쿠팡에서 3370만명의 개인정보가 유출되는 사태가 벌어졌다. 이름, 주소, 연락처는 물론 주문 기록과 공동현관 비밀번호까지 빠져나가며 스미싱과 계정 탈취 등 2차 피해 우려가 현실화되고 있다. 그런데도 쿠팡은 ‘유출’ 대신 ‘노출’이라는 표현으로 사안을 축소했고, 바로잡으라는 당국의 권고마저 따르지 않았다. 수천만 명을 위험에 빠뜨려 놓고 말장난으로 대응하는 태도는 ‘이렇게 해도 별일 없다’는 잘못된 학습효과가 기업 내부에 자리 잡았음을 보여준다.
실제로 SK텔레콤 유심 해킹, KT 소액결제 사고, 롯데카드 개인정보 유출 등 대형 사고가 반복됐지만 기업은 제대로 책임지지 않았다. 손해배상 소송은 오래 걸리고 실질적 보상도 미미해 예방 효과가 없다. 한국이 유출 사고에 둔감해지는 이유는 구조 자체가 잘못됐기 때문이다. 피해자가 기업의 과실을 직접 입증해야 하고, 분쟁 조정도 기업이 거부하면 효력이 없다. 최근 SK텔레콤이 개인정보보호위원회의 30만원 배상 권고를 거부한 사례는 기업이 마음만 먹으면 책임을 피할 수 있다는 사실을 단적으로 보여준다. 경쟁이 제한된 통신·플랫폼 산업에서는 고객 이탈도 크지 않아 기업이 더 안심한다. 개인정보를 제대로 보호하는 데 드는 재무적 부담보다 유출 이후 책임과 비용이 훨씬 적으니 사고가 반복될 수밖에 없다.
외국은 다르다. 집단소송, 징벌적 손해배상, 증거개시(디스커버리) 제도가 기업의 책임을 강제한다. 기업이 사고 초기부터 책임 인정과 신속한 보상, 재발 방지책을 내놓는 이유는 소송으로 가면 천문학적 배상을 져야 하기 때문이다. 강력한 민사 구조가 있기에 개인정보 보호에 충분한 비용을 투입할 수밖에 없다. 그러나 우리나라에서 집단소송제와 징벌적 손해배상제는 일부 영역에만 제한적으로 도입돼 있고, 그마저도 사실상 작동하지 않는다.
지배구조 문제도 빼놓을 수 없다. 쿠팡의 실질적 오너인 김범석 이사회 의장은 국정감사와 국회 현안질의 불출석을 비롯해 노동·안전·불공정 문제에서 책임을 피해 왔다. 의사결정권은 행사하면서 법적·사회적 책임에서는 빠져나가는 구조가 유지되는 한 기업의 안전·보안 투자 결정이 달라질 수 없다. 특히 쿠팡처럼 의장에게 막강한 의결권이 집중된 구조에서는 실질적 지배자에게도 명확한 책임과 제재가 부과돼야 한다.
정부의 과징금 부과 방식에도 한계가 있다. 경영 상황을 고려하지 않은 막대한 과징금 부과는 현실적으로 쉽지 않고, 결국 불복 소송으로 이어진다. 그래서 소비자 보호 3법인 집단소송, 징벌적 손해배상, 디스커버리 제도가 필요하다. 우선 포괄적 집단소송제 도입은 더는 미룰 수 없다. 피해자가 각자 기업을 상대로 소송을 제기하는 구조에서는 예방도 구제도 불가능하다. 동일한 사고를 미국에서 일으켰다면 쿠팡은 수천억원대 소송에 직면했을 것이고, 한국처럼 유출이니 노출이니 말장난하며 시간을 끌지는 못했을 것이다. 징벌적 손해배상은 지금보다 훨씬 강력해야 한다. 기업이 ‘사고 후 비용이 더 싸다’고 판단하는 한 유출은 반복된다. 징벌적 배상의 본질은 ‘응징’이 아니라 ‘사전 예방’이며, 예방 효과는 강력한 제재에서 나온다. 디스커버리제 도입도 필수다. 피해자가 유출 정황과 규모, 기업의 과실까지 입증하라는 건 현실을 무시한 요구다. 기업 내부 자료 없이는 원인은 물론 책임 규명도 불가능하다.
문재인정부 당시 법무부는 이를 위한 집단소송법 및 상법 개정안을 입법예고했지만 국무회의 문턱을 넘지 못했다. 이번에는 반드시 제대로 도입해야 한다. 쿠팡처럼 대규모 유출에도 조소에 가까운 대응을 하며 버틸 수 있는 구조라면 사고는 반복된다. 유출 사태 앞에서 기업이 조소가 아니라 ‘경악’이 따를 만큼 강력한 책임 체계가 필요하다. 그것이 제대로 된 시장경제다.
김은정 참여연대 협동사무처장