허위조작 정보 유포 시 손해액의 최대 5배까지 손해배상을 청구할 수 있도록 하는 이른바 ‘허위조작정보근절법’이 그제 국회 과학기술정보방송통신위원회에서 더불어민주당 주도로 통과됐다. 조국혁신당의 의견을 반영해 언론사에 대한 입증 책임 전환 등은 빠졌지만 여전히 문제가 많다. 허위조작 정보에 대한 정의가 광범위하고, 언론의 권력 감시 보호장치 미흡 등 독소 조항은 그대로다. 사이비 언론매체와 유튜브 등의 난립으로 각종 사회적 폐해가 묵과하지 못할 수준인 것은 사실이다. 그러나 징벌적 손배 도입을 통해 강력한 처벌에 방점을 두는 이 법안으로는 표현의 자유를 심각하게 훼손할 우려가 크다. 정치인과 공직자, 대기업 임원과 대주주 등 권력자의 징벌적 손해배상 청구권 제한이 반영되지 않은 것은 무엇보다 문제다. 이대로라면 이 법이 언론을 위협할 도구로 악용될 가능성이 있다. 비판 기사 하나에도 천문학적 손해배상의 위험성을 안고 있다면 언론 현장은 자기검열로 위축될 수밖에 없다. ‘의도’와 ‘허위’를 판단하는 기준이 모호한 것도 법안의 맹점이다. 언론·온라인 환경에서 사실관계에 대한 정치적 해석과 가치 판단은 뒤섞여 있다. 허위조작 정보를 광범위하게 정의해 행정기관이 심의를 통해 언론 보도에 개입할 여지가 크다. 민주당은 권력의 남용을 막기 위한 ‘전략적 봉쇄소송(SLAPP) 방지 특칙’이 포함됐다고 주장한다. 이 또한 교묘하게 포장하면 사실상 아무런 제어장치 없이 소송을 제기할 수 있게 된다. 진보 성향의 시민단체들조차 반발하고 있다. 참여연대·언론개혁시민연대 등은 “충분한 언론 보호 장치 없이 국가 중심의 규제와 강력한 처벌을 도입하려는 것이 근본적 문제”라며 법안의 졸속 처리를 즉각 중단하라고 요구한다. 법안을 본회의에 상정하기 전에 민주당은 이런 우려를 백번 다시 살펴야 할 것이다. 입법은 국민의 기본권을 좁히는 것이 아니라 넓히는 방향이어야 한다.

온라인 게시 때 AI 생성 여부 표기피해 금액 ‘최대 5배’ 징벌적 손배의약·화장품 광고 24시간 내 차단 최근 인공지능(AI)으로 교수나 의사 등 ‘가짜 전문가’를 만들어 활용하는 허위·과장 광고가 퍼져 소비자 피해가 커지자 정부가 ‘AI 생성물 표시제’를 신설하고 징벌적 손해배상을 도입하는 등 강력 대응에 나선다. 정부는 10일 김민석 국무총리 주재로 제7회 국가정책조정회의를 열고 이런 내용의 ‘AI 등을 활용한 시장 질서 교란허위·과장광고 대응 방안’을 확정했다. 최근 소셜서비스(SNS)를 중심으로 AI로 만든 가짜 전문가나 유명인 딥페이크를 활용해 제품을 홍보하는 광고가 번지고 있다. 특히 실제와 구별이 어려운 노년층 등 취약 계층의 피해가 커지는 상황이다. 정부는 AI 생성물이 실제가 아니라는 점을 소비자가 정확히 알 수 있도록 AI 생성물 표시제를 도입한다. 앞으로 온라인플랫폼에 AI 생성물을 제작하거나 편집해 게시하는 사람은 AI로 만들었다는 사실을 표기해야 한다. 플랫폼 이용자가 AI 생성물 표시를 임의로 제거하거나 훼손하는 행위도 금지된다. 또 플랫폼사는 게시자가 표시 의무를 준수하는지 관리해야 한다. 정부는 내년 1분기 내로 정보통신망법 개정에 나선다. 방송미디어통신심의위원회는 의약품, 화장품, 의료기기 등 AI 허위·과장광고가 많은 영역을 서면심의 대상에 추가해 빠른 차단이 이뤄지도록 한다. 현재는 불법촬영 등 성범죄 촬영물만 서면심의 대상이다. 올해 방송미디어통신위원회(방미통위)가 식품의약품안전처의 차단 요청을 심의하는 데 걸린 시간은 평균 26.4일로, 이를 24시간 이내로 단축한다. 또 정부는 방미통위가 직접 플랫폼사에 긴급 시정을 요청할 수 있는 제도도 마련한다. 식약처 등 관계기관이 국민의 생명과 재산에 큰 피해가 예상된다고 판단한 불법정보의 삭제를 요청하면, 방미통위가 심의 전에도 직접 플랫폼사에 시정을 요청할 수 있는 근거를 만든다. 위법 행위에 대한 처벌도 강화한다. 현재는 허위·과장 광고로 피해를 당한 경우 실제 발생한 손해 금액까지 손해 배상 청구가 가능하다. 정부는 실제 손해의 최대 5배까지 배상이 가능하게 한다는 계획이다. 또 매출의 최대 2%까지 부과할 수 있는 과징금 수준도 대폭 상향한다.

