[비즈니스포스트] 쿠팡 이용자들이 가슴을 치고 있다.

이용자 개인정보 3370만 건을 유출시킨 쿠팡의 보안 불감증과 이 업체의 무책임한 사후 대응 태도에 분노한다.

하지만 딱 거기까지다. 말로는 '탈팡'(쿠팡 탈퇴)을 외치지만, 행동으로 옮기지는 못하고 있다.

저녁에 드라마나 예능 프로그램을 시청하다 혹 해 스마트폰으로 주문하면 다음 날 새벽 문 앞에 배달돼 있고, 따로 사시는 부모님께 소소한 생필품까지 사실상 실시간으로 주문해 배달시켜드릴 수 있는 서비스가 쿠팡 뿐이어서란다.

'눈 앞의 편리함'을 대신해줄 선택지가 마땅찮다는 얘기다.

실제로 쿠팡 이용자 개인정보 대량 유출 사태가 불거진 뒤 탈팡 실행자는 200만 명 안팎에 그친다.

이동통신 가입자들의 처지도 마찬가지다.

지난 4월 SK텔레콤 통신망이 뚫려 2300여만 가입자의 개인정보가 유출된 것으로 드러나자, 수십년 이 업체 이동통신 서비스를 이용해온 충성 가입자들까지 줄줄이 이탈했다. 업계 집계에 따르면, SK텔레콤 가입자 가운데 100만 명 이상이 KT·LG유플러스와 알뜰폰 사업자로 옮겨갔다.

하지만 뒤이어 KT 통신망에서 해킹과 더불어 유령(불법) 기지국 침투에 따른 무단 소액결제 피해까지 발생하고, 이어 LG유플러스 통신망에서도 2022년에 이어 또다시 해킹과 개인정보 유출은 물론 통화정보 노출 사태까지 발생하며, 피난 차원에서 다른 사업자로 옯겨가는 게 무의미해졌다.

이동통신 3사의 통신망 보안과 개인정보 보호 수준이 '그 놈이 그 놈'인 꼴이 돼버렸다. 가입자 쪽에서 보면, 피난 선택지가 사라진 셈이다.

실제로 SK텔레콤 해킹 및 개인정보 유출 사태 때와 달리 KT와 LG유플러스에서 유사 사태 발생 뒤 이탈자는 많지 않다.   
 
롯데카드 가입자 개인정보 유출과 코인 거래소 해킹 사태 등으로 짐작하건대 금융사와 다른 플랫폼 사업자 쪽도 이와 크게 다르지 않을 듯 싶다.

우리나라 국민 쪽에서 보면, 플랫폼 사업자와 통신사·금융사 등에 내어준 개인정보가 줄줄이 유출되고, 그나마 저기는 괜찮겠지 하고 옮겨갈 피난처도 다 사라진 셈이다. 

어찌해야 할까.

옛 말에 사람은 고쳐쓰지 못해도 물건은 고쳐쓸 수 있다고 했다. 기업 행태도 고칠 수 있다.

탈팡을 할 수 없다면 쿠팡을 바꾸면 된다. 이동통신 3사의 보안이 다 바닥 수준이라면 옮겨갈 생각 말고 현재 가입된 이동통신사가 보안 투자를 늘려 보안 수준을 높이게 만들면 된다.

어찌해야 할까.

경제적 손실 압박을 가해야 한다.

이동통신 3사의 해킹 및 개인정보 유출 사태 발생 원인과 사후 대응 내용을 뜯어보면, 기업들은 비용 지출과 경제적 손실에 가장 민감해한다. 수사의뢰나 형사처벌 등에는 눈도 꿈쩍 안한다. 꼬리 자르기로 대응할 수 있어서다.

게다가 개인정보보호위원회는 2023년 개인정보보호법을 개정하며 형사처벌 등은 낮추고 과징금과 과태료 같은 경제 벌을 높였다. 업계 요구에 따라서다. 하지만 시행령을 통해 과징금 감경 사유를 확대하며 결과적으로 처벌 수위를 솜방망이로 만들었다.

이익 극대화를 위한 비용 절감 명분으로 보안 투자를 소홀히하다 해킹과 개인정보 유출 사태를 불렀고, 사후 대책 마련과 시행 때도 경제적 손실 최소화를 우선 순위로 삼는다. SK텔레콤과 KT 사례 등에서 보듯, 경제적 손실 최소화를 위해서라면 고객을 진땀나게 하는 짓도 서슴없이 벌이고, 참 뻔뻔하다는 지탄과 손가락질도 감수한다.

SK텔레콤의 경우, 불안해 이탈하는 가입자의 중도 해지 위약금을 면제하라는 정부·가입자·정치권의 요구를 갖가지 핑계를 대며 뭉개다 막판에 수용하며 '열흘 뒤 까지만'으로 기간을 제한했다. 유심 교체 준비 미흡으로 가입자들을 오픈런시키고 대리점 앞에 줄세운 것도 따지고 보면 비용 최소화를 위한 것이었다고 볼 수 있다.

