쿠팡 계정 16만 건 추가 유출… 5만원 넘어 '추가 배상' 노려볼 수 있는 근거

지난해 11월, 대한민국을 뒤흔들었던 쿠팡발 개인정보 유출 악몽이 아직 끝나지 않았다. 당시 3370만 명 규모의 유출 사고를 겪었던 쿠팡이 최근 조사 과정에서 16만 5000여 계정의 개인정보가 추가로 유출된 사실을 확인했다.

쿠팡 측은 "새로운 유출이 아닌 기존 사건의 연장선"이라며 진화에 나섰지만, 뒤늦게 자신의 정보가 범죄에 노출되었음을 알게 된 소비자들의 불안감은 법적 분쟁 불씨를 당기고 있다.

똑같은 5만원 보상? 뒤늦게 확인된 16만 명은 '잠재적 피해' 더 컸다

쿠팡은 이번에 추가로 확인된 피해자들에게도 기존과 동일하게 1인당 5만 원 상당의 구매 이용권을 지급하기로 했다. 이는 법적 손해배상이 아닌 기업 차원의 위로금 성격이다.

하지만 법적으로 따져보면, 뒤늦게 유출 사실을 통보받은 16만 5천여 명은 더 큰 위험에 방치되어 있었다는 해석이 가능하다.

초반에 유출을 인지한 사람들은 비밀번호 변경이나 보이스피싱 주의 등 방어 조치를 취할 수 있었던 반면, 이들은 수개월 동안 무방비 상태였기 때문이다.

법률 전문가들은 "뒤늦게 유출을 알게 된 사람들은 보이스피싱 등 2차 피해에 노출될 위험이 더 컸을 수 있다"며 "이러한 추가적인 위험에 대한 보상을 요구할 수 있는 법적 근거가 있다"고 분석했다.

만약 늑장 통지로 인해 실제로 보이스피싱 피해 등을 입었다면, 쿠팡의 통지 의무 위반을 근거로 더 높은 수위의 손해배상 청구가 가능하다는 것이다.

징벌적 손해배상 '3배'의 경고

이번 사태가 쿠팡에 미칠 파장은 과태료 수준에서 끝나지 않을 수 있다. 개인정보보호위원회는 이번 추가 유출을 계기로 쿠팡의 개인정보 관리 실태 전반을 다시 들여다볼 가능성이 높다. 조사 결과 중대한 과실이 드러날 경우 매출액에 기반한 대규모 과징금 폭탄을 맞을 수도 있다.

더 무서운 것은 민사상 책임이다. 개인정보 보호법 제39조 제3항은 개인정보처리자의 중대한 과실로 손해가 발생할 경우, 법원이 손해액의 최대 3배까지 징벌적 손해배상을 정할 수 있도록 규정하고 있다.

만약 법원이 쿠팡의 부실한 관리와 늑장 대응을 중대한 과실로 판단한다면, 쿠팡이 감당해야 할 배상액은 천문학적으로 늘어날 수 있다.

쿠팡 "새로운 해킹 아닌 기존 사건 연장선"

쿠팡 측은 이번 추가 통지에 대해 "새로운 해킹 사고가 아닌, 지난해 11월 발생한 유출 사건의 연장선상에서 배송지 목록을 정밀 점검하던 중 뒤늦게 확인된 사안"이라고 선을 그었다.

유출된 정보는 고객 이름과 전화번호, 주소 등 배송지 정보에 한정되며, 결제 정보나 공동현관 비밀번호 등 민감한 정보는 포함되지 않았다는 설명이다.

쿠팡 관계자는 "개인정보보호위원회의 권고에 따라 대상 고객에게 개별 통지를 완료했다"며 "현재까지 확인된 2차 피해 사례는 없으며, 내부 모니터링 체계를 강화해 즉각 대응하고 있다"고 밝혔다.