대한변호사협회(협회장 김정욱)는 2025년 6월부터 11월까지 약 5개월간 쿠팡 고객 계정 3,370만 개의 개인정보가 무단으로 유출된 사태에 대하여 깊은 우려와 분노를 표명한다. 이번 사건은 과거 SK텔레콤 2,324만 명 유출 사고를 뛰어넘는 국내 최악 규모의 개인정보 침해 사건으로, 사실상 성인 4명 중 3명꼴의 정보가 노출된 것이다. 이는 대한민국 국민 대다수의 일상을 위협에 빠뜨린 전례 없는 참사라 하지 않을 수 없다.
이번 사건에서 드러난 문제점은 실로 충격적이다. 첫째, 쿠팡은 2025년 6월 24일경 비정상적 접근이 시작되었음에도 11월 6일경에야 이를 포착하였고, 공식 신고는 11월 18일에서야 이루어졌다. 무려 5개월간 대규모 정보 유출을 탐지하지 못한 것은 내부 보안 체계의 심각한 결함을 넘어 기업의 무책임과 안일함을 여실히 보여준다. 둘째, 최초 신고 당시 약 4,500개 계정만 노출된 것으로 보고하였다가 후속 조사에서 3,370만 개 계정으로 규모가 급격히 확대된 점은, 초기 대응 과정에서의 부실한 조사와 축소 보고를 넘어 피해자인 국민을 기만한 것이나 다름없다. 셋째, 내부 직원이 정보 유출에 관여한 정황이 드러나는 등 내부 통제 시스템의 총체적 부실 문제도 제기됐다.
이번 사태는 일회성 사고가 아니라 장기간 반복되어 온 우리 사회의 고질적인 문제다. 개인정보 대규모 유출 사태가 발생할 때마다 그 피해는 고스란히 국민에게 전가됐고, 가해 기업은 1인당 10만 원 남짓의 소액 배상이나 형식적 사과로 면책되었다. 이러한 우리 사회의 고질적이고 구조적인 문제점에 대한 근본적 개혁 없이는 이번 사태와 같은 참사는 반복될 수밖에 없다. 이번 사태로 유출된 정보에는 고객 이름, 이메일 주소, 배송지 주소록(전화번호·주소), 최근 주문 내역 등 민감한 개인정보가 포함되어 있다. 개인정보가 유출된 고객에게 보이스피싱, 스미싱, 피싱, 표적 광고 등 2차 피해가 광범위하게 발생할 것은 명약관화다. 피해자들은 수년간 범죄의 표적이 될 수 있다는 불안 속에서 살아가야 한다.
대한변호사협회는 국민의 개인정보 보호와 정보 주체의 권리 실현이라는 관점에서, 이번 사태의 심각성을 엄중히 인식하고 다음 사항을 강력히 촉구한다.
첫째, 개인정보보호위원회와 수사기관은 이번 사건의 발생 경위, 유출 규모, 내부자 관여 여부 등에 대하여 철저하게 진상 규명하고, 필요하다면 상설 특검을 통해서라도 쿠팡의 법적 의무가 제대로 이행되었는지에 대한 엄정한 조사가 이뤄져야 한다.
둘째, 쿠팡은 피해 고객에 대한 실질적인 보호 대책을 즉각 마련하여야 한다. 2차 피해 모니터링 서비스 제공, 피해 발생 시 신속한 구제 절차 마련 등 실효적 대책을 통해 기업으로서의 최소한의 도리를 다해야 할 것이다.
셋째, 정부와 국회는 이번 사태를 계기로 대규모 개인정보를 처리하는 기업에 대한 보안 의무를 강화하고, 침해사고 발생 시 신고 지연에 대한 제재를 실효화하는 방향으로 제도 개선을 추진하여야 한다.
넷째, 가해 기업의 법적 책임을 명확히 밝히기 위해, 디스커버리(증거 개시) 제도의 도입이 절실하다. 개인정보 유출 사건에서 피해자는 기업 내부의 보안 시스템 현황, 유출 경위, 과실 여부 등에 관한 증거를 확보하기가 사실상 불가능하다. 소송 당사자 간 증거를 상호 개시하도록 하는 디스커버리 제도가 도입되어야만, 피해자들이 대등한 지위에서 자신의 권리를 주장할 수 있을 것이다.
다섯째, 재발 방지를 위해 징벌적 손해배상제도의 전면 도입을 강력히 촉구한다. 현행 손해배상 제도하에서 기업들은 안일한 계산 아래 보안 투자를 소홀히 해왔다. 기존 배상액의 수십 배에 달하는 징벌적 배상 책임을 부과해야만 기업들이 개인정보 보호에 진정으로 책임감을 가질 수 있을 것이다.
여섯째, 집단적 피해 구제가 실질적으로 이루어질 수 있도록, 집단소송제도의 전면 도입이 시급하다. 현행법상 개별 피해자가 각자 소송을 제기해야 하는 구조에서는 3,370만 명에 달하는 피해자 대다수가 권리 구제의 사각지대에 방치될 수밖에 없다. 현행 집단소송제도를 개인정보 침해, 소비자 피해 등 전 영역으로 확대하여, 다수의 피해자가 효율적으로 권리를 구제받을 수 있는 제도적 기반을 마련해야 한다.
일곱째, 법원은 현실에 부합하는 손해배상 판결을 통해 기업의 도덕적 해이를 차단해야 한다. 수년째 비현실적으로 낮게 인정되는 손해배상액은 피해자의 실질적 구제를 꾀할 수 없을 뿐 아니라 결과적으로 기업의 안일한 보안 대응을 초래하고 있다.
대한변호사협회는 국민의 개인정보 자기결정권이 헌법상 기본권임을 재확인하며, 이번 사태가 우리 사회 개인정보 보호 체계 전반을 근본적으로 혁신하는 전환점이 되어야 함을 천명한다. 아울러 정부와 국회는 디스커버리, 징벌적 손해배상 및 집단소송 제도 도입을 위해 ‘민생 3법'을 조속하게 입법하여야 함을 재차 밝힌다. 제도 도입 및 입법이 지체되면 지체될수록, 그 피해는 국민에게 고스란히 전가된다는 점을 반드시 유념해야 한다.
2025. 12. 3. 대한변호사협회 협회장 김 정 욱
| 
20251203 [제53-7호 논평] 끊이지 않는 개인정보 유출 사태와 관련하여, 징벌적 손해배상 등 민생 3법의 조속한 입법을 촉구한다.pdf
나의 변호사 전용 SNS