‘허위조작정보 근절법’ 과방위 통과국힘 “언론 억압 악법” 표결 불참 가짜뉴스를 퍼뜨리면 손해액의 최대 5배까지 손해배상을 청구할 수 있도록 하는 ‘허위조작정보 근절법’이 10일 범여권 주도로 국회 과학기술정보방송통신위원회를 통과했다. 언론단체를 비롯한 각계의 우려에도 정치인과 고위공직자 등 ‘권력자’들의 손해배상 청구권은 그대로 남겨 둬 언론의 비판 보도 등이 위축될 것이란 전망이 나온다. 과방위는 이날 법안심사소위와 전체회의를 잇달아 열고 이 같은 내용의 정보통신망법 개정안을 더불어민주당과 조국혁신당 주도로 의결했다. 국민의힘은 법안 내용에 반대하며 퇴장했다. 개정안은 고의 또는 중과실로 불법 또는 허위조작정보를 정보통신망을 통해 유포해 타인에게 손해를 가한 경우 손해액의 최대 5배까지 배상하도록 하는 내용이 골자다. 또 법원에서 불법·허위조작정보로 판결된 정보를 2회 이상 유통한 경우 방송미디어통신위원회는 최대 10억원의 범위 내에서 과징금을 부과할 수 있도록 했다. 그간 시민사회단체, 언론단체 등에서는 불법정보, 허위정보, 허위조작정보 등의 의미가 불분명하다는 지적과 함께 유통을 금지하는 정보의 범위가 지나치게 넓다는 우려를 제기해 왔다. 이른바 ‘가짜뉴스’의 정의가 불분명한 상태에서 이를 막는 법을 만든다는 것이다. 또 정치인과 공직자, 대기업 임원과 대주주 등 권력자가 비판적인 보도의 확산을 막는 ‘전략적 봉쇄 소송’에 대한 방지책도 실효성이 없다는 지적이 있었다. 이날 과방위를 통과한 개정안에선 탐사보도 위축 우려가 제기된 ‘최초 발화자 책임 조항’과 언론사에 대한 입증책임 전환 조항이 삭제됐다. 사실적시 명예훼손죄를 폐지하고 허위사실 명예훼손죄를 친고죄로 전환하는 내용도 담겼다. 그러나 권력자의 징벌적 손해배상 청구를 직접 제한하는 조항은 포함되지 않았다. 과도한 손해배상 청구를 법원이 조기에 각하할 수 있도록 하는 전략적 봉쇄 소송 방지 관련 특칙 정도만 뒀다. 사실상 막무가내식 손해배상 청구는 막을 길이 없어 정치인과 고위공직자, 대기업 임원 등에 대한 비판적 보도는 위축될 수밖에 없을 것으로 보인다. 이해민 혁신당 의원은 이날 오전 소위 통과 직후 “(소송을) 마구잡이로 남발했다가 기각·각하되면 무조건 공표해 국민들이 알 수 있도록 했다”고 말했다. 이 의원은 이후 보도자료를 통해 “권력자의 손해배상 청구를 원천적으로 차단하는 장치가 필요하다는 판단이 서면 별도의 개정안을 추가 발의하는 방안도 검토하겠다”고 밝혔다. 앞서 지난 8일 소위에서는 ‘캐스팅보트’를 쥔 이 의원이 민주당 안에 반대하면서 법안이 소위 문턱을 넘지 못했다. 이후 민주당과의 협의 과정에서 혁신당 입장이 반영되자 찬성 입장으로 선회한 것으로 전해졌다. 소위는 민주당 5명, 국민의힘 4명, 혁신당 1명으로 구성돼 법안을 처리하려면 과반의 찬성을 얻어야 한다. 국민의힘은 범여권 주도로 개정안이 강행 처리되자 “선진국 어디에도 없는 언론 억압 악법”이라며 강하게 반발했다. 과방위 소속 국민의힘 의원들은 긴급성명에서 “거두려는 효과는 명확하다. 권력자 등 힘 있는 사람들에 대한 보도가 나오면 징벌적 손해배상을 부과해 후속 보도를 차단하고 자기 검열을 강화해 언론의 자유를 위축시키는 것”이라며 “이재명 정권과 민주당이 강행한 정보통신망법 개정안은 언론의 기능과 역할, 나아가 국민의 표현의 자유를 압살하겠다는 독재 입법”이라고 밝혔다. 언론개혁시민연대를 비롯한 시민단체들은 즉각 공동성명을 내고 “졸속 처리를 중단하라”고 요구했다. 이들은 “두 당이 추진 중인 개정안은 모두 허위조작정보를 불법정보로 규정해 행정 규제와 손해배상 책임을 대폭 강화하려는 것”이라며 “표현의 자유를 침해하고 언론의 기능을 심각하게 위축시킬 것이란 우려가 매우 크다”고 밝혔다. 그러면서 “공청과 숙의 절차 없이 법안을 밀어붙이며 사실상 야합을 통해 강행 처리를 시도하고 있다”고 비판했다. 절차적 문제에 대해서도 거론했다. 이들은 “두 당이 비공개 협상으로 처리에 합의한 내용을 일방적으로 발표하고 정해 놓은 수순에 따라 곧바로 전체회의를 열어 상임위 절차를 마무리하려는 것은 명백히 졸속”이라고 지적했다.

