들어가며: 방치한 디지털 만능키에서 비롯된 인재(人災)
쿠팡 고객 3,370만 명의 개인정보가 유출된 이번 사태의 핵심 원인은 외부 해킹이 아닌 내부 통제 실패로 보입니다. 경찰 수사 및 국회 조사 결과, 유출의 주범인 중국인 전 직원이 퇴사했음에도 불구하고, 시스템에 접근할 수 있는 액세스 토큰 서명키가 폐기되지 않고 방치되었던 것으로 드러났습니다.
이는 단순한 관리 소홀을 넘어, 현행 법령과 정부 고시가 규정하고 있는 기술적·관리적 보호조치 의무를 정면으로 위반한 사안입니다. 이 글에서는 퇴사자가 가지고 있던 액세스 토큰 서명키가 방치되었다는 점을 전제로(아직 확정된 사실은 아닙니다) 쿠팡이 어떤 규정을 위반하였으며 이에 따른 법적 책임은 무엇인지 분석합니다.
관련 규정 및 위반 사실
과학기술정보통신부 고시 위반: 「정보보호조치에 관한 지침」
과학기술정보통신부의 「정보보호조치에 관한 지침」(제2017-7호)은 정보통신서비스 제공자가 준수해야 할 최소한의 보호조치 기준을 정하고 있습니다.
- 위반 조항: [별표 1] 보호조치의 구체적인 내용 – 1. 관리적 보호조치 – 1.2. 정보보호 계획 등의 수립 및 관리 – 1.2.4. 정보보호 사전점검
- 규정 내용: 임직원의 전보 또는 퇴직 시 즉시 관련 계정 등에 대한 접근 권한을 제거해야 한다.
- 분석: 쿠팡은 담당 직원이 퇴사했음에도 인증 키(계정 접근 권한)를 5개월 이상 갱신하거나 제거하지 않았습니다. 이는 즉시 제거 의무를 불이행한 것으로, 해당 고시를 명백한 위반한 것입니다.
개인정보보호위원회 고시 위반: 「표준 개인정보 보호지침」
개인정보보호위원회의 「표준 개인정보 보호지침」(제2025-4호)은 개인정보처리자가 개인정보취급자를 어떻게 감독해야 하는지 구체적인 기준을 제시합니다.
- 위반 조항: 제15조(개인정보취급자에 대한 감독) 제3항
- 규정 내용: 개인정보처리자는 (…) 인사이동 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다.
- 분석: 해당 중국인 직원은 퇴사로 인해 더 이상 개인정보취급자의 지위에 있지 않게 되었습니다. 따라서 쿠팡은 즉시 접근 권한을 말소했어야 하나, 이를 방치하여 전 직원이 외부에서 개인정보를 탈취할 수 있는 경로를 열어두었습니다.
법적 책임 및 시사점
민사상 손해배상 책임 성립 (과실의 입증)
개인정보보호법 및 정보통신망법상 기업이 개인정보 유출에 대한 손해배상 책임을 면하기 위해서는 기본적인 보호조치를 다하였음을 입증해야 합니다. 하지만 쿠팡은 상기 기술한 정부 고시(보호조치 기준)를 준수하지 않았으므로, 법원은 이를 중대한 과실로 판단할 가능성이 매우 높습니다. 특히, 접근 권한 미회수와 정보 유출 사이에 직접적인 인과관계가 성립하므로, 집단소송 시 피해자들에게 유리한 판결(배상액 상향 등)이 나올 핵심 근거가 됩니다.
행정 처분 (과징금 및 시정명령)
개인정보보호위원회는 안전조치의무 위반에 대해 전체 매출액의 3% 이하에 해당하는 과징금을 부과할 수 있습니다(개인정보보호법). 이번 사안은 해킹 방어 기술이 부족했던 것이 아니라, 퇴사자 권한 삭제라는 기초적인 의무를 위반한 것이기에 규제 당국의 제재 수위가 매우 높을 것으로 예상됩니다.
결론
이번 쿠팡 사태는 고도의 해킹 기술에 뚫린 것이 아니라, 퇴사하면 열쇠를 회수한다는 보안의 기본 원칙을 지키지 않아 발생한 인재입니다. 과기정통부와 개인정보위의 지침은 권고 사항이 아니라 기업이 반드시 지켜야 할 법적 가이드라인임을 명심해야 합니다.
로피드 법률사무소는 이번 고시 위반 사실을 공동소송의 핵심 쟁점으로 삼아, 피해자분들의 정당한 권리 구제를 위해 끝까지 싸우겠습니다.
[참여 안내] 쿠팡 개인정보 유출 공동소송 사전 의향서 접수
지금은 정식 소송인단 모집 전 단계로, 참여를 원하시는 분들의 수요를 파악하고 있습니다. 아래 링크를 통해 연락처를 남겨주시면, 정식 모집 시작 시 가장 먼저 알림을 드립니다.