쿠팡 3367만명 개인정보, 1억 4800만건 배송지 유출…쿠팡은 피해자인가 방조자인가

대한민국 국민 3367만 명의 이름과 이메일이 유출됐다. 배송지 주소 등 민감한 정보 조회 건수는 무려 1억 5천만 건에 달한다. 범인은 외부 해커가 아닌 쿠팡 전 직원. 그는 퇴사 전 7개월 동안이나 쿠팡 서버를 제 집 드나들듯 하며 정보를 빼돌렸다.

과기정통부 민관합동조사단이 발표한 이번 사건의 전말은 충격적이다. 쿠팡은 "우리도 피해자"라며 억울함을 호소하지만, 법조계의 시선은 싸늘하다. "단순 피해자가 아닌, 방조범에 가까운 중과실이 보인다"는 것이다.

쿠팡은 '피해자'인가 '공범'인가?

전 직원이 회사를 배신하고 정보를 빼돌렸으니 쿠팡도 피해자인 것은 맞다. 하지만 동시에 3300만 명이 넘는 고객들에게는 '가해자'다.

법률 전문가는 "쿠팡은 형사상으론 피해자일 수 있지만, 민사상으로는 개인정보 안전성 확보 의무를 위반한 공동불법행위자가 될 가능성이 높다"고 지적했다. 즉, 문단속을 허술하게 해 털리게 만든 책임이 있다는 것이다.

"몰랐다"는 변명, 법정에선 중과실 자백

쿠팡의 "몰랐다"는 해명은 오히려 독이 될 수 있다. 조사단에 따르면 쿠팡은 지난해 4월부터 11월까지 7개월간 이어진 대규모 정보 유출을 전혀 인지하지 못했다.

이는 단순한 실수가 아니다. 쿠팡은 사전에 실시한 모의 해킹에서 '전자 출입증' 취약점을 경고받았음에도 이를 개선하지 않았다.

법적으로는 "약간의 주의만 기울였어도 막을 수 있었던 사고를 방치한 것"으로, 이는 중과실에 해당한다. 대규모 개인정보를 다루는 기업이 7개월간 도둑질을 몰랐다는 건, 모니터링 시스템이 사실상 먹통이었다는 뜻이다.

직원이 작정하고 덤비면 못 막는다?… 천만의 말씀

"내부자가 작정하고 덤비면 어쩔 수 없다"는 핑계도 통하지 않는다. 기업은 핵심 인력에 대해 엄격한 관리·감독 의무를 진다.

특히 범인이 퇴사 후에도 시스템에 접근할 수 있었다는 정황은 치명적이다. 법적으로 기업은 직원의 접근 권한을 최소화하고, 퇴사 즉시 권한을 말소해야 한다.

쿠팡은 이 기본적인 의무조차 소홀히 했다. 이는 민사상 손해배상 책임은 물론, 과징금 등 행정 제재를 피하기 어려운 결정적 이유가 된다.

사라진 5개월치 로그… 증거인멸 의혹

더 심각한 건, 사고 조사 과정에서 쿠팡이 보전 명령을 받은 로그 기록 일부를 삭제했다는 사실이다. 2024년 7월부터 약 5개월치 웹 접속 기록이 사라졌다.

쿠팡은 "시스템상 자동 삭제된 것"이라고 항변할 수 있지만, 정부의 보전 명령을 받은 뒤에도 이를 막지 않았다면 이야기가 달라진다.

법조계 관계자는 "보전 명령 후에도 로그가 삭제됐다면 이는 단순 관행이 아니라 개인정보 보호법상 접속기록 보관 의무를 정면으로 위반한 것"이라고 경고했다. 형법상 처벌은 어렵다 해도, 법원이 이를 고의적인 은폐 시도로 판단한다면 징벌적 손해배상액을 산정할 때 결정적인 가중 요소가 될 수 있다.

난 쿠팡 쓰지도 않는데 털렸다… 제3자도 소송 가능?

이번 사건의 또 다른 피해자는 쿠팡 계정도 없는데 정보가 털린 배송지 수령인들이다. 가족이나 지인이 보낸 선물을 받으려다 이름, 주소, 심지어 공동현관 비밀번호까지 유출된 경우다.

결론부터 말하면, 이들도 손해배상을 청구할 수 있다. 개인정보 보호법상 정보주체는 정보에 의해 식별되는 사람이므로, 계정 유무와 상관없이 보호받는다.

법적으로 쿠팡은 제3자와 계약 관계가 없더라도 정보를 안전하게 관리할 의무가 있다.

특히 쿠팡의 중과실이 인정된다면, 피해자들은 통상 손해액의 최대 3배까지 징벌적 손해배상을 청구할 수 있다. 1인당 10만 원의 위자료만 인정돼도 전체 배상액은 수조 원대에 이를 수 있는 '천문학적 소송'이 예고된 셈이다.