김민석 국무총리는 인공지능(AI)을 활용한 허위 과장 광고에 대해 표시의무제와 징벌적 손해배상을 도입하겠다고 밝혔다. 쿠팡의 대규모 개인정보 유출 사태에 대해서는 법 위반 사항에 대해 엄정하게 조치하겠다고 했다. 김 총리는 10일 정부서울청사에서 열린 제7회 국가정책조정회의에서 “AI를 활용한 허위 과장 광고에 대해 사전 유통 예방뿐 아니라 신속한 사후 차단도 추진하고자 한다”면서 “AI 생성물 표시 의무제를 도입하고 허위 광고 시정에 필요한 심의 속도를 단축하고 과징금을 대폭 상향하고 징벌적 손해배상을 도입할 것”이라고 말했다. 그는 “허위 과장 광고가 극심하다. SNS를 통해서 급속히 확산하고 있다”며 “생성형 AI 등 신기술을 악용하는 것들이 있어서, 시장 질서 교란뿐만 아니라 소비자에 대한 피해가 심한 그런 중대한 범죄 행위로 판단하고 있다”고 설명했다. 쿠팡 사태와 관련해 김 총리는 “쿠팡 문제는 심각한 수준을 넘었다. 그야말로 윤리적인 기본의 문제”리면서 “사고 경위에 대한 신속하고 정확한 조사와 함께 법 위반 사항에 대해서는 엄정하게 조치할 것”이라고 말했다. 이어 “디지털 사회에서 국민의 정보 보호는 플랫폼 기업의 가장 기본적인 책무”라며 “제도 개선도 철저하게 준비하겠다”고 밝혔다. 김 총리는 아울러 “호흡기 감염병 유행이 예년보다 일찍 시작되고 있다. 영유아 학령기 청소년 등을 중심으로 불안도 확산되고 있다”며 “감염병은 초기 대응이 중요하다는 것을 우리 국민 모두가 경험적으로 잘 알고 있다”고 말했다. 이어 “65세 이상 고위험군 대상으로 국가 예방접종도 실시하고 특히 학교 등 지역사회 전파 차단에도 주력해야 할 것 같다”며 “각각 유행 상황에 따른 맞춤형 대책을 토론하고 논의하겠다”고 밝혔다. 또 “내년 여름 부산에서 유네스코 세계유산위원회가 열린다”면서 ”단순한 국제회의 이상의 의미가 있다“고 말했다. 그는 “K-컬처의 근본은 K-헤리티지다. K-유산, K-전통, K-역사가 될 수 있다”며 “문화 강국으로 나아가는 데 있어서의 근본 토대를 재확인하는 자리이고, 온전한 문화유산 보존의 중요성과 그것을 후대에 전달하는 데 있어서의 정부의 책임 있는 자세를 스스로도 다지고 국제사회에도 알리는 의미가 있다”고 밝혔다. 이어 “지난 APEC의 경험을 보면 철저한 사전 준비만이 성공을 좌우한다”며 “국가유산청을 중심으로 관계부처, 부산시가 하나가 돼서 제반 인프라 조성과 프로그램 기획 준비에 만전을 기해 달라”고 말했다. 그러면서 “이번 기회에 국가 전반적으로 국가 유산, 문화유산을 잘 보존하는 문제와 현대적인 정책을 병존시키는 문제의 조화로운 문제에 대해서도 잘 판단할 수 있도록 정리해 갔으면 좋겠다”고 덧붙였다.

