"당신 집 현관문도 뚫렸다"…비번 털린 쿠팡, 도둑 들면 '5배 배상' 책임진다
"당신 집 현관문도 뚫렸다"…비번 털린 쿠팡, 도둑 들면 '5배 배상' 책임진다
공동현관 비밀번호 유출로 주거침입 발생 시 법적 책임 공방
입증책임 전환으로 피해자 구제 가능성 열려
공동현관 비밀번호까지 유출된 쿠팡 사태, 주거침입 피해 발생 시 사측이 무과실을 입증하지 못하면 최대 5배의 '징벌적 손해배상' 책임을 지게 된다. /본문의 이해를 돕기 위해 생성형 AI로 만든 이미지
국내 이커머스 1위 기업 쿠팡에서 발생한 사상 초유의 개인정보 유출 사태가 단순한 정보 유출을 넘어 '물리적 보안 위협'으로 번지고 있다. 전체 가입자 수에 육박하는 3370만 건의 고객 정보가 유출된 가운데, 유출 항목에 아파트 등 주거지의 '공동현관 비밀번호'가 포함된 사실이 확인됐기 때문이다.
이번 사건의 유력한 용의자로 지목된 이는 전직 중국 국적 직원이다. 경찰과 쿠팡 측 조사에 따르면 해당 직원은 해외 서버를 우회해 국내 메인 서버에 무단 접근하여 방대한 데이터를 빼돌린 것으로 파악됐다. 쿠팡은 사건 발생 약 5개월이 지난 뒤에야 이를 인지하고 뒤늦게 통지 문자를 발송해 '늑장 대응' 논란까지 겹치며 소비자들의 공분은 극에 달했다.
"내 집 안방까지 위험하다" 현실화된 공포
단순히 스팸 문자가 늘어나는 수준의 피해가 아니다. 로켓배송과 새벽배송을 위해 소비자들이 입력해 둔 '공동현관 출입번호'가 고스란히 유출됐다는 점이 이번 사태의 핵심이다. 이는 사이버 공간의 피해가 현실 세계의 주거 침입 범죄로 이어질 수 있다는 구체적인 공포를 심어주고 있다.
현재 피해자들은 "언제든 낯선 사람이 아파트 현관을 통과해 집 앞까지 올 수 있다는 사실이 소름 끼친다"며 불안을 호소하고 있다. 이미 1500명이 넘는 피해자가 집단 소송을 준비 중이며, SNS에는 쿠팡 탈퇴 인증이 이어지고 있다. 그렇다면 만약 실제 유출된 비밀번호를 이용한 주거침입이나 절도 사건이 발생할 경우, 쿠팡에게 법적 책임을 물을 수 있을까.
도둑 들면 쿠팡이 배상해야... '입증책임'이 관건
법조계에서는 쿠팡의 손해배상 책임이 성립할 가능성을 높게 보고 있다. 핵심은 쿠팡이 개인정보보호법상 의무를 다했는지 여부다. 개인정보보호법 제29조는 개인정보처리자에게 기술적·관리적 안전조치 의무를 부과하고 있다.
이번 사건의 경우 중국 국적 직원이 해외에서 메인 서버에 접근해 대규모 정보를 빼돌리는 동안 시스템이 이를 감지하지 못했다는 점이 결정적이다. 이는 쿠팡의 접근 통제 시스템과 보안 관제가 제대로 작동하지 않았다는 방증으로, 법적 의무 위반으로 해석될 여지가 크다. 대법원 판례(2013다43994, 44003) 역시 개인정보 취급자에 대한 접근 권한 관리 소홀을 안전조치 의무 위반으로 본다.
문제는 '인과관계'다. 내 집 현관 비밀번호가 뚫려 도둑이 들었을 때, 그것이 '쿠팡 유출 때문'이라는 것을 피해자가 증명해야 하는 난관이 있다. 하지만 이번 사태에서는 이 입증의 부담이 획기적으로 줄어들 전망이다.
"쿠팡이 무과실 증명 못 하면 배상"... 징벌적 손해배상까지
개인정보보호법 제39조는 피해자 구제에 강력한 무기가 된다. 해당 조항은 개인정보처리자가 고의 또는 과실이 없음을 입증하지 못하면 책임을 면할 수 없도록 규정하고 있다. 즉, 피해자가 "쿠팡 때문에 도둑이 들었다"고 완벽하게 증명하지 못하더라도, 쿠팡 측이 "우리는 잘못이 없고 도둑은 다른 경로로 들어왔다"는 것을 입증하지 못하면 배상 책임을 져야 한다는 뜻이다.
특히 이번 사태가 쿠팡의 중대한 과실로 인정될 경우, 실제 손해액의 최대 5배까지 배상해야 하는 '징벌적 손해배상'제도(개인정보보호법 제39조 제3항)가 적용될 수 있다. 법원은 주거침입으로 인한 재산적 피해뿐만 아니라, 주거의 평온이 깨진 데 대한 정신적 고통(위자료)까지 폭넓게 인정하는 추세다.
과거 대법원은 개인정보 유출과 2차 피해 사이의 인과관계를 엄격히 따졌으나, 최근에는 기업의 보안 소홀이 명백할 경우 피해자의 입증 부담을 완화해주고 있다. 주거침입 사건의 경우, 유출 시점 이후 범죄가 발생했고 범인이 비밀번호를 알고 있었다는 정황만 있어도 상당인과관계를 인정받을 가능성이 열려 있다.
결국 "비밀번호 바꾸면 그만"이라는 안이한 대응으로는 쿠팡이 막대한 법적 책임을 피하기 어려울 것으로 보인다. 전문가들은 피해자들이 주거침입 사실을 입증할 CCTV나 경찰 신고 기록 등 증거를 철저히 확보하고, 집단 소송 등 적극적인 법적 대응에 나서는 것이 중요하다고 조언한다.
한편, 이번 사태와 관련해 쿠팡 박대준 대표이사는 30일 공식 사과문을 발표했다. 박 대표는 "무단 접근된 정보는 이름, 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한되었으며, 로그인 비밀번호나 결제 정보는 포함되지 않았다"고 해명했다.
이어 "현재 과학기술정보통신부, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가 피해 예방에 최선을 다하고 있다"며 "보안 시스템 전반을 재검토해 고객 정보 보호를 최우선으로 하겠다"고 덧붙였다.