쿠팡에서 3370만명 규모의 개인정보 유출사고가 발생했다. 외부 해킹 공격이 아닌 허술한 내부관리체계로 인해 발생한 것으로 밝혀졌다./사진=뉴시스.

<이미지를 클릭하시면 크게 보실 수 있습니다>

쿠팡에서 발생한 대규모 개인정보 유출 사건 피해가 커지면서 징벌적 손해배상제를 현실화해야 한다는 목소리가 나오자 피해자들이 반긴다. 다만 처벌 강화보다 기업들이 튼튼한 보안 시스템을 구축하도록 유도하는 게 우선이라는 지적도 나온다.

4일 개인정보보호위원회에 따르면 현행 개인정보 보호법 상 개인정보 처리자가 고의나 중대한 과실로 유출 등 피해를 발생시키면 가해자는 손해액 최대 5배를 피해자에게 배상한다. 하지만 현재까지 적용된 사례는 없다.

이에 징벌적 손해배상제를 현실화해야 한다는 목소리가 나온다. 이재명 대통령도 지난 2일 "관계 부처는 해외 사례들을 참고해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등 실효적인 대책에 나서달라"고 지시했다.

피해자들도 처벌 강화 기조에 동의한다. 이유선씨(27)는 "자취로 혼자 살아 더 불안하다"라며 "수많은 사람이 피해를 본 만큼 기업에 강한 책임을 물어야 한다고 생각한다"라고 말했다. 이어 "만약 제대로 처벌하지 않으면 'SK텔레콤 고객 감사제'처럼 흐지부지 넘어갈 것"이라고 했다.

고은아씨(27)도 "처벌을 강화하지 않으면 기업은 '벌금만 내면 된다'라는 학습효과로 보안 시스템 투자를 줄일 것"이라고 말했다.

━
과징금·징벌적 손배 적용…보안 체계 구축도 과제
━

지난 2일 한 시민이 서울의 쿠팡 물류센터 앞에 주차된 쿠팡카 앞을 지나는 모습./사진-뉴스1.

<이미지를 클릭하시면 크게 보실 수 있습니다>

처벌 강화 방안에는 징벌적 손해배상제도 현실화만 있는 게 아니다. 전문가들은 개인정보보호법 개정으로 과징금을 상향 조정할 수 있다고 설명한다.

황석진 동국대학교 국제정보보호대학원 교수는 "과징금은 3%에서 상향 조정 하면 처벌 강도가 강화될 것"이라고 말했다. 징벌적 손배에 대해선 "손배를 인정 받으려면 피해자가 실제로 발생한 손해를 증명해야 하며, 승소한 사람에게만 위자료를 지급하는 한계도 있다"라고 했다. 그러면서 "과실·고의로 정보가 유출된 경우 피해자 전원에게 50만원 범주 내에서 지급한다는 내용을 넣거나 정신적 피해에 대한 위자료 지급을 명시하는 것도 방법"이라고 말했다.

처벌 강화와 함께 기업들이 강화된 보안절차를 도입할 수 있도록 제도도 같이 마련돼야 한다고도 했다. 최경진 가천대학교 법학과 교수는 "ISMS 등 보안 체계를 갖추는 것도 중요하지만, 내부에서 발생한 사고를 막으려면 퇴사자 발생 시 PC·계정 회수와 접근권한 차단 등 절차가 이뤄지는 시스템도 마련해야 한다"라고 말했다.

경찰 등에 따르면 쿠팡 개인정보 유출 사건은 지난 6월24일 발생했다. 쿠팡은 11월18일 해당 사실을 관계 기관에 신고했지만, 후속 조사 결과 실제 피해 규모는 약 3370만 계정이었다.

기술적 취약점·내부 통제 부실도 드러났다. 쿠팡은 ISMS-P를 비롯해 ISO27001·ISO27701 등 보안 인증을 갖췄지만, 용의자는 서버 취약점을 이용해 로그인 절차를 우회하고 개인정보를 빼갔다.

박상혁 기자 rafandy@mt.co.kr 김서현 기자 ssn3592@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.