 물을 수 없다는 2심 판결을 확정했다.
한 변호사는 “현재 개인정보 유출 사건이 발생하면 사업주의 과실 여부를 따지는데, 보안 체계를 갖추었다는 이유만으로 과실이 인정되지 않는 경우도 있다”며 “징벌적 손해배상이 있지만 실효성이 떨어지고, 개인정보 유출과 관련해서는 관련 법 조항도 오래 돼 기준이 모호하다"며 제도 개선을 요구했다.
김철준 기자 cj5121@ilyo.co.kr