SK텔레콤은 개인정보보호위원회의 개인정보 유출 건 조사 중 사장과 개인정보보호위원장의 만남을 추진해 '부적절한 만남' 비판을 받기도 했다. 개인정보 유출 과징금을 감경받기 위한 행보 아니냐는 의혹까지 일었다.

결국 애초 3천억 원이 넘을 것으로 예상됐던 SK텔레콤 개인정보 유출 건에 대한 개인정보보호위원회 과징금은 다양한 사유를 적용한 감경 끝에 1347억 원으로 쪼그라들었다. SK텔레콤은 행정소송을 통해 과징금을 더 감경받는 방안을 추진 중이다.

SK텔레콤은 또 중도 해지 위약금 면제 기간을 연말까지로 연장하라는 방송통신위원회(지금은 방송미디어통신위원회) 통신분쟁조정위원회 조정을 거부했고, 개인정보 유출 피해자 1인당 30만원씩 보상하라는 개인정보보호위원회 개인정보분쟁조정위원회 조정도 걷어찼다.

KT 역시 통신망이 뚫리고 무단 소액결제 피해까지 발생한 것에 불안감을 느껴 해지하거나 번호이동하려는 가입자들의 중도 해지 위약금을 면제하라는 요구를 뭉개고 있다.

쿠팡은 이용자들에게 개인정보 유출 사실을 공지하며 '노출'이라고 표현했다가 개인정보보호위원회 경고를 받고 유출로 수정했다. 복잡하게 돼 있는 탈팡 절차를 간소화하라는 주문도 받았다.

해킹 및 개인정보 유출 사태를 일으킨 기업들의 행태를 뜯어보면, 공통된 화두는 하나다. 경제적 손실 최소화다.

이를 통해 불린 이익으로 화려한 성과급·배당 잔치를 벌인다. 가입자들이 가슴을 치고 있지만 아랑곳하지 않는다. 단식 농성장 앞에서 삽겹살을 굽는 꼴이다.

업계 얘기를 종합하면, SK텔레콤은 지난해 수준, KT와 LG유플러스는 지난해보다 평균 20% 이상 많은 성과급을 지급할 예정이라고 한다.

뒤집어 보면, 이는 기업 행태를 바꿔 해킹 및 개인정보 유출 사태가 재발하지 않도록 만들 수 있는 지점이기도 하다. 보안 투자를 소홀히 한 것에 대한 책임 추궁은 물론 재발 방지 대책 마련 촉구 역시 경제적 손실에 초점을 맞춰야 효과를 볼 수 있다고 짐작하게 한다.

경제적 손실 압박이 가장 유효한 카드가 될 수 있다는 얘기다.

기업들은 보안 투자를 비용으로 간주해왔다. 당연히 투자 우선 순위에서 뒤로 밀릴 수밖에 없다. 보안 투자는 비용이 아니라 미래를 위한 투자로 여겨야 한다는 조언이 이어졌지만, 기업 경영자들은 '헛소리'로 넘기는 경우가 많았다.

해결 방법은 보안 투자를 소홀히 해 개인정보를 유출시켜 가입자·이용자에게 개인정보 유출 피해를 입히면 패가망신을 한다는 사실을 이번 기회에 보여주는 것이다. 100억 원을 아끼려다 1조 원 이상을 물어내는 경험을 하게 하면 생각이 바뀔 수밖에 없다. 해당 기업 뿐만 아니라 이를 지켜보는 기업들도 덩달아 간담이 서늘해지는 것을 느끼며 정신을 차리는 효과를 거둘 수 있다.

개인정보분쟁조정위원회 조정안대로라면, SK텔레콤이 가입자들에게 물어줄 손해배상액은 6조원을 넘는다. 개인정보보호위 과징금과 요금 감면 및 중도 해지자 위약금 면제 등에 따른 비용까지 포함하면, 개인정보 유출로 인한 손실 금액은 더 불어난다. 기업 이미지가 훼손된 것까지 포함하면 이 금액은 더 커진다.

KT와 쿠팡 등도 SK텔레콤과 같거나 더 큰 대가를 치를 처지에 처해질 가능성이 크다.

제정신이 있는 경영자라면, 보안 투자 비용 몇 백억 원 아끼려다 수조원의 경제적 손실을 감수하는 모험을 하기 어렵다.

하지만 이동통신사들은 물론 쿠팡에게도 이는 '그림 속 호랑이'에 지나지 않는다. 뭉개거나, 이른바 '대관' 조직 풀 가동하고 대형 법무법인을 내세워 '작전'을 벌이는 식으로 과징금을 줄이고 집단 분쟁조정과 손해배상 소송을 무력화시킨다.

현재 이동통신 3사의 해킹 및 개인정보 유출과 쿠팡의 개인정보 유출 건에는 김앤장, 광장, 세종, 태평양 등 국내 굴지 법무법인들이 각자 혹은 공동으로 법률대리를 맡고 있다.

