쿠팡 피해자가 이기는 방법: 쿠팡 정보유출 집단 손배 가능한 집단소송법
쿠팡 개인정보 유출로 3367만 명이 피해를 입었지만 아직까지 실제 배상을 받은 사람은 없다. 앞으로도 그럴 것 같다. 이유는 시민의 무관심이 아니라 구조다. 개인이 증거를 확보할 수 없고 소송 비용은 기대 보상을 초과하며 판결은 소송을 건 사람에게만 적용된다. 용혜인 의원이 발의한 집단소송법은 옵트아웃 방식, 전문가 증거조사, 3개월 허가 결정으로 이 구조를 뒤집으려 한다. 법이 통과되면 기업은 처음으로 다른 계산을 해야 한다. 소비자가 기업을 의심하기 시작했으므로.
나는 쿠팡 회원이다. 그리고 쿠팡에게 개인정보를 털린 3367만 명 중 하나다. 이름, 이메일, 전화번호, 배송지 주소. 삽십년 된 아파트는 현관이 열린 상태라서 털릴 것이 없었다. 퇴사한 전직 개발자가 7개월 동안 2313개의 IP를 돌려가며 조용히 체계적으로 긁어갔다고 한다. 쿠팡의 보안 시스템은 그 7개월 동안 아무것도 감지하지 못했다. 과기정통부 민관합동조사단이 그것을 지능화된 공격이 아니라 기본적인 관리 부실이라고 결론 냈을 때, 나는 분노보다 허탈함을 먼저 느꼈다.
지능적인 해킹도 아닌, 그냥 관리를 안 한 것이다.
그리고 쿠팡은 이 사태를 처음에 4,536건 유출이라 신고했다. 실제 규모의 7,400분의 1. 더 황당한 것은 그 다음 자체 조사에서 3,000건에 불과하다고 숫자를 다시 줄였다가, 두 달 뒤에 16만 5,000건이 추가로 확인됐다고 번복한 것이다. 정부의 최종 조사 결과가 나오기 전까지 쿠팡은 숫자를 세 번 바꿨다. 나는 이 숫자의 간극에서 이 회사가 나를 어떻게 보는지를 읽었다. 소비자는 숫자를 모를 것이라는, 혹은 알아도 어차피 아무것도 못 할 것이라는 계산.
그 계산이 맞았다. 적어도 지금까지는.
쿠팡이 관리를 안 했다는 게 정확히 무슨 뜻인가
공격자는 쿠팡의 전직 소프트웨어 개발자였다. 그는 재직 시절 인증 시스템 설계와 개발을 담당했다. 그 과정에서 서명키를 획득했다. 서명키는 쉽게 말하면 마스터 출입증이다. 이걸 가진 사람은 정상 로그인 절차 없이도 서버에 들어갈 수 있다.
문제는 그가 퇴사한 뒤에도 이 마스터 출입증이 폐기되지 않았다는 것이다. 서명키는 보안 시스템이 아닌 그의 개인 노트북에 저장되어 있었고, 퇴사 후에도 갱신되지 않은 채 방치됐다. 그는 퇴사 후 몇 달간 테스트하다가 본격적으로 공격을 시작했다. 그리고 7개월 동안 아무도 몰랐다.
쿠팡은 이후 정부의 자료보전 명령도 어겼다. 명령 이후에도 접속 기록 일부를 삭제해 조사를 방해한 것이다. 과태료를 받았고 수사도 시작됐다. 이 사건에서 지능적 공격이란 없었다. 퇴사자의 열쇠를 회수하지 않았고이상 접속을 감지할 시스템도 없었고, 사고 후에는 증거를 지웠다. 관리의 총체적 부실이다.
피해자의 합리적 무기력: 구조의 문제
솔직히 말하면, 많은 이용자가 탈팡을 선언했지만, 대다수 피해자는 지금도 쿠팡을 쓸 것이다. 정보가 유출됐다는 문자를 받고도 같은 앱에서 장을 본다. 이것을 두고 몰상식하다고, 기업에 면죄부를 주는 행동이라고 비난하는 사람이 있다면 나는 그 시각에 동의하지 않는다. 쿠팡이 편리하다는 것은 사실이고, 소비자는 합리적 판단을 한 것뿐이다.
문제는 다른 곳에 있다.
편리해서 계속 쓴다는 것과 정보 유출에 대해 책임을 묻지 않아도 된다는 것은 전혀 다른 명제다. 소비자가 쿠팡을 용서했다고 해서, 쿠팡이 면죄된 것은 아니다. 그러나 지금의 법 구조는 이 두 가지를 사실상 동일시한다. 소비자가 소송을 제기하지 않으면 기업은 아무 책임을 지지 않는다. 개인의 무행동이 곧 기업의 면책이 되는 구조다.
경제학 용어로는 이것을 합리적 무관심(rational apathy)이라 부른다. 소송에 투입할 시간과 비용이 기대 보상보다 클 때 개인은 포기를 선택한다. 이것은 시민의 나약함이 아니라 시스템이 설계한 결과다.
