 |
최근 쿠팡에서 대규모 개인정보 유출 사고가 발생했다는 보도가 이어지면서 ‘내 개인정보가 실제로 악용됐는가’를 넘어 ‘왜 이렇게 큰 사고가 가능했는가’라는 질문이 사회 전반으로 확산되고 있다. 이번 사건의 핵심은 규모만이 아니다. 보도에 따르면 유출된 정보에는 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 내역, 공동현관 비밀번호 등이 포함된 것으로 알려졌고, 침입 기간도 올해 6얼 말부터 11월까지 이루어진 것으로 확인됐다. 결제정보나 비밀번호 등은 포함되지 않았다는 쿠팡 측 해명이 사실이라 하더라도, ‘연락처+주소’ 조합만으로도 스미싱·피싱·사칭 배송·표적 사기 등 2차 피해가 발생할 수 있다는 점에서 피해자들의 불안은 쉽게 가시지 않고 있다.
법적으로 먼저 봐야 할 대목은 ‘통지·신고’이다. 개인정보보호법은 유출 사실을 알게 된 경우 정보주체에게 지체 없이 핵심 사항을 알려야 한다고 정하고(유출 항목, 시점·경위, 피해 최소화 방법, 대응조치·구제절차, 담당부서 연락처 등), 같은 법 시행령은 일정 요건(예: 1천 명 이상 유출, 민감정보·고유식별정보 유출 등)에 해당하면 원칙적으로 72시간 이내에 개인정보보호위원회 또는 한국인터넷진흥원에 서면 등의 방법으로 통지할 것을 정하고 있다. 보도에 따르면 지난 11월 16일 밤에 개인정보가 유출되었다는 고객 민원이 쿠팡에 최초 접수되었고, 쿠팡은 18일 밤에 개인정보 유출 사실을 확인 후 20일 오후 8시경 개인정보보호위원회에 신고한 것으로 알려졌다. 쿠팡이 개인정보 유출사실을 처음 알게 된 시점이 과연 언제인지, 그리고 그로부터 72시간 이내에 신고가 이루어 졌는지 여부가 향후 수사와 재판 과정에서 중요한 쟁점 중 하나로 다루어질 것으로 보인다.
다음은 ‘안전조치’가 제대로 이루어졌는지 여부이다. 개인정보보호법은 개인정보처리자가 침해의 위험 정도를 고려해 개인정보를 안전하게 관리해야 한다는 원칙을 명시하고 있다. 이번 사안에서는 쿠팡이 퇴사자의 ‘엑세스 토큰 서명키(JWT)’를 교체하지 않고 방치하는 바람에 퇴사자가 마음대로 개인정보를 유출할 수 있었다는 지적이 나오고 있다. “키(암호화 키) 권한·로그·퇴사자 계정 관리” 같은 기본 통제에서 어떤 허점이 있었는지, 그리고 그 허점이 ‘예견 가능했고 방지 가능했는지’가 향후 쿠팡의 책임 범위를 결정하는 중요한 요소가 될 것으로 보인다.
제재 측면에서는 과징금·과태료와 별개로, 민사상 손해배상도 쟁점이다. 개인정보보호법은 위반행위로 손해가 발생하면 손해배상을 청구할 수 있고, 기업(개인정보처리자)이 고의·과실이 없음을 입증하지 못하면 책임을 면하기 어렵다고 규정한다. 더 나아가 고의 또는 중대한 과실로 유출 등이 발생해 손해가 생기면 법원이 손해액의 최대 5배 범위에서 배상액을 정할 수 있는(이른바 징벌적 손해배상) 규정도 있다. 또한 실제 손해액 입증이 어려운 경우를 대비해, 법원이 300만원 이하 범위에서 상당한 금액을 인정할 수 있는 ‘법정손해배상’ 제도도 마련돼 있다.
이번 사안은 쿠팡 뿐만 아니라 다수의 개인정보를 관리하는 기업이 키(암호화 키) 권한·계정의 라이프사이클(입사~퇴사) 통제가 제대로 이루어지고 있는지, 이상징후 탐지와 로그 보존·분석 체계 및 사고 발생 시 통지·신고·피해확산 방지 조치가 제대로 정비되어 있는지를 돌아보는 계기가 될 것이다. 개인정보 보호는 단순히 기술팀의 과제가 아니라 이사회·경영진의 컴플라이언스 과제가 되었으며 이러한 경향은 심화될 것이다. 이번 사건의 초점은 과징금, 손해배상 액수가 얼마인지 보다 향후 개인정보 관리 시스템을 어떻게 정비할지, 그리고 같은 사건의 재발을 어떻게 방지할지에 맞춰져야 할 것이다.
도움말 : 법무법인 위온 곽중혁 변호사
[ⓒ 서울경제, 무단 전재 및 재배포 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
