쿠팡 개인정보유출에 징벌배상 검토…개보위, 제도 손질 예고

쿠팡 대규모 개인정보 유출 사고가 데이터 보호 규제 체계를 전면 손질하는 계기로 부상하고 있다. 개인정보보호위원회가 징벌적 손해배상과 과징금 제재 강화, 보안 투자 유인 체계 재설계를 예고하면서 국내 플랫폼 산업 전반의 개인정보 관리 기준이 대폭 상향될 가능성이 커졌다. 업계에서는 이번 사건이 단순 사고를 넘어 데이터보호 규율 체제 전환의 분기점으로 작용할 수 있다는 관측이 나온다.  

개인정보보호위원회에 따르면 쿠팡은 지난 11월 20일 오후 8시 주문과 배송 관련 페이지에서 비정상적인 접근을 확인하고 4536개 계정 정보 유출 사실을 1차로 신고했다. 개보위는 다음 날인 21일 즉시 조사에 착수했다. 이후 11월 29일 오후 6시 쿠팡이 내부 점검 과정에서 3370만개 계정의 추가 유출을 인지해 2차 신고했고, 회사는 이용자들에게 개인정보 노출 관련 안내 메시지를 발송했다.  

유출된 개인정보 항목은 이름, 이메일 주소, 배송지 정보, 전화번호, 주문 정보 등으로 파악됐다. 배송지 정보에는 회원 본인뿐 아니라 가족과 지인 등 수령인의 이름, 주소, 연락처, 일부 공동현관 비밀번호까지 포함돼 실생활 밀착형 2차 피해 우려가 커진 상황이다. 송경희 개인정보보호위원장은 공격자가 사전에 확보한 회원 인증 관련 정보를 활용해 정상적인 로그인 절차 없이 계정에 접근한 것으로 조사됐다고 설명했다.  

정부는 사고 규모와 파급력을 고려해 범부처 대응에 나섰다. 개인정보보호위원회와 과학기술정보통신부는 2차 피해 방지를 위한 대국민 보안 공지를 실시했고, 11월 30일에는 개보위, 과기정통부, 국무조정실, 경찰청 등이 참석한 긴급 대책 회의를 열었다. 스미싱, 피싱 등 통신 기반 금융·계정 탈취 시도와 불법 정보 유통 차단이 핵심 과제로 부상했다.  

개보위는 쿠팡의 사고 공지 표현 방식에도 문제를 제기했다. 3일 열린 전체회의에서 쿠팡이 이용자 안내 시 개인정보가 단순히 노출됐다는 취지로 표현한 점을 부적절하다고 지적하며, 실제 상황에 맞게 유출 사실을 명기해 재통지할 것을 촉구했다. 정보주체가 자신의 위험 수준을 정확히 인지해야 추가 피해를 줄일 수 있다는 판단이다.  

제재와 제도 개선 수위도 상향될 전망이다. 송 위원장은 국회 정무위원회 현안 질의에서 쿠팡 개인정보 유출을 심각하게 받아들이고 있다며, 유출 범위와 규모, 항목을 정확히 파악한 뒤 개인정보보호법상 안전조치 의무 위반 여부를 철저히 조사해 처분하겠다고 밝혔다. 동시에 징벌적 손해배상 제도의 실효성을 높일 수 있는 방안을 강구하겠다고 언급해 플랫폼 기업들의 법적 리스크 관리 부담도 커질 것으로 보인다.  

개보위는 과징금 제재 강화와 함께 사업자의 자발적 개인정보 보호 투자 유도에 방점을 찍고 있다. 송 위원장은 사업자가 스스로 개인정보 보호 분야에 인적·물적 투자를 확대할 수 있도록 효과적인 유인 체계를 설계하겠다고 밝혔다. 아울러 정보보호와 개인정보보호 관리체계 인증의 실효성을 강화하고, 불법 유통에 대한 대응을 병행하겠다고 덧붙였다.  

이번 쿠팡 사고는 대규모 데이터 플랫폼이 일상 인프라로 자리 잡은 환경에서 개인정보보호 체계의 허점을 드러낸 사례로 평가된다. 업계와 규제 당국 모두 기술 보안뿐 아니라 인증 관리, 계정 보호, 이상 징후 탐지 체계를 통합적으로 재점검할 필요성이 커졌다. 산업계는 강화된 징벌적 손해배상과 과징금 체계가 실제 시장에 어떻게 적용될지, 그리고 데이터 보호와 디지털 서비스 혁신 간 균형이 어떤 방식으로 재조정될지 주시하고 있다.