쿠팡의 개인정보유출 사태에 대한 소고(小考) - 민현아 변호사

SK텔레콤, KT, 롯데카드 등 최근 개인정보의 대량 유출사건이 끊이지 않고 있는 상황에서, 국내 이커머스 시장에서 점유율 1위를 차지하고 있는 쿠팡까지 개인정보 대량유출 사건이 발생했습니다. 개인정보 유출사고가 이렇게 빈번하게 발생하는데도 기업들이 이를 타산지석으로 삼지 않고 아직도 철저히 대비하지 않고 있다는 점은 참으로 안타까운 일입니다.

더구나 쿠팡에서 유출된 개인정보는 3,370만건으로 지금까지 발생한 유출사고 중 최대 규모로서, 아이들과 고령층을 제외하면 사실상 전 국민이 피해자가 될 수 있는 상황입니다. 또한 다른 사건들과 달리, 이 사건은 쿠팡에서 재직 중 내부망에 접속하는 직원들에게 인증을 위한 암호를 발급하던 중국인 직원이 퇴사후 중국으로 넘어가 5개월 동안이나 해당 권한이 차단되지 않은 상태로, 쿠팡 내부망을 들락거리면서 개인정보를 빼돌렸다는 사실이 알려졌는데, 이는 쿠팡이 개인정보 보호에 대해 그 동안 얼마나 안이한 태도를 가지고 있었는지 보여줍니다.

근본적인 문제는 기업들이 일단 눈에 보이는 매출 증대를 위한 투자나 노력에만 급급하여, 사고가 터지기 전까지는 개인정보 보호에 대한 철저한 관리와 지속적인 투자 노력을 하지 않는다는 것입니다. 쿠팡 사태에서도 지적되고 있듯이, 기업들은 개인정보 보호에 대해서는 사전에 철저한 관리와 투자를 하지 않으면서, 일단 사고가 발생한 경우 사후적으로 이를 어떻게 무마하고 수습할 것인가 하는 방법에 더 관심이 있는 것 같습니다. 결국 개인정보 보호를 위한 평소의 관리 노력이나 투자는 당장의 매출이나 수익과 연결되지 않기 때문에 사고가 터지기 전까지는 기업들이 개인정보 보호를 태만히 하고 있다는 점이 일련의 반복적인 개인정보 유출사태의 가장 큰 원인이라고 하겠습니다.

2. 가능한 법적 조치

개인정보보호위원회는 개인정보가 분실, 도난, 유출된 경우 해당 개인정보처리자에게 전체 매출액의 100분의3을 초과하지 않는 범위에서 과징금을 부과할 수 있습니다(개인정보보호법 제64조의2). 과징금 부과시에는 위반행위의 내용, 기간, 횟수, 안전성 확보 조치의 이행 노력, 피해의 회복 및 피해 확산 방지 조치 이행여부, 개인정보의 유형, 피해규모 등을 고려합니다(동법 제64조의2 제4항). 개인정보를 처리하거나 처리하였던 자가 정당한 권한 없이 개인정보를 유출하는 경우에는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처합니다(동법 제71조).

개인정보가 유출된 정보주체는 일반적인 민법상 손해배상청구 외에 개인정보보호법에 따라 개인정보처리자에게 손해배상을 청구할 수 있고, 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없습니다(동법 제39조 제1항). 쿠팡의 경우에는 내부에서 인증업무를 담당하던 중국인 직원이 퇴사후에도 5개월간 중국에서 쿠팡의 내부망을 들락거리며 개인정보를 유출한 이상 쿠팡은 손해배상책임을 피할 수 없을 것입니다.

특히 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 유출되어 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 5배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있고, 이때 법원은 피해규모, 위반행위의 기간, 횟수, 개인정보처리자가 유출 후 해당 개인정보를 회수하기 위해 노력한 정도, 피해구제를 위해 노력한 정도 등을 고려합니다(동법 제39조 제3, 4항). 또한 피해자가 유출로 인한 손해에 대한 입증이 어려운 경우에는 법정손해배상 청구로서 300만원 이하의 범위에서 상당한 금액을 배상액으로 청구할 수 있습니다(동법 제39조의2).

