반복되는 개인정보 대량 유출, 집단(단체)소송제도 즉각 도입하라
쿠팡에서 또다시 대량의 개인정보가 유출된 사실이 확인되었다.
쿠팡은 초기 공지에서 ‘개인정보 일부 노출’이라며 ‘이름, 이메일 주소, 배송지 주소록, 주문정보가 외부로 노출되었다’고 발표하였으나, 이후 공동현관 비밀번호 등도 유출된 사실이 밝혀졌다. 어떤 정보가 얼마나 유출되었는지 제대로 공개하지 않고 개인정보 ‘유출’을 ‘노출’로 축소하여 일부만 공지함으로써 사태를 왜곡하고 심각성을 희석하려는 기만적인 태도를 보인 것이다.
또한 이번에 유출된 ‘주문정보’는 개인의 생활패턴·소비성향·건강상태·경제환경 등을 세밀하게 드러내는 민감한 정보다. 이러한 정보들이 이미 유출된 다른 개인정보와 결합된다면 피싱 등 사기 범죄로 이어질 가능성이 크다. 그럼에도 불구하고 유출된 정보의 구체적 종류조차 밝히지 않은 채 ‘주문정보’로 축소하는 태도는 이용자의 알 권리와 자기정보결정권을 침해하고, 피해의 심각성을 은폐하려는 것으로 비칠 수밖에 없다.
이번 사건에서 쿠팡은 단지 외부의 해커에 의해 공격당한 피해 기업이 아니다. 공격자로 의심되는 퇴사자가 ‘프라이빗 서명키(암호키)를 취득해 가짜 토큰을 만들었’고 5개월 동안 무단 접속이 지속되었음에도 불구하고 전혀 감지하지 못했다는 것은 쿠팡이 보안을 제대로 하지 않은 중대한 과실이 있었음을 보여준다. 이는 비단 쿠팡만의 문제가 아니다. 최근 SKT, KT, 롯데카드 등 연이은 대량 개인정보 유출 사건이 발생한 배경에는 공통적으로 해당 기업의 부실한 보안 대책의 문제가 놓여있다. 거대 기업들조차 기본적인 개인정보 보호를 이행하지 못하는 상황에서 개인정보 유출은 더 이상 ‘예외적 사고’가 아니라 구조적 문제다. 기업들에 개인정보 보호나 보안을 요구하는 법제나 정책이 없었던 것이 아니라, 기업들이 실질적인 보안을 위해 투자를 할만한 유인이 부족했던 것이다. 기업들에게 보안은 당장의 수익으로 직결되지 않는 비용으로 인식된다. 어차피 대량 개인정보 유출사고가 발생해도 잠시의 사회적 비난만 감수하면 될 뿐, 기업에게 경제적으로 큰 타격이 발생하지 않는다. 정부의 과징금은 기업의 수익에 비해 새발의 피일 뿐이며 소비자들이 소송을 제기하기는 너무나 힘들고 지난한 과정이기 때문이다. 그러니 기업들이 굳이 많은 비용을 들여 보안에 투자를 할 이유가 없는 것이다.
따라서 이제 집단소송(또는 단체소송) 제도의 도입은 더 이상 미룰 수 없는 과제이다. 개인정보 대량 유출은 다수의 피해자가 발생하지만, 개별적인 피해를 입증하기 힘들고 소송 과정은 지난하기 때문에 개별 소비자가 소송에 나서기에는 부담이 크다. 일부 소비자 또는 소비자를 대표할 수 있는 단체가 소송을 제기하고 승소하면 동일한 피해자 전체가 보상을 받을 수 있도록 할 필요가 있다. 감독기관의 과징금은 국고로 귀속될 뿐 개별 피해자에게 보상이 주어지는 것은 아니다. 집단소송(또는 단체소송) 제도는 다수의 소비자들이 쉽게 보상을 받을 수 있도록 함과 동시에 기업들에게 실질적인 경제적 부담을 가하여 보안에 대한 투자를 압박할 수 있는 이중의 효과를 갖는다. 정부와 국회는 수년째 방치된 집단소송 제도 도입 논의를 즉각 재개해야 한다. 지금과 같은 제도적 공백이 지속되는 한 기업은 반복되는 유출 사고 속에서도 책임을 회피할 것이고, 피해자는 발 벗고 나서도 구제받기 어려운 상황에 놓이게 될 것이다.
또한 이번 사태는 현재 개인정보보호위원회가 추진하고 있는 소위 ‘AI 특례 법안’이 얼마나 위험한 것인지 보여준다. 개인정보보호위원회는 AI 산업 육성을 명분으로 정보주체의 동의 없이도 개인정보 원본을 연구·개발 목적으로 광범위하게 활용할 수 있도록 규제의 문턱을 낮추려 하고 있다. 이재명 정부가 국정 최우선 과제로 내세운 인공지능 3대 국가 도약을 위해서 고품질 원본 데이터가 인공지능 개발에 필요하다는 이유에서이다. 국회 국토교통위원회에서는 이소영 의원이 대표발의한 ‘자율주행자동차 상용화 촉진 및 지원에 관한 법률 일부개정법률안’이 논의되고 있는데, 이 역시 자율주행차 기술개발을 위해 가명처리도 하지 않고 원본 영상을 활용하도록 하고 있다. AI 개발 목적으로 원본 개인정보를 활용하겠다는 것은 개인정보 보호원칙에 정면으로 어긋나지만, 현재 기업들의 보안 수준을 고려할 때 원본 개인정보의 목적 외 이용이 얼마나 위험한 일인지 알아야 한다. 원본 개인정보의 목적 외 활용 법안을 강행한다면 AI 산업과 개인정보 보호체계에 대한 국민의 신뢰을 잃게 될 것이다.
우리는 다음과 같이 요구한다.
쿠팡은 유출된 ‘주문정보’의 구체적 범위를 즉시 공개하라.
정부는 집단소송제 도입을 더 이상 미루지 말고 즉각 추진하라.
정부와 국회는 AI 기술 개발을 이유로 원본 개인정보 활용 범위를 확대하려는 시도를 즉각 중단하라.
모든 기업은 개인정보 보호를 비용이 아닌 의무로 인식하고, 안전조치를 강화하라.
2025.12.04
디지털정의네트워크, 정보인권연구소