국내 이커머스(전자 상거래) 1위 쿠팡의 고객 정보 유출 사태가 소비자 집단소송 움직임으로 번지는 양상이다. 과거 유사 사례가 수차례 있었지만 정보 유출 건수를 놓고 보면 역대 최대 규모 손해배상 소송이 될 가능성이 제기된다. 개인정보보호위원회(개보위)가 부과하는 과징금도 조(兆) 단위가 될 수 있다는 전망이 나온다.
1일 관련 업계에 따르면 쿠팡 내부에선 최근 발생한 고객 정보 유출 사태와 관련한 소비자 집단소송 등 단체행동을 모니터링하고 있다. 아직은 온라인을 중심으로 집단소송 추진 인원을 모집하기 위한 카페와 채팅방들이 생겨나는 단계지만, 실제 소송으로 이어지면 법적 대응이 불가피한 탓이다.
앞서 지난달 29일 쿠팡 고객 정보 유출 사실이 밝혀지고, 주요 포털사이트에는 집단소송을 준비하는 카페가 연이어 개설됐다. 이 중 네이버의 '쿠팡 개인정보유출 단체 소송'이라는 이름의 카페 가입자 수는 이날 오전 8시 기준 1만명을 넘어섰다. 카카오톡에 생긴 오픈 채팅방도 수십 개로, 일부는 3000명 정원을 채운 상태다.
김경호 법률사무소 호인 변호사는 전날 자신의 소셜네트워크서비스(SNS)에 "사태의 본질은 해킹이라는 불가항력적 재해가 아닌 거대한 유출을 반년 가까이 감지하지 못한 기업(쿠팡)에 책임이 있다"며 "쿠팡이 피해자 1인당 10만원씩 배상하도록 하는 소송을 오는 24일 서울중앙지법에 제기하겠다. 하루 만에 1650명(전날 오후 11시 기준)의 인원이 모였다"고 했다.
향후 쿠팡에 대한 집단소송이 현실화하면, 역대 최대 규모 배상액을 부담할 수 있다는 관측이 나온다. 과거 사례를 토대로 보면 1인당 배상액은 10만원 정도로 추정되지만, 정보 유출 계정이 3370만개에 달하는 만큼 소송에 참여하는 인원이 많을 수 있기 때문이다.
앞서 2016년 인터파크 해킹 사고 발생 당시 1030만명 정보가 유출돼 집단소송으로 이어졌고, 4년이 지난 2020년 소송에 참여한 2400명에게 1인당 10만원씩 배상하라는 판결이 나왔다. 2014년 NH농협·KB국민·롯데카드(1억4000만건), 2024년 모두투어(306만명) 정보 유출 사건도 1인당 10만원(롯데카드 7만원) 배상액이 책정됐다.
물론 소송 기간이 길고, 재산상 피해나 기업 과실을 입증하는 게 쉽지 않아 패소하고 배상액을 받지 못한 사례도 많다. 2012년 KT에서 발생한 870만명 정보 유출 사건은 1심에선 1인당 10만원 배상해야 한다는 판결이 나왔지만, 수년이 지나 대법원은 배상 책임을 인정하지 않았다. 2011년 네이트·싸이월드 정보 유출 사고도 2018년이 돼서야 대법원에서 배상 책임이 없다는 판결이 확정됐다.
결국 소송의 쟁점은 쿠팡의 과실과 고객들의 피해(손해) 여부가 될 전망이다. 쿠팡이 개인정보 보호와 관련한 접근 통제, 접근 권한 관리, 암호화 등 안전 조치 의무를 위반했는지, 고객들의 피해 정도를 들여다봐야 한다는 것이다. 만약 물질적(재산상) 손해가 발생하지 않았다면 정신적 손해를 증명해야 한다.
최경진 가천대 법학과 교수는 "인원이 많고, 이미 유출된 정보가 있는 만큼 소송으로만 따지면 엄청난 규모가 될 것"이라며 "결제 관련 정보는 포함되지 않았기 때문에 손해보다는 과실이 핵심 쟁점이라고 본다"고 말했다. 그는 "정황상 중국 국적 직원이 퇴사하고 몇 개월에 걸쳐 정보 관리(접근 통제)가 제대로 안 됐다는 건 큰 문제다"라고 말했다.
다만 구체적인 조사 결과에 따른 처분이 나오기 전까지는 소송전을 예측하기 어렵다는 지적도 나온다. 정부는 전날부터 민간과 합동조사단을 가동하고 사고 원인 분석에 나섰고, 경찰도 관련 수사에 착수했다. 합동조사단은 쿠팡의 1차(11월 20일, 4536건) 신고 이후 후속 조사 과정에서 피해 규모가 급격히 확대된 만큼, 결제 정보, 비밀번호 등에 민감 정보에 대한 추가 조사도 진행하기로 했다.
김승주 고려대 정보보호대학원 교수는 "정보가 정확히 어떤 기법으로 유출됐는지 밝혀지지 않았기 때문에 아직 과거 사례와 비교하기 어렵다"며 "유출된 정보나 피해 규모도 조사하면 달라질 수 있다"고 말했다. 최 교수도 "전략적인 측면에서도 정확히 잘못된 부분이 무엇인지 확인하는 게 무선"이라고 했다.
개보위가 쿠팡에 사상 최대 수준 과징금을 부과할 것이라는 관측도 나온다. SK텔레콤은 올해 2324만명 정보 유출에 따른 개인정보 보호 위반으로 역대 최대 규모인 1348억원의 과징금을 처분받았다. 2023년 개정된 개인정보보호법에 따라 전체 매출액의 3%까지 과징금을 매길 수 있는 산정 기준을 적용받은 결과다. 지난해 매출액이 38조원 이상인 쿠팡에 적용하면 과징금은 1조원을 웃돌게 된다.