[사설]끝없는 쿠팡 모럴해저드… ‘솜방망이 처벌’론 재발 못 막는다

동아일보
입력 2025년 12월 9일 23시 30분

최악의 개인정보 유출 사고를 낸 쿠팡과 관련해 이재명 대통령이 9일 기업에 부과하는 과태료를 현실화해야 한다고 밝혔다. 경제 제재의 실효성을 높이기 위해 공정거래위원회 등에 강제조사권을 부여하는 방안도 검토하라고 지시했다. 이 대통령이 지난주 ‘징벌적 손해배상제 현실화’를 주문한 데 이어 정보 유출 사고를 일으킨 기업에 대한 처벌 수위를 높여야 한다고 강조한 것이다.

올 들어 초대형 정보 유출 사건이 연이어 발생하자 제재와 과징금을 선진국 수준으로 끌어올려야 한다는 지적이 잇따르고 있다. 쿠팡을 비롯해 통신사, 카드사, 유통업체 곳곳에서 빠져나간 개인정보를 합하면 6300만 건이 넘는다. 사고의 일차적 책임은 정보 보안 투자를 게을리한 기업에 있지만, 솜방망이 처벌이 ‘보안 불감증’을 부채질하고 있다.

미국에선 개인정보 유출 시 징벌적 손해배상과 집단소송으로 천문학적 배상금을 물어야 한다. 4년 전 7600만 명의 정보가 유출된 미국 통신업체 T모바일은 집단소송으로 3억5000만 달러를 배상했다. 3370만 명의 정보가 털린 쿠팡이 미국에서 사고를 냈다면 배상금이 최소 6억7000만 달러(약 9800억 원)에서 최대 337억 달러(약 49조 원)에 달할 것으로 법조계는 추산한다. 유럽연합(EU) 역시 보안 사고가 발생하면 연 매출의 최대 4%까지 과징금을 부과한다.

한국도 개인정보보호법에 징벌적 손해배상제가 도입됐지만 적용된 사례가 없다. 피해자가 금전 피해와 기업 과실을 입증해야 하는 탓이다. 2300만 명의 유심 정보가 털린 SK텔레콤에 부과된 과징금 1348억 원이 역대 최대다. 쿠팡도 과거 세 차례 개인정보 유출 사고를 냈지만 과태료와 과징금으로 16억 원을 내는 데 그쳤다. 이러니 보안 시스템에 투자하는 것보다 사고가 난 뒤 과징금을 무는 게 더 싸다는 얘기가 나오는 것이다.

쿠팡이 보여주는 ‘보안 모럴 해저드’는 갈수록 가관이다. 1년 전 이용 약관에 해킹 등으로 인한 손해를 회사가 책임지지 않는다는 면책 조항을 추가한 사실이 드러났다. 개인정보 유출 배상책임 보험엔 최저 보장 한도인 10억 원만 가입했다고 한다. ‘공룡 플랫폼’의 독점적 지위를 과신한 무책임과 오만이 아닐 수 없다. 정부는 기업의 보안 실패를 일벌백계하고, 실효성 있는 피해 보상 및 구제 제도를 서둘러 마련해야 할 것이다.