쿠팡 3370만 계정 유출 사태가 커지는 가운데 법조계에선 소비자들과 연대해 집단 소송에 나설 준비를 보이고 있다. 사태가 커지면서 이커머스 업계에선 보안 유출 리스크를 막기 위해 긴급 점검에 나서는 등 보안 비상령이 떨어졌다.

1일 한국인터넷진흥원(KISA) 정보보호 공시에 따르면, 쿠팡은 올해 정보기술에 1조9171억원, 이 중 정보보호 부문에만 890억원을 투자했다. 이는 삼성전자, KT에 이어 국내 3위 규모다. 최근 4년간 쏟아부은 돈만 2700억원이 넘는다.

하지만 이 같은 투자에도 쿠팡은 지난 6월부터 11월까지 퇴사한 중국 국적 직원이 해외 서버를 통해 무단 접근해 3370만 명의 정보를 빼돌리는 동안 인지하지 못했다.

곽진 아주대 사이버보안학과 교수는 "투자 금액이 많다고 보안 사고가 안 나는 것은 아니다"라며 "단순히 장비를 늘리는 것보다 비용과 인력을 적재적소에 배치하고, 퇴사자 계정 관리 등 기본을 지키는 '보안 거버넌스'가 무너진 것이 이번 참사의 원인"이라고 진단했다. 곽 교수는 "이전 KT, 롯데카드 유출 정보와 결합해 특정인을 식별한 타겟 공격이 가능해져 2차 피해로 이어질 수 있다"고 우려했다.

소비자들의 분노는 법적 대응으로 이어지고 있다. 1일 오후 1시 기준 네이버 '쿠팡 개인정보 유출 단체 소송' 카페 가입자는 1만2600명을 넘어섰으며, 오픈채팅방 인원은 4300여명이 몰려 대응 방안을 논의 중이다.

김경호 법률사무소 호인 변호사는 오는 24일 서울중앙지방법원에 쿠팡을 상대로 피해자 1인당 10만 원을 배상하라는 집단소송을 제기할 예정이다. 김 변호사는 "개인정보보호법에 따르면 개인정보 유출 시 기업은 고의나 과실이 없었다는 사실을 입증해야 한다"며 "5개월 간 유출 사실을 인지하지 못했다는 건 기록 보관이나 모니터링을 소홀히 했다는 것이기에 중과실에 해당한다"고 비판했다.

법조계는 이번 소송의 승패가 법원의 '안전조치 의무' 해석에 달려 있다고 보고 있다. 구태언 법무법인 린 AI테크 그룹장은 "아직 구체적인 사실 관계가 나오지 않아 단정하긴 이르다"면서도 법원이 기업의 책임을 인정한 과거 판례들을 주목해야 한다고 설명했다.

서울고등법원은 과거 해킹 사건에서 성명불상자가 수십 개의 IP를 통해 수백 회 넘게 비정상적인 접속 시도가 있었음에도 이를 차단하지 않고 방치한 경우를 안전조치 미이행으로 판단했다.

또한 접근 권한이 없는 자의 접속을 제대로 통제하지 않은 경우나 '개인정보처리시스템에 대한 접근 권한 부여·말소 기준을 지키지 않은 경우' 역시 배상 책임의 근거가 됐다. 쿠팡이 해당 보안 조치를 취했느냐가 재판의 쟁점이 될 것으로 보인다.

쿠팡 사태의 불똥은 이커머스 업계 전반으로 튀고 있다. G마켓은 주말 내 자체 긴급 보안 점검을 실시했고, SSG닷컴은 정기·수시 점검과 내부 통제 강화에 나섰다. 최근 알리익스프레스·테무 등 C-커머스(중국계 이커머스)의 공세 속 글로벌 합작이 늘어나면서, 고객 정보의 해외 유출 우려까지 제기되는 상황이다.

황용식 세종대 경영학부 교수는 "보안 실패는 브랜드 신뢰 손실과 소비자 이탈이라는 무형의 비용을 초래한다"며 "쿠팡의 사례는 소 잃고 외양간을 고치려 해도 이미 늦은 '수습 불가' 단계로 갈 수 있음을 보여주는 경고"라고 지적했다.

한편, 쿠팡은 이번 사태로 2023년 개정된 개인정보보호법을 적용 받을 예정이다. 개정법은 과징금 상한액을 '전체 매출액의 3%'로 대폭 상향했다. 쿠팡의 지난해 연결 매출(38조2988억원)을 고려하면 이론상 1조 단위 과징금도 가능하다. 최근 SK텔레콤은 2324만명 정보 유출에 따른 개인정보 보호 위반으로 매출액의 1%인 1348억원의 과징금을 처분 받았다. 정치권에서도 "3370만 명 정보 유출은 역대급 참사"라며 강력한 제재를 촉구하는 상황이다.