그러니 기업은 계산한다. 피해를 입혀도 대다수는 귀찮아서 소송을 안 건다. 소송을 거는 극소수는 개별 협상으로 처리하면 된다. 피해 규모는 수천만 명이어도 실제로 소송을 제기하는 원고는 소수에 불과하다. 이 비대칭이 기업의 보안 투자를 억제하는 진짜 이유다.
피해를 입혀도 소송이 없다면 배상이 없다. 배상이 없다면 억지력이 없다. 억지력이 없다면 보안 투자는 비용으로만 남는다. 이 논리의 사슬이 한국 개인정보 보호의 실제 현실이었다.
법이 기업 편이었다는 것: 정보 비대칭의 구조
한국에 집단소송법이 존재하는 분야는 딱 하나다. 증권. 그것도 운용 방식을 들여다보면 기가 막힌다. 소송 허가 결정 하나 받는 데 1년이 넘게 걸리는 경우가 허다하다. 피해자는 기다리다 지친다. 변호사 비용은 계속 쌓인다. 그 사이 기업의 법무팀은 절차 지연을 전략으로 삼는다.
그런데 여기에 더 근본적인 문제가 있다. 한국은 개인정보 보호 장치가 없는 나라가 아니다. 개인정보보호법에는 이미 고의 또는 중대한 과실이 인정되면 손해액의 최대 5배까지 배상 가능한 징벌적 조항이 존재한다. 손해배상 청구도 가능하고, 집단분쟁조정 제도도 있다.
그런데 왜 아무도 이 조항을 활용하지 못하는가. 입증 구조 때문이다. 플랫폼 사고에서는 항상 같은 구도가 반복된다.
| 피해자 | 기업 | |
|---|---|---|
| 정보 접근 | 무슨 일이 있었는지 모름 | 모든 서버 로그와 기록 보유 |
| 분석 능력 | 피해 범위조차 모름 | 내부 분석 가능 |
| 입증 부담 | 모든 책임 개인이 짊어짐 | 자료 제출 선택권 보유 |
쿠팡 사건에서 배송지 목록 페이지만 해도 약 1억 5,000만 회 조회됐고 공동현관 비밀번호까지 포함된 상세 정보가 5만여 회 열람됐다. 그 모든 증거는 쿠팡의 서버 안에 있다. 피해자인 나는 유출됐다는 문자 한 통만 가지고 법정에 선다.
이게 공정한 싸움인가. 5배 징벌적 배상 조항이 있어도, 고의, 중대과실을 입증하지 못하면 그 조항은 종이 위의 숫자일 뿐이다. 문제는 처벌 수위가 아니라 책임을 증명할 수 없다는 구조 자체다.
그리고 결정적인 문제가 하나 더 있다. 개인이 단독으로 소를 제기해 이겨도 판결의 효력은 그 개인에게만 미친다. 나머지 3,366만 명은 각자 다시 소를 제기해야 한다. 현실적으로 불가능한 일이다.
참고로 OECD 38개국 중 소비자 분야에서 집단손해배상과 위법확인소송이 모두 불가능한 나라는 한국이 사실상 유일하다는 지적도 있다. 세계 10위 경제대국의 후진 법적 인프라다.
용혜인 법안이 뒤집으려는 것
2026년 2월 12일, 기본소득당 용혜인 의원이 집단소송법을 발의했다. 현재 국회에는 이 법안을 포함해 총 7개 이상의 집단소송법안이 올라와 있고, 법무부장관이 직접 여당 원내대표와 법사위원장을 찾아가 '민생, 안전 10대 법안'으로 우선 처리를 요청할 만큼 입법 압박이 가속화되고 있다.
용혜인 의원 안의 특징은 세 가지다.
첫째, 옵트-아웃(Opt-Out) 방식
이것이 이 법안의 핵심이자 가장 강력한 내용이다.
현재 집단적 구제 절차는 옵트-인(Opt-In) 방식이다. "나 소송에 참여하겠습니다"라고 직접 신청한 사람만 판결 혜택을 받는다. 문제는 대부분의 피해자가 신청하지 않는다는 것이다. 귀찮아서, 몰라서, 지쳐서. 옵트-아웃은 이것을 뒤집는다. "나 빠집니다"라고 따로 선언하지 않는 한, 모든 피해자에게 판결 효력이 자동으로 적용된다.
쿠팡 사건이라면 3,367만 명 전원이 잠재적 원고가 된다. 원고 승소 시 쿠팡이 감당해야 할 배상 총액은 수조 원 단위가 된다. 이것이 진짜 억지력이다. 단, 개인이 실제로 받게 되는 위자료는 현재 소송 진행 현황을 보면 10~30만 원 수준으로 예상된다. 이 법의 목적은 개인의 큰 보상이 아니라 기업에 구조적 압박을 부과하는 데 있다는 점을 명확히 해두어야 한다. 소비자의 무관심을 면죄부로 삼아왔던 기업의 계산이 처음으로 틀리게 되는 순간이다.
