‘나는 당신이 무엇을 샀는지 알고 있다’ 섬뜩하다. 슬래셔 영화 ‘나는 네가 지난 여름에 한 일을 알고 있다’가 연상된다. 쿠팡 이용자들이 협박 메일을 받았다. 이름은 물론 주소, 전화번호, 배송장소, 구매 품목과 수량, 공용현관 정보까지 상세히 담겨있다. 쿠팡 고객은 개인당 최대 20개의 배송지 주소를 입력해 주문할 수 있다. 가족과 지인의 정보까지 털렸을 가능성이 크다. 구매 내역은 개인의 생활 패턴과 인간관계까지 유추할 수 있다. 문 앞 배송이 문 앞 포비아가 됐다. 고객들은 2, 3차 피해를 우려해 연신 휴대폰을 들여다본다. 그런데 쿠팡은 3천370만명의 ‘정보 유출’을 ‘정보 노출’이라고 문자 공지했다. 책임을 축소하려는 꼼수 표현이다.
국민들의 개인정보 유출 공포가 일상화되고 있다. 개인정보 유출 신고 건수는 2022년 167건에서 2023년 318건, 2024년 307건으로 급증했다. 올 들어서도 사고가 끊이질 않는다. 1월 GS리테일, 4월 SK텔레콤, 6월 YES24, 8월 롯데카드, 9월 KT에 이어 11월엔 넷마블과 업비트에서 난리가 났다. 오죽하면 ‘내 개인정보는 세계일주 중인가’ 하는 푸념이 나올 지경이다.
쿠팡의 개인정보 유출은 이번이 네 번째다. 앞선 세 차례 유출 사고의 과징금 총액은 고작 16억원에 불과하다. 미국에서 개인정보 유출 사고를 낸 기업은 합의금 규모가 막대하다. 집단소송에서 옵트아웃(opt-out) 방식을 기초로 하기 때문이다. 소송에 참여하지 않아도 판결 효력이 전체 피해자에게 적용된다. 2015년 페이스북(현 메타)의 얼굴인식 데이터 불법 수집 집단소송은 일리노이주 페이스북 이용자 3명의 승소로 총 160만명이 배상을 받았다. 통신사 AT&T는 지난해 두 차례 데이터 유출 사고로 1억7천700만달러(2천600억원)의 합의금을 지불했다.
한국에서 자본시장법 위반 외에 개인정보 유출 관련 소송은 한계가 있다. 미국과 달리 소송에 직접 참여한 피해자들만 배상받을 수 있다. 쿠팡 사태에 여론이 들끓고 집단소송으로 번지고 있지만, 전체는 고사하고 소송 참여자도 실질적 배상액을 기대하기 어렵다. 지금까지 수년간 소송을 진행해도 소송 당사자 1인당 10만원 수준이었다. 개인정보 유출 기업에 강력한 과징금 제재와 징벌적 손해배상제도 현실화가 필요하다. 처벌이 죄의 무게에 미치지 못하면 사고는 반복된다.
/강희 논설위원
경인일보 Copyright ⓒ kyeongin.com