박대준 쿠팡 대표가 2025년 11월30일 정부서울청사에서 대규모 개인정보 유출 사고에 대해 공개 사과하고 있다. 연합뉴스

<이미지를 클릭하시면 크게 보실 수 있습니다>

쿠팡에서 2025년 6월부터 4~5개월 동안 대규모 개인정보 유출이 있었던 것으로 확인됐다. 피해자는 3370만 명가량인데, 국내 전자상거래 역사상 최대 피해 규모다.

문제는 쿠팡이 국외 서버를 통한 불법 접근을 11월이 돼서야 처음 탐지했다는 점이다. 개인정보 유출이 확인된 이후 쿠팡의 대응도 낙제점이다. 일단 어느 정보까지 유출됐는지가 정확히 전달되지 않고 있다. 쿠팡은 금융 인증 정보는 포함되지 않았다고 할 뿐, 유출된 개인정보 피해 예방을 위해 어떤 조처를 해야 하는지 안내도 하지 않고 있다. 국회 긴급현안 질의에 출석한 박대준 쿠팡 대표는 “심려를 끼쳐 죄송하다”고 고개를 숙였지만, ‘진짜 사장’ 김범석은 책임에서 비켜서 있다.

유출된 개인정보가 스미싱, 보이스피싱 2차 피해로 이어질 수 있는 상황에서 소비자는 집단 손해배상 소송 운동에 나서고 있다. 네이버 등 포털사이트에 개설된 쿠팡 피해자 모임 카페는 20여 개에 이르고, 누적 가입자는 50만 명을 넘어섰다. 소송을 대리하는 법무법인 관계자는 언론 인터뷰에서 “1인당 30만원의 위자료를 청구”할 계획이라고 밝혔다.

이번에야말로 기업의 안전관리·감시 실패, 탐지 지연, 고지 부실 등 복합적 책임 구조에 대응할 수 있는 실효적 ‘징벌적 손해배상제’ 논의가 필요하다는 주장도 나온다. 대통령과 정부도 과징금 강화와 함께 징벌적 손해배상 도입을 적극 추진하겠다는 입장이다.

현행 징벌적 손해배상제는 실제 손해의 최대 3배까지 배상받을 수 있지만 위법행위에 대해 기업의 ‘고의성, 반복성’ 입증이 쉽지 않다는 지적도 나온다. 다만 이번 기회에 징벌적 손해배상제를 도입해 경영을 잘못하면 기업이 제대로 책임져야 한다는 명제를 확고히 해야 한다는 목소리가 크다.

김완 기자 funnybone@hani.co.kr