"3370만 털렸다" 쿠팡 박대준 대표 사퇴
"3370만 털렸다" 쿠팡 박대준 대표 사퇴
박대준 대표 "책임 통감" 물러났지만
법조계 "사임과 별개로 민·형사 책임 여전, 징벌적 배상 쟁점"
책임 추궁받는 박대준 쿠팡 대표이사 /연합뉴스
국민 절반이 넘는 3,370만 명의 개인정보가 유출된 초유의 사태 속에 쿠팡의 박대준 대표이사가 결국 옷을 벗었다. 사태 수습을 위해 미국 본사(Coupang Inc.)의 핵심 임원이자 '하버드 로스쿨' 출신의 법률 전문가가 긴급 투입됐지만, 법조계의 시각은 냉정하다.
대표이사 교체라는 강수에도 불구하고 쿠팡을 향한 '징벌적 손해배상'과 '천문학적 과징금'의 시계는 멈추지 않을 것이라는 분석이다.
"모든 직위 내려놓겠다"… 사실상 경질된 박대준
10일, 쿠팡은 박대준 대표이사가 이번 개인정보 유출 사태의 책임을 지고 사임했다고 밝혔다. 박 전 대표는 "국민께 실망을 드려 송구하다"며 "사태 발생과 수습 과정의 책임을 통감하고 물러난다"고 고개를 숙였다. 이는 지난 2일 국회 과학기술정보방송통신위원회에서 "제가 이 사건의 전체 책임을 지고 있다"고 발언한 지 8일 만의 일이다.
업계에서는 이를 두고 사실상의 '경질'로 해석하고 있다. 대통령과 국무총리까지 나서 이번 사태를 질타하고, 경찰과 민관합동조사단의 강도 높은 조사가 이어지자 꼬리 자르기 식의 인적 쇄신이 불가피했을 것이라는 관측이다.
김범석의 복심, '미국 변호사'가 소방수로
박 전 대표의 빈자리는 해롤드 로저스 쿠팡 Inc. 최고관리책임자(CAO)가 메운다. 로저스 신임 임시 대표는 하버드 로스쿨을 졸업한 법률 및 컴플라이언스(준법 경영) 전문가로, 쿠팡 내부에서는 김범석 의장의 두터운 신임을 받는 '복심'으로 통한다.
로저스 대표는 취임 일성으로 "정보보안 강화와 신뢰 회복"을 내걸었다. 한국 법인 차원에서 대응하던 기존 방식에서 벗어나, 미국 본사가 직접 등판해 법적 리스크를 관리하고 사태를 진화하겠다는 강력한 시그널로 풀이된다.
대표가 그만두면 법적 책임도 사라지나?
가장 큰 관심사는 박 전 대표의 사임이 법적 책임 회피로 이어질 수 있느냐는 점이다. 법리적으로 볼 때 대답은 "아니오"다.
상법과 관련 판례에 따르면, 이사의 사임은 사임서가 도달하는 즉시 효력이 발생하지만, 재임 중 발생한 불법행위나 직무 유기에 대한 책임까지 면제되는 것은 아니다. 박 전 대표가 재임 중 발생한 3,370만 명의 정보 유출에 대해 선관주의의무(선량한 관리자의 주의의무)를 위반한 사실이 입증될 경우, 사임 여부와 관계없이 민·형사상 책임을 피할 수 없다.
"1인당 300만 원"… 입증 책임은 쿠팡에 있다
이번 사태의 핵심은 피해 규모다. 개인정보 보호법 제39조의2는 정보주체가 개인정보 유출로 손해를 입은 경우, 최대 300만 원 이하의 법정 손해배상을 청구할 수 있도록 규정하고 있다.
주목할 점은 '입증 책임의 전환'이다. 과거에는 피해자가 기업의 과실을 입증해야 했으나, 현행법상으로는 기업(쿠팡)이 "고의나 과실이 없었음"을 스스로 증명하지 못하면 배상 책임을 면할 수 없다.
더욱이 법원이 쿠팡의 안전조치 의무 위반을 '중대한 과실'로 판단할 경우, 손해액의 최대 5배까지 배상해야 하는 '징벌적 손해배상' 제도가 적용될 수 있다. 3,370만 명이라는 피해 규모를 고려할 때, 집단 소송이 본격화되면 배상액은 천문학적인 숫자로 불어날 수 있다.
매출 3% 과징금 폭탄과 형사처벌
금전적 배상보다 더 무서운 것은 행정적·형사적 제재다.
매출액의 3% 과징금: 개인정보 보호위원회는 안전조치 의무를 위반하여 정보가 유출된 기업에 대해 전체 매출액의 3% 이하에 해당하는 과징금을 부과할 수 있다. 수조 원대 매출을 올리는 쿠팡에게 이는 경영상의 치명타가 될 수 있다.
형사 처벌: 개인정보 보호법 제71조는 업무상 알게 된 개인정보를 누설하거나 안전조치를 하지 않아 유출된 경우, 책임자에게 5년 이하의 징역 또는 5천만 원 이하의 벌금형을 규정하고 있다.
법조계 관계자는 "미국 변호사 출신의 신임 대표를 선임한 것은 이러한 법적 리스크를 방어하기 위한 포석일 것"이라며 "그러나 수사 결과 기술적·관리적 보호 조치 위반이 명확히 드러난다면 과징금과 형사 처벌을 피하기는 어려울 것"이라고 전망했다.
"결제 정보 유출은 없다"… 쿠팡, 6월부터 시작된 악몽 공식 사과
한편, 쿠팡 측은 사임 발표에 앞서 지난달 30일 공식 사과문을 통해 구체적인 피해 사실을 공개하며 진화에 나섰다. 쿠팡은 "올해 6월 24일 시작된 무단 접근으로 인해 이름, 이메일, 전화번호, 배송지 주소, 특정 주문 정보가 유출됐다"고 시인했다.
그러나 가장 우려가 컸던 2차 금융 피해 가능성에 대해서는 선을 그었다. 박 전 대표는 "고객 비밀번호를 비롯한 로그인 계정정보, 결제 정보, 신용카드 정보는 포함되지 않았다"고 강조하며 "과학기술정보통신부, 개인정보보호위원회, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가 피해 예방에 최선을 다하겠다"고 밝혔다.