그 결과 SK텔레콤 개인정보 유출 건에 대한 개인정보보호위원회 과징금이 애초 예상액의 절반도 안되는 수준으로 낮아졌고, 통신분쟁조정위원회의 중도 해지자 위약금 면제 기간 연장 조정안과 개인정보분쟁조정위원회의 개인정보 유출 피해 손해배상 조정안 모두 날아가버렸다. 법무법인들이 앞장서 '작업'을 했거나 조언한 결과로 볼 수 있다는 분석이 많다.

이동통신 3사와 쿠팡 등은 단체 손해배상 소송도 별 거 아니라는 사실을 경험으로 안다. 바쁜 일상으로 소송 참여자가 많지 않을 것이고, 이를 대리하는 소형 법무법인도 들이는 품에 비해 챙기는 몫은 크지 않아 적극적으로 나서는 곳이 많지 않을 것으로 본다.

당장의 실적 감소나 기업 이미지 훼손 역시 가입자·이용자들의 다른 선택지가 없는만큼 곧 회복될 것으로 본다. 특히 금방 사람들의 관심에서 멀어지고 잊힐 것이란 확신도 갖고 있다. 어찌해야 할까.

가입자·이용자들이 앞으로 살아갈 세상, 특히 자식들에게 물려줄 세상을 '공정하게' 만든다는 마음으로 적극적으로 행동에 나서는 수밖에 없다. 단체 손해배상 소송의 세를 불려 집단 손해배상 소송의 효과를 내는 것이다.

세상을 바꾸려면 무엇보다 투표에 적극 참여해야 하는 것처럼, 집단 분쟁조정과 손해배상 요구 단체 소송에 적극 참여해야 한다.

집단소송제가 도입되지 않은 지금 당장은 이게 보안 투자를 소홀히하다 해킹 및 개인정보 유출 사태를 부른 기업에 경제적 손실 압박을 가해 재발 방지 노력을 촉구할 수 있는 최선의 방법이다. 

SK텔레콤 해킹 및 개인정보 유출 건은 소비자원 소비자분쟁조정위원회에서도 분쟁조정이 진행 중이다. 단체 손해배상 소송도 준비되고 있다.

KT와 쿠팡의 개인정보 유출 건도 여러 법무법인이 단체 손해배상 소송을 준비 중이다.

정부도 나섰다. 이재명 대통령은 최근 국무회의에서 잇단 해킹 및 개인정보 유출 사태에 우려를 표시하며 관계 부처에 징벌적 손해배상 제도 적용 활성화를 주문했다.

하지만 실효성을 위해서는 무엇보다 현재 증권 분야에 국한돼 있는 집단소송제 적용 대상을 소비자·고용·인권·환경 등으로 확대해야 한다. 집단소송제란 대표 당사자가 전체 피해자들을 대표해 소송을 수행하면 모든 피해자에게 자동적으로 판결 효력이 미치도록 하는 제도이다.

이은우 변호사(법무법인 지향)는 한겨레 기고에서 "집단소송제 도입 늦장을 부리다 쿠팡 사태를 맞았다"고 짚었다. 집단소송제가 도입돼 있었다면, 쿠팡이 보안 투자를 소홀히 할 수 없었을 테고, 그러면 쿠팡 개인정보 유출 사태도 일어나지 않았을 수 있다는 것이다.

SK텔레콤 역시 개인정보분쟁조정위 조정안대로 1인당 30만원씩 배상하라는 판결을 받을 경우 6조 원 이상을 배상해야 해 보안 투자를 소홀히 할 수 없게 된다.

재계는 그동안 '집단소송제는 기업을 망하게 할 수 있다'고 주장하며 도입 확대를 막아왔다. '집단소송제는 미국에나 있는 제도'라는 잘못된 주장을 하기도 했다.         

이은우 변호사는 "경제협력개발기구(OECD) 38개 회원국 가운데 '집단적인 손해배상 청구제도'를 도입하지 않은 나라는 우리나라와 튀르키예 뿐"이라며 "22대 국회(2024~2028년)에서도 집단소송법을 입법하지 못한다면, 우리나라는 경제협력개발기구 회원국 가운데 집단소송제 단독 꼴찌 국가가 될 수 있다"고 경고했다.

또한 "유럽연합이 디젤 게이트(독일 자동차 회사의 연비 조작 사태)와 대규모 개인정보 침해 사건을 겪은 뒤 2020년 '대표 소송 지침'을 제정하고, 그에 따라 유럽연합 회원국들이 집단 손해배상 구제 제도를 도입한 것처럼, 우리나라도 최근 잇단 개인정보 유출 사태를 계기로 '한국형 집단소송 제도'를 도입해 집단적 권리 구제가 이뤄지게 해야 한다"고 촉구했다.

"저 쿠팡 단체 손해배상 소송에 참여했어요. 김 기자도 투표하는 마음으로 참여해요." 국내 굴지 법무법인 구성원이 기자에게 쿠팡 대상 단체 손해배상 소송 원고 참여를 강권했다. "저는 쿠팡 서비스를 이용하지 않아요."

비즈니스포스트 독자 여러분은 어찌 생각하십니까. 김재섭 선임기자