"비밀번호 안전하니 안심하라?"… 쿠팡의 호언장담, '징벌적 손해배상' 부메랑 될 수도

국내 이커머스 1위 기업 쿠팡에서 발생한 대규모 개인정보 유출 사고의 파장이 일파만파로 커지고 있다. 사측은 "비밀번호는 유출되지 않았으니 안심하라"는 입장을 내놨지만, 주무 부처인 과학기술정보통신부와 한국인터넷진흥원(KISA)은 "확인 중이니 조심하라"며 정반대의 경고등을 켰다.

문제는 기업의 '섣부른 안심' 메시지를 믿고 보안 경계를 늦춘 소비자들이 스미싱이나 보이스피싱 등 2차 범죄의 표적이 되고 있다는 점이다. 법조계에서는 쿠팡의 이러한 안내가 단순한 대응 미숙을 넘어, 법적 책임을 가중시키는 결정적인 '자충수'가 될 수 있다는 분석이 나온다.

"보상해 드립니다" 문자에 클릭했다간 낭패… 정부가 경고한 '현실적 위험'

사건의 발단은 쿠팡의 개인정보 유출 사실이 알려진 직후 KISA가 내놓은 긴급 보안 공지다. KISA는 이번 유출 정보를 악용한 해커들이 '피해 보상', '피해 사실 조회', '환불' 등의 키워드를 미끼로 스미싱 문자를 대량 유포할 가능성이 매우 높다고 경고했다.

실제로 우려했던 수법들은 이미 현실화하고 있다. '긴급 앱 업데이트'나 '보상 신청'을 가장한 문자에 악성 URL을 심어 스마트폰을 감염시키거나, 포털 사이트 검색 광고 영역에 피싱 사이트를 교묘하게 노출하는 방식이다.

심지어 고객센터를 가장해 전화로 "보상을 위해 원격 제어 앱을 설치하라"고 유도하는 보이스피싱 시도까지 포착됐다. KISA는 "정부 기관이나 금융회사는 절대 문자로 앱 설치를 요구하지 않는다"며 출처 불명의 문자는 즉시 삭제하고, 이미 악성 앱을 설치했다면 모바일 결제 내역을 확인한 뒤 공인인증서를 폐기해야 한다고 당부했다.

그러나 정작 당사자인 쿠팡은 "비밀번호 등 민감 정보는 안전하다"며 사태 진화에만 급급한 모습을 보여, 정부의 경고를 무색하게 만들었다는 지적이다.

"안심하라" 믿었다가 털리면 누구 책임?… 법원 "부실 고지는 의무 위반"

법적으로 가장 쟁점이 되는 부분은 쿠팡과 정부의 엇갈린 메시지 사이에 놓인 '소비자의 피해'다.

쿠팡의 안내를 믿고 비밀번호를 변경하지 않거나 계좌 모니터링을 소홀히 했다가 금전적 피해를 본 경우, 그 책임을 누구에게 물을 수 있느냐는 것이다. 변호사들은 쿠팡의 행위가 '정확한 정보 제공 의무'와 '피해 최소화 의무'를 위반했을 가능성이 높다고 입을 모은다.

개인정보 보호법 제34조는 유출 사고 시 사업자가 지체 없이 유출 항목과 경위, 피해 최소화 방법을 정보주체에게 알려야 한다고 규정한다. 만약 쿠팡이 과기부의 공식 입장처럼 피해 규모가 완전히 확인되지 않은 상태에서 단정적으로 "안전하다"고 안내했다면, 이는 명백한 법 위반 소지가 있다.

유사한 판례도 존재한다. 서울고등법원은 과거 여행사가 유류할증료 정보를 부실하게 고지해 소비자의 합리적 판단을 방해한 사건에서 전자상거래법 위반을 인정한 바 있다(2014누41635). 또한 대법원은 금융상품 설명서에 오해를 불러일으킬 수 있는 표시를 한 행위에 대해 불법행위 책임을 물었다(2008다52369).

즉, 기업이 제공한 부정확한 정보로 인해 소비자가 적절한 방어 조치를 취하지 못했다면, 그로 인한 손해는 기업이 배상해야 한다는 것이 법원의 일관된 태도다.

법적 책임 5배까지… '징벌적 손해배상'의 방아쇠 당긴 쿠팡

더 큰 문제는 이러한 부실 안내가 '징벌적 손해배상'으로 이어질 수 있다는 점이다.

개인정보 보호법 제39조 제3항은 개인정보처리자의 고의나 중대한 과실로 정보가 유출된 경우, 손해액의 최대 5배까지 배상하도록 규정하고 있다. 이때 법원은 배상액 산정 기준으로 '사업자가 피해 구제를 위해 노력한 정도'를 중요하게 살핀다.

법조계는 쿠팡이 2차 피해 위험을 충분히 예견할 수 있었음에도 불구하고 "안심하라"는 메시지를 보내 소비자의 대응을 방해했다면, 이를 '중대한 과실'이나 '피해 확산 방지 의무 위반'으로 볼 여지가 충분하다고 해석한다.

부산지방법원 동부지원 역시 개인정보 유출 위자료 산정 시 "피해 확산을 방지하기 위해 어떤 조치를 취했는지"를 핵심 판단 기준으로 삼았다(2020가합1027). 즉, 쿠팡의 안일한 공지가 재판 과정에서 위자료를 증액시키거나 징벌적 손해배상을 인정하는 결정적인 근거로 작용할 수 있는 셈이다.

피해 입증 못 해도 '300만 원' 배상 청구 가능… 소비자 대응법은?

이번 사고로 불안에 떨고 있는 피해자들은 어떻게 대응해야 할까.

우선 2차 피해가 발생했다면 즉시 경찰에 신고하고 통신사 소액결제 확인서를 확보해야 한다. 금전적 피해가 없더라도 정신적 손해에 대한 배상을 청구할 수 있다. 개인정보 보호법 제39조의2는 실제 손해액을 입증하지 않아도 법원이 300만 원 이하의 범위에서 배상액을 인정하는 '법정손해배상제도'를 두고 있다.

또한 개인정보 분쟁조정위원회에 조정을 신청하거나, 집단적인 민사 소송을 제기하는 것도 방법이다.

쿠팡 사태는 단순한 정보 유출을 넘어, 사고 수습 과정에서 기업이 던진 말 한마디가 얼마나 큰 법적 리스크로 돌아올 수 있는지를 보여주는 사례가 될 전망이다.

정부의 "조심하라"는 경고와 기업의 "안심하라"는 해명 사이, 법의 저울은 소비자의 '알 권리'와 '안전할 권리' 쪽으로 기울고 있다.

한편, 이번 논란과 관련해 쿠팡 박대준 대표이사는 30일 공식 사과문을 발표했다. 박 대표는 "무단 접근된 정보는 이름, 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한되었으며, 비밀번호나 결제 정보는 포함되지 않았다"고 해명했다.

이어 "현재 과학기술정보통신부, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가 피해 예방에 최선을 다하고 있다"며 "보안 시스템 전반을 재검토해 고객 정보 보호를 최우선으로 하겠다"고 덧붙였다.