쿠팡에서 3370만 개 계정의 개인정보가 유출된 것으로 밝혀지면서 파장이 확산되고 있다. 사측의 기본 보안수칙 위반으로 촉발됐다는 정황이 드러나면서 책임론도 거세다.
만약 이번 사고가 미국에서 벌어졌다면 어땠을까. 천문학적 금액을 배상금·벌과금으로 물게 될 것이라는 얘기가 나온다. 미국에서는 개인정보 유출 사고에 대한 기업 책임을 극도로 무겁게 부과하는 판례와 규제 관행이 자리잡고 있어서다.
미국 대형 금융기업 캐피털 원에서는 2019년 약 1억 명의 고객 금융정보가 유출됐다. 신용점수, 계좌번호, 신용한도 등 민감한 정보였다. 내부 클라우드 설정 오류를 방치한 보안관리 실패가 원인으로 확인됐다. 집단소송을 당한 캐피털 원은 합의금으로 1억9000만 달러(약 2800억원)를 지급했고, 미 금융당국에 벌금 8000만 달러(약 1200억원), 사후 고객 모니터링 프로그램에 1500만 달러(약 220억 원) 등 총 4000억원 이상의 비용을 들일 수 밖에 없었다.
‘정보 유출’ 티모바일, 총비용 7조원 넘어
미국의 3대 통신사 중 하나인 티모바일은 2021년 사이버 공격으로 7600만 명의 개인정보가 유출되는 사고를 겪었다. 사회보장번호(SSN), 운전면허 등 민감도가 높은 개인정보가 줄줄 새 나가면서 티모바일은 집단소송 합의금으로 3억5000만 달러(약 5100억원)를 배상했고, 추가로 보안프로그램 투자에 1억5000만 달러(약 2200억원)를 들였다. 여기에 주(州) 정부별 제재, 추가 소송 등으로 사측이 낸 총비용은 최대 50억 달러(약 7조3500억원)에 이르는 것으로 추산된다.
2016년 이른바 ‘케임브리지 애널리티카 스캔들’로 알려진 페이스북 개인정보 유출 사건은 미 정부가 기업에 매긴 역대 최고 수준의 벌금 사례로 기록됐다. 약 8700만 명의 페이스북 사용자 정보가 동의 없이 수집돼 선거 광고 등에 활용됐는데, 페이스북은 집단소송 합의금으로만 7억2500만 달러(약 1조원)를 지급했고, 3년 뒤인 2019년 미 연방거래위원회(FTC)로부터 징벌적 책임을 이유로 무려 50억 달러(약 7조3600억원)의 벌금을 부과받았다.
은폐 드러나면 책임 가중…경영진 기소
정보 유출 사건에서 기업이 이를 은폐하거나 보고를 지연한 점이 드러나면 책임이 가중된다. 2016년 해킹으로 5700만 명의 고객 및 기사 정보가 유출된 차량 공유 업체 우버가 그런 경우다. 우버는 해커에게 10만 달러(약 1억4700만원)를 주고 사건을 덮으려 한 사실이 드러나면서 미 FTC로부터 벌금 1억4800만 달러(약 2200억 원)를 부과받았다. 경영진 역시 책임을 면치 못했다. 당시 보안 책임자가 사고 은폐 혐의로 형사 기소됐다.
이들 케이스의 공통점은 내부 보안 규정이 제대로 작동하지 않아서 발생한 문제라는 점이다. 쿠팡 역시 구조적으로 유사하다는 지적이 나온다. 특히 퇴사자 계정 등 더는 필요하지 않은 계정을 신속하게 삭제하지 않고 방치한 것은 미국에서는 중대한 기업 과실로 간주된다. 여기에 기업의 대응 과정에서 보고 지연이나 은폐 시도가 드러날 경우 훨씬 더 무거운 손해배상과 벌과금을 물게 하는 징벌적 처벌을 면하지 못한다.
내부 보안규정 작동 안되면 ‘중대 과실’
쿠팡의 개인정보 유출 사고가 미국에서 벌어졌다면 막대한 손해배상과 벌과금이 불가피할 수 있다. 만약 고의 은폐 혐의가 드러난다면 경영진의 형사 책임 가능성도 배제할 수 없다.
쿠팡의 개인정보 유출 피해자들도 집단소송을 준비하고 있다. ‘쿠팡 해킹 피해자 집단소송 카페’, ‘쿠팡 개인정보유출 집단소송 카페’ 등에 수만 명 규모의 피해자가 가입해 집단소송 참여 의사를 보이고 있다. 다만 그간 한국에서는 개개인의 피해자가 당한 실질적 손해를 입증하기 어려워 1인당 배상액이 10만원 안팎에 그치는 경우가 대부분이었다. 2015년 카드사 개인정보 유출 사태 당시 대법원은 1인당 위자료를 10만원으로 확정한 바 있다. 2016년 인터파크 해킹, 2021년 NH농협은행 해킹 때도 같았다.
전문가들은 한국의 경우 개인정보 보호 규정이 미국에 비해 아직 약하고 징벌적 처벌 수준도 제한적이어서 내부 보안사고가 상대적으로 취약한 구조라고 지적한다. 미 워싱턴 DC의 대형 로펌 넬슨멀린스의 이중배 변호사는 중앙일보와의 통화에서 “개인정보 보호는 기업 경영에 있어 선택이 아니라 법적 책무”라며 “한국도 미국 수준으로 규제와 처벌 등 책임 체계를 강화해야 한다”고 강조했다. 피해자의 손해 입증 책임을 완화하고 기업의 징벌적 손해배상은 강화하는 방향으로 기업 책임을 높여야 한다는 의미다.
![[ET톡] 쿠팡 그리고 김범석의 책임감](https://img.etnews.com/news/article/2023/05/19/news-p.v1.20230519.b7c6b0b9685349fbba4322d2d5c720c6_P3.jpg)
