[데스크칼럼] 쿠팡 사태가 드러낸 개인정보 무감각의 구조

쿠팡 개인정보 유출 사태는 기업의 보안 체계 문제가 아니라, 한국 사회가 디지털 개인정보를 얼마나 취약하게 다루고 있는지를 드러낸 구조적 사건이었다. 3,370만 개 계정. 단순한 숫자가 아니라, 대한민국 국민의 과반 이상이 실제로 타인의 접근 대상이 됐다는 사실 하나만으로도, 이 사안을 가볍게 볼 수 없다.

유출자는 퇴직자였고, 쿠팡의 내부 서명키를 사용해 API를 통해 시스템에 접근했다. 내부에서만 사용돼야 할 인증 토큰이 퇴직 후에도 유효했다는 점에서, 전사적 권한 회수와 감시 체계에 근본적인 문제가 있었다는 지적이 나온다. 쿠팡 측은 사태 발생 이후 자체적으로 유출자를 특정하고, 외부 포렌식 업체를 통해 진술 확인 및 증거 확보를 진행했다. 그러나 이 과정이 민관합동조사단 및 수사기관과의 사전 협의 없이 이루어진 점은 논란이 됐다. 과학기술정보통신부와 경찰, 개인정보보호위원회 모두 유감을 표했고, 개인정보위는 조사 방해 소지가 있다고까지 경고했다.

이처럼 국가 차원의 조사가 진행 중인 와중에 기업이 단독으로 결론을 내려 공표하는 방식은, 결과에 대한 신뢰보다 절차적 정당성에 대한 우려를 키우는 방식이었다. 보고서에서도 쿠팡이 유출자 진술에 의존해 유출 범위를 제한적으로 판단했으며, 포렌식 결과를 마치 수사기관이 검증한 사실처럼 안내한 방식에 문제가 있다고 지적됐다 .

보상 역시 논란의 지점이었다. 쿠팡은 피해 계정 대상자에게 1인당 5만 원 상당의 구매이용권을 제공했지만, 이 이용권은 쿠팡 계열사별로 나뉘어 사용할 수 있도록 설계됐고, 유효기간과 잔액 환불 불가 조항도 있었다. 이 보상안을 두고 “형식은 보상이지만, 실질은 마케팅”이라는 비판이 제기됐다. 특히 사고 이후 쿠팡을 탈퇴한 이용자는 보상을 받기 위해 다시 가입해야 했던 점이 지적됐다. 현행 개인정보 보호법상 손해배상은 원칙적으로 금전 지급을 전제로 하며, 비금전적 수단은 피해자의 자발적 선택이 있는 경우에만 허용된다. 이런 점에서, 쿠팡의 보상 방안은 충분한 설명과 선택권 없이 일괄적으로 제시된 것 아니냐는 지적도 있다 .

정보주체에 대한 통지도 도마 위에 올랐다. 쿠팡은 사고 직후 배너 공지 형태로 사과문을 게시했으나, 그 표현에서 '유출'이 아닌 '노출', '무단 접근' 등의 완곡한 용어를 사용했다. 개인정보보호위원회가 시정 권고를 내리고서야 뒤늦게 ‘유출’이라는 표현을 포함한 재통지가 이뤄졌다. 유출 사실을 명확히 인지한 이후에도 통지의 시기와 방식이 소극적이었던 점에서, 정보주체 보호보다는 기업의 위기관리 중심 판단이 우선된 것 아니냐는 우려가 남는다.

무엇보다 우려되는 것은, 이런 대규모 유출이 반복되더라도 사회적 충격이나 제도적 반응이 둔감하다는 점이다. 미국의 금융기관 JP모건은 이번 사건에 대해 “한국 소비자들은 개인정보 유출 사고에 비교적 익숙한 편”이라 분석했다. 이 같은 평가가 시장 외부자의 시선이 아니라, 국내 이용자들의 실제 반응과 서비스 재이용률에서 뒷받침되고 있다는 점은 씁쓸하다. 만약 이 같은 구조적 무감각이 지속된다면, 향후에도 기업들이 유사한 방식으로 사태를 축소하거나, 최소한의 대응으로 넘어가는 유인이 생길 수밖에 없다.

쿠팡 사태는 단일 기업의 보안 실패로 끝날 수 없다. 오히려 이 사건은 디지털 시대에 한국 사회가 개인정보를 어떻게 관리하고, 기업이 어떤 태도로 대응하며, 이용자는 어디까지 수용하는가를 가늠할 수 있는 리트머스 시험지다. 국정조사의 목적은 쿠팡을 벌주는 데 있지 않다. 그보다는 기업, 제도, 시민 모두가 놓치고 있는 문제의 구조를 되짚고, 더는 반복되지 않도록 만드는 데에 있다. 우리가 익숙해져버린 위험에 더 이상 안주해선 안 된다.