[뉴스토마토 강예슬·유근윤 기자] 쿠팡에서 고객 3370만명의 개인정보가 유출된 사건을 계기로 징벌적 손해배상 제도를 확대 도입해야 한다는 목소리가 커지고 있습니다. 징벌적 손해배상은 문제를 일으킨 개인이나 기업으로 하여금 실제 피해액보다 훨씬 많은 금액을 배상케 함으로써 해당 행위를 처벌하고 유사 사고의 재발을 막는 게 목적입니다. 우리나라의 현행 손해배상 제도는 원칙적으로 발생한 구체적 손해만 배상(전보·塡補)하는 걸 원칙으로 합니다. 개인정보보호법이나 제조물책임법 등 일부 법에선 과실이 중한 경우 손해액의 최대 3~5배까지 배상을 청구할 수 있도록 했지지만, 전문가들은 이 제도가 현실에 적용되는 경우는 드물다고 지적합니다. 이에 따라 이번 쿠팡 개인정보 유출 사태를 징벌적 손해배상 적용 대상과 범위를 대폭 늘리자는 주장이 힘을 얻습니다.
제21대 대통령 선거일인 6월3일 오후 서울 중구 한 쿠팡 차고지에 배달 차량이 주차돼 있다. (사진=뉴시스)
1일 <뉴스토마토> 취재를 종합하면, 쿠팡의 개인정보 유출 사태 이후 개설된 온라인 소송인단 모집 카페에서는 이날 오후 2시 기준 1만명이 넘는 피해자가 모여 손해배상 청구 소송을 준비하고 있습니다. 특히 개인정보 유출에 따른 2차 피해에 대한 우려가 커짐에 따라 소송에 참여한다는 의사를 밝힌 이들은 실시간으로 늘고 있습니다.
아직 쿠팡 사태에 따른 피해 규모는 구체적으로 확인되진 않았습니다. 하지만 고객들 사이에서는 "모르는 기기로 쿠팡 계정에 로그인된 것을 확인했다"거나 "보이스피싱 및 국제전화가 오기 시작했다"는 증언이 쏟아지고 있습니다.
현행 개인정보보호법 제39조3항은 개인정보처리자의 고의 또는 중대한 과실로 인해 정보가 유출되어 피해가 발생했을 경우, 실제 손해액의 최대 5배까지 배상액을 정할 수 있도록 규정했습니다. 김묘희 법무법인 지향 변호사는 "유출된 개인정보에 집 주소가 들어가 있고, 협박범이 쿠팡에 협박 메일을 보낸 상황에서 2차 피해가 많이 우려되는 상황"이라며 "개인정보 유출 뒤 금전적 손실이 발생하지 않아도 개인이 공포감 등을 느낀 것에 대해 정신적 손해에 대한 위자료는 인정될 수 있다"고 했습니다.
하지만 손해배상 청구 소송으로 고객의 피해를 보전하기는 쉽지 않습니다. 2016년 5월 전자상거래 업체인 인터파크 사내 전산망이 해킹돼 약 2540만명의 고객 개인정보가 유출된 사건이 대표적입니다. 피해자들은 인터파크를 상대로 개인정보 유출에 따른 손해배상 청구 소송을 제기했고 이겼지만, 1명당 10만원 수준의 위자료를 받는 데 그쳤습니다.
법원이 회사의 과실이 없다고 인정한 경우도 있습니다. 2011년 네이트·싸이월드 사이트에서 해킹 피해로 약 3500만명의 개인정보가 유출된 때도 법원은 기업의 손을 들었습니다. 당시 해킹 피해자 수천명은 사이트 운영회사인 SK커뮤니케이션즈를 상대로 손해배상 청구 소송을 냈지만, 2018년 최종 패소했습니다. 법원은 SK커뮤니케이션즈가 개인정보 보호조치 의무를 위반하지 않았다고 판단, 즉 과실이 없다고 본겁니다.
이러다 보니 개인정보를 유출한 회사는 책임이 가벼운 정도에서 그치고, 보안에 대한 경강심도 낮아져 유사 사고가 반복되고 있습니다. 국내 최대 이동통신사인 SKT에서는 지난 4월 고객 2324만명의 유심정보가 유출되는 사고가 발생했습니다. 올해 8월 롯데카드에서는 해킹으로 인해 297만명이 넘는 고객 개인정보가 유출되는 사고가 발생했습니다.
박대준 쿠팡 대표가 지난달 30일 서울 종로구 정부서울청사에서 열린 쿠팡 관련 긴급 관계부처 장관회의에 참석하고 회의장을 나와서 취재진의 질의에 답변하고 있다. (사진=공동취재진)
이런 맥락에서 개인정보 유출에 대한 손해배상 금액을 높이는 건 물론 징벌적 손해배상을 전면 도입해야 한다는 주장이 나옵니다.
김묘희 변호사는 "최근에 보이스피싱 등이 생기면서 개인정보 유출에 따른 위험이 높아졌고, 피해가 이어져 금전적 손실이 큰 경우가 있어 개인이 느끼는 정신적 고통도 굉장히 높아졌다"며 "하지만 우리나라 법원이 선고하는 위자료 액수는 국민들의 법감정에 미치지 못하는 것 같다"며 제도 개선 필요성을 주장했습니다. 개인정보보호법에 따르면 최대 5배의 징벌적 손해배상이 가능한데, 법원의 판단의 소극적이라는 지적입니다.
징벌적 손해배상이 도입된 미국의 경우 개인정보 유출 사고가 발생한 기업이 소비자에게 지급해야 할 보상액은 우리나라와 차원이 다릅니다. 미국의 3대 이동통신사 중 하나인 T모바일은 2021년 7660만명에 달하는 고객 정보(이름·생년월일·사회보장번호·운전면허증 번호)를 대거 유출됐습니다. 소비자들은 T모바일을 상대로 소송을 제기했고, 회사는 고객에 4590억원을 배상하기로 합의했습니다. 고객의 피해규모에 따라 다르지만 1명당 약 3200만원을 보상하는 셈입니다.
국내에서는 징벌적 손해배상 도입을 위한 노력이 꾸준히 시도됐지만, 국회 문턱에서 거푸 좌절됐습니다. 20대 국회에선 징벌적 손해배상 제도와 관련한 법안이 5개나 발의됐으나 모두 소관 상임위원회를 통과되지 못했습니다.
현재 상황도 마찬가지입니다. 박주민 민주당 의원은 지난해 12월 징벌적 손해배상에 관한 법률안을 발의했지만, 법제사법위원회에서 계류 중입니다. 박 의원의 법안은 민법과 민사소송법에 대한 특례로 고의 또는 중대한 과실로 타인에게 손해를 가한 자에게 징벌적 배상책임 인정, 배상액의 한도를 전보배상의 2배로 하는 안이 담겼습니다. 타인의 생명·신체에 손해 가한 경우 해당 전보배상의 2배를 초과한 배상책임도 인정될 수 있습니다.
김주호 참여연대 민생경제팀장은 "징벌적 손해배상제 관련 법안 발의는 10년 넘게 꾸준히 계속되고 있지만 국회에서 통과가 되지 않고 있다"며 "기업에서는 기업규제 법안이라고 워낙 강렬하게 반대를 하고 있는 상황"이라고 말했습니다.
강예슬 기자 yeah@etomato.com
유근윤 기자 9nyoon@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 최병호 공동체부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지