한편 개인정보 유출로 인하여 재산상 손해가 발생한 경우 그에 대한 손해배상청구가 가능함은 물론이고, 설사 재산상 손해까지 발생한 것은 아니라고 하더라도 민감한 개인정보가 유출된 경우에는 그로 인한 불안감 등 정신적 손해에 대한 위자료 청구가 가능하며, 과거에 발생했던 개인정보 유출사고들을 보통 위자료로 피해자 1인당 10만원 정도가 인정되어 왔습니다.

나아가 유출된 개인정보를 이용한 보이스피싱, 사기사건 등 2차 범죄, 특히 쿠팡의 경우 아파트 공동현관 비밀번호가 유출됨으로 인한 스토킹 범죄 등 고객이 이로 인한 2차 피해를 보는 경우, 이러한 유형의 범죄는 개인정보의 유출로 인하여 일반적으로 발생할 수 있는 예측가능한 범죄들이기 때문에, 그로 인한 손해에 대해서는 위자료 청구 이외에도 쿠팡을 상대로 한 손해배상 청구가 가능할 것입니다.

참고로 미국 등에서도 통신사나 택시공유 플랫폼, 대형 프랜차이즈 마트 등에서 몇 천만건 이상의 개인정보가 유출된 사건들이 있었는데, 유출된 정보는 이름, 주소, 사회보장번호, 카드 정보 등이었고, 과징금 외에 피해자들에게 몇 억 달러에 달하는 합의금이 지급되기도 했습니다.

3. 정보주권 침해의 문제와 그 대비책

개인정보보호법상 국가나 지방자치단체도 개인정보의 보호를 위한 시책을 강구할 의무가 있습니다(동법 제5조). 쿠팡 사건의 경우 특히 우리 대다수 국민의 개인정보가 중국인에 의해 중국으로 유출됨으로써, 우리 국민들의 정보주권, 우리나라의 정보주권까지 침해되었다는 점에서 더욱 심각한 문제라고 생각합니다. AI시대에 개인 맞춤형 빅데이터는 단순히 돈으로만 따질 수 없는 가치를 가지고 있기 때문에 불법적으로 유통될 가능성도 높은 만큼, 이러한 개인정보는 해당 정보 주체의 통제와 관리하에 놓여있어야 합니다.

기업에 대해서는 해당 기업의 매출 내지 보유하고 있는 개인정보의 양에 비례하여, 개인정보 보호에 일정 비율 이상의 투자를 하는 것을 의무화하고, 정부에서 이를 주기적으로 확인하여 이를 위반하는 경우에는 과징금을 부과한다거나 이를 위반한 상태에서 정보 유출이 발생하는 경우에는 고의나 중과실에 의한 개인정보 유출로 보아 손해배상액을 5배까지 징벌적 손해배상이 가능하도록 하는 등의 보완책이 필요하다고 생각합니다. 또한 형사적으로도 영업비밀 침해의 경우와 마찬가지로, 만일 개인정보가 해외로 유출된 경우에는 국내 유출보다 더 무겁게 처벌을 할 필요가 있습니다.

기업들은 수익을 올리는 것이 주된 목적이기 때문에, 현실적으로 수익사업과 직결되지 않는 개인정보 보호에 대해서는 사고가 발생하기 전까지는 중요도에 있어서 우선순위에서 상당히 밀릴 수 밖에 없습니다. 따라서 기업에 있어서 개인정보 보안의 문제는 기업의 최고경영자가 어떤 마인드를 가지고 회사를 경영하느냐에 따라 좌우될 수밖에 없다고 생각하며, 최고경영자가 신념을 가지고 회사 정책적으로 개인정보 보호에 지속적인 투자과 관심을 갖는 것이 필요합니다. 즉 최고경영자는 유출사고가 발생한 후에 수습책이나 어떻게 무마할지에 대한 방법을 찾기보다, 평소에 철저하게 개인정보를 보호하기 위한 시스템과 인력을 갖추고, 이에 대한 투자를 아끼지 말아햘 것입니다. 또한 개인정보 보호는 그 취급자 몇 사람에 의해 지켜지는 것이 아닌 만큼 평소에 개인정보를 철저히 관리하는 기업 풍토를 만드는 것이 중요하다고 하겠습니다.