쿠팡에서 털린 이름, SKT에서 털린 유심… 유출 정보 합쳐져 사기당하면 어떻게 될까?

지난 4월 SKT 등 통신사에서 2300만 명의 정보가 털린 데 이어, 이번 쿠팡 사태로 3370만 명의 정보가 유출됐다. 사실상 전 국민의 개인정보가 공공재가 된 셈이다.

문제는 이 두 정보가 범죄자들의 손에서 결합될 때다. 쿠팡의 쇼핑 데이터와 통신사의 가입 정보가 합쳐지면, 보이스피싱 조직에게는 더할 나위 없는 '범죄 마스터키'가 쥐어지기 때문이다. 그렇다면, 이 두 기업의 보안 구멍이 합쳐져 내가 사기를 당했다면, 두 기업을 한데 묶어 처벌할 수 있을까.

따로 터진 사고, 법원은 "각자도생해라"

결론부터 말하면, 법적으로 두 기업을 한꺼번에 묶어 연대책임을 물리는 건 매우 어렵다.

우리 민법 제760조는 여러 사람이 공동으로 불법행위를 저질렀을 때 연대해서 배상하도록 규정한다. 하지만 법조계는 쿠팡과 SKT 사태를 '공동불법행위'로 보지 않는다. 이유는 명확하다. 두 사건은 '남남'이기 때문이다.

SKT 사고는 올해 4월 외부 해킹으로 발생했고, 쿠팡 사고는 6월 내부 직원의 소행으로 추정된다. 시기도, 원인도, 주체도 다르다. 두 회사가 짜고 정보를 유출한 게 아닌 이상, 법적으로는 객관적 관련성이 없다고 본다.

결국 피해자는 쿠팡 때문에 입은 피해는 쿠팡에게, SKT 때문에 입은 피해는 SKT에게 따로따로 따져 물어야 한다는 얘기다.

아주 좁은 예외의 문…"누가 범인인지 모를 때"

그럼에도 불구하고 두 기업이 함께 책임을 져야 하는 단 하나의 예외는 있다. 민법 제760조 2항, "누가 손해를 가했는지 알 수 없는 때"다.

예를 들어보자. 보이스피싱 범죄자가 쿠팡의 주소 정보와 SKT의 유심 정보를 섞어서 사기를 쳤는데, 도대체 어느 정보가 결정적이었는지 도저히 가려낼 수 없는 상황이다. 마치 두 공장이 폐수를 버려 물고기가 죽었는데, 누구 폐수 때문인지 모르는 상황과 같다.

이때는 이론적으로 두 기업이 연대책임을 질 가능성이 열린다. 하지만 현실의 벽은 높다. 법률 전문가들은 "피해자가 두 정보가 결합돼서 피해가 났다는 사실과 누구 탓인지 특정할 수 없다는 점을 직접 입증해야 하는데, 이는 사실상 불가능에 가깝다"고 설명했다.

결국 현실적인 시나리오는 '각개전투'다. SKT는 이미 1347억이라는 역대 최대 과징금을 맞았고, 쿠팡은 피해 규모가 그 1.5배에 달해 이를 뛰어넘는 천문학적 과징금이 예상된다.

기업들이 과징금 액수를 두고 계산기를 두드리는 사이, 정작 피가 마르는 건 소비자들이다. 믿고 썼던 대기업들의 보안 구멍이 합쳐져 정교한 범죄 표적이 됐다는 사실에, 대중의 배신감과 불안은 걷잡을 수 없이 커지고 있다.

한편, 쿠팡은 이번 사고로 이름과 배송지 등이 노출됐으나 결제나 로그인 정보 같은 민감한 금융 정보는 포함되지 않았다고 선을 그었다. 이에 따라 고객들이 별도로 계정 정보를 변경할 필요는 없다는 입장이며, 박대준 대표가 직접 나서 사과하고 내부 보안 강화와 수사 협조를 약속했다.