둘째, 지정전문가 증거조사제도
법원이 지정하는 전문가가 직접 피고의 자료를 조사할 수 있게 된다. 증거를 쥔 기업과 증거에 접근조차 못 하는 피해자 사이의 정보 비대칭을 제도적으로 해소하는 장치다. 이 제도는 지난 1월 국회를 통과한 상생협력법 개정안에서 참고했다. 상생협력법은 기업의 기술자료 유용 행위 증명에 법원 지정 전문가를 활용하도록 했는데, 그 장치를 집단소송에 이식한 것이다.
맨손으로 칼을 든 상대와 싸우던 구조에서, 처음으로 대등한 무기를 지급받는 셈이다.
셋째, 3개월 내 소송허가 결정
법원이 소송허가 여부를 3개월 안에 결정하지 않으면 자동으로 소송이 개시된 것으로 간주된다. 증권 집단소송에서 허가 결정에만 1년 이상 걸리는 현실을 정면으로 겨냥한 조항이다.
대형 소송에서 가장 강력한 방어는 승소가 아니라 지연이다. 허가 단계에서 수년이 흐르면 사건 자체가 의미를 잃는다. 이 조항은 그 전술을 차단한다.
그리고 소급 적용 부칙
용혜인 의원 안을 포함한 4개 법안에는 "이 법 시행 전에 발생한 집단 피해에도 이 법을 적용한다"는 부칙이 담겨 있다. 이 법이 통과된다면 지금 진행 중인 쿠팡 손해배상 소송도 더 강력한 법적 틀 위에 서게 된다.
이 법의 한계, 경계해야 할 함정
솔직히 말하면, 나는 이 법안이 원형대로 통과될 것이라 낙관하지 않는다.
재계는 강력히 반발할 것이다. 옵트-아웃 방식은 쿠팡만의 문제가 아니라 카카오, 네이버, 삼성, 모든 대형 플랫폼의 잠재적 리스크로 직결되기 때문이다. 법안 심사 과정에서 옵트-아웃이 옵트-인으로 슬며시 바뀔 가능성을 용혜인 의원 본인도 경고했다. 옵트-인으로 바뀌면 이 법의 핵심 억지력은 사라진다. 겉은 집단소송법이지만 속은 기존 구조와 다를 바 없는 빈껍데기가 된다.
소급 적용 조항도 쟁점이다. 법 시행 이전 사건에 소급 적용하는 것은 헌법상 불소급 원칙과 충돌할 수 있어 입법 과정에서 이 부분이 가장 치열한 법적 논쟁의 대상이 될 가능성이 높다. 기업 입장의 법적 안정성 주장은 그냥 방어 논리가 아니라 헌법 조문을 근거로 하는 것이다.
배상액이 수조 원에 이를 경우 기업 존속 자체를 위협할 수 있다는 우려도 허튼소리만은 아니다. 법이 제대로 작동하려면 배상 산정 기준의 합리성, 소 남발 방지 장치, 소송 비용 분담 구조도 함께 설계되어야 한다.
그러나 이 모든 균형의 논의는 한 가지 전제 위에서 이루어져야 한다. 지금 이 순간에도 출발선이 기울어져 있다는 것. 균형을 말하기 전에 먼저 기울어진 운동장을 수평으로 돌려놓아야 한다.
우리가 지켜봐야 할 것은 옵트-아웃이 살아남느냐 죽느냐다.
지금 당장 할 수 있는 것
현재 여러 법무법인이 3만원 안팎의 착수금으로 쿠팡 개인정보 유출 손해배상 소송인단을 모집 중이다. 나는 김경호변호사에게 맡겼다. 집단소송법이 없어도 현행 민사 소송 방식으로 대응할 수 있다. 다만 지금 방식은 직접 신청한 사람만 판결 혜택을 받는 옵트-인 방식이고 기대 위자료도 10~30만 원 수준이다. 한계는 있지만 아무것도 안 하는 것과 기록을 남기는 것은 다르다.
우리는 쿠팡을 이길 수 있을까
김경호 변호사를 통해 집단 소송에 참여했지만 나는 쿠팡을 이길 수 있을지 모르겠다. 개인의 소송은 오래 걸리고 결과는 불투명하며 중간에 지쳐 포기하는 사람들이 생길 것이다. 그러나 이것만큼은 분명히 말할 수 있다.
3,367만 명이 아무것도 못 했던 이유는 시민이 나약했기 때문이 아니다. 시스템이 나약하게 설계되어 있었기 때문이다. 피해는 집단으로 발생했지만 책임은 개인에게 분산시켜왔던 구조. 기업은 그 설계를 누구보다 정확히 이해하고 그것에 기대어 보안 예산을 아껴왔다.
집단소송법이 통과된다면 앞으로 쿠팡과 같은 기업들은 다른 계산을 해야 한다. 더 이상 "어차피 아무도 소송 안 걸 것"이라는 전제 위에 보안 예산을 줄일 수 없게 된다.
법이란 본래 약자의 무기여야 한다. 강자는 이미 모든 무기를 갖추고 있으니까. 그러나 법은 여전히 강자의 편이었다. 기업이 사고를 배상하지 않는 시스템에서 사고는 반복된다. 이제 그 설계를 바꿀 때가 됐다.