빅데이터가 행정의 핵심 키워드로 떠오른 가운데, 경기도의회 경기도청 예산결산특별위원회 임창휘 의원(더불어민주당, 광주2)은 9일(화) 열린 문화체육관광국 대상 2026년도 본예산 심사에서 ‘경기도 문화관광 빅데이터 플랫폼’이 “지역 관광 사업의 생사를 가르는 ‘칼’이 아니라, 문화예술인과 소상공인의 성공을 돕는 ‘방패’가 되어야 한다”며 빅데이터를 이용한 정책 결정에 주의를 촉구했다. 임 의원은 중앙정부와의 데이터 중복 투자를 지양하고 ‘경기도만의 차별화’를 주문했다. 그는 “한국관광공사 등에서 무료로 제공하는 거시 통계는 도내 골목상권이나 인디 공연 등 ‘모세혈관’ 같은 로컬 콘텐츠를 담아내지 못한다”며 “단순 유동인구 수치를 넘어 소비 패턴, 체류 시간, 이동 동선 등 민간의 수익 창출과 직결되는 ‘돈 되는 정보’를 생산하는 ‘경기도형 초정밀 분석’이 필요하다”고 강조했다. 특히 임 의원은 빅데이터 활용의 ‘관점 전환’이 필요하다고 역설했다. 그는 “참여도나 수익성이 낮은 사업을 예산 삭감 대상으로 분류하는 ‘징벌적 근거’로 데이터를 써선 안 된다”고 목소리를 높였다. 대신 임 의원은 “문화예술인에게는 ‘관객이 왜 적었는지’를 분석해 타겟 마케팅을 돕고, 소상공인에게는 ‘가게 앞 잠재 고객의 니즈’를 알려주는 컨설팅 자료로 활용해야 한다”며 “미흡한 사업을 도태시키는 것이 아니라, 빅데이터를 통해 ‘더 좋은 사업’으로 인큐베이팅하는 선순환 구조를 만들어야 한다”고 제안했다. 임 의원은 구체적인 실행 방안으로 ‘데이터 코디네이터(Data Coordinator)’ 양성을 제시했다. 이는 데이터 역량을 갖춘 청년 인재가 예술가나 상인회를 직접 찾아가 애로사항을 듣고, 이를 데이터 분석이 가능한 질문으로 변환해주는 역할이다. 임 의원은 “좋은 질문이 좋은 답을 만든다”며 “기계적인 데이터 추출을 넘어, 현장의 언어를 분석의 언어로 통역해 줄 코디네이터를 운영한다면 청년에게는 실무 경험을, 지역 사회에는 맞춤형 솔루션을 제공하는 일석이조(一石二鳥)의 효과를 거둘 것”이라고 설명했다. 임 의원은 질의를 마무리하며 “막연한 ‘감(感)’이 아닌 과학적 ‘데이터’가 도민의 실패 확률을 줄이는 가장 강력한 무기가 되도록, 경기도가 ‘따뜻한 데이터 행정’을 구현해 달라”고 당부했다.

원내대표 안건 상정 합의 불발에국힘, 모든 법안 필리버스터 신청나경원 나서자 회의장 ‘아수라장’우 의장 “너무 창피해” 정회 선포국힘 “의사 진행 방해 폭거” 항의 정기국회 마지막 본회의가 열린 9일 여야가 쟁점 법안을 두고 이견을 좁히지 못하면서 연말 필리버스터(무제한 토론) 정국의 막이 올랐다. 우원식 국회의장이 나경원 국민의힘 의원의 토론 중 정회를 선포하면서 여야 대치는 극에 달했다. 국민의힘은 이날 여야 원내대표 협상 결렬 후 곧바로 모든 법안에 필리버스터를 신청했다. 국민의힘은 민주당이 추진하는 내란전담재판부와 법왜곡죄 신설 등 5개 법안을 ‘사법파괴 5대 악법’, 징벌적 손해배상법과 필리버스터 무력화법 등을 ‘국민 입틀막 3법’이라며 ‘8대 악법’을 강행 처리하지 않겠다는 선언을 요구했으나 민주당은 거부했다. 가맹사업법 개정안에 국민의힘 ‘1번’ 주자인 나 의원이 토론을 시작하자마자 본회의장은 아수라장이 됐다. 나 의원은 “입법 독재를 하는, 헌법을 파괴하고 법치주의를 무너뜨리고 삼권분립을 파괴하는 입법 내란 세력”이라고 민주당을 규탄했다. 그러자 우 의장은 여러차례 나 의원을 제지하다 결국 “의제와 관련 없거나 허가 받은 발언의 성질과 다른 발언은 해서는 안 된다”며 국회법의 회의 질서 유지 조항을 내세워 마이크를 차단했다. 필리버스터가 도중 중단된 건 1964년 당시 이효상 의장이 당시 김대중(DJ) 의원의 필리버스터 중 마이크를 끈 이후 61년 만의 일이다. 국민의힘은 “입틀막”, “사퇴하세요!”, “우미애(우원식+추미애)”라고 소리치며 거세게 항의했다. 민주당 쪽 의석에서도 “쓸데없는 소리 하지 말고 내려와라”, “쇼츠 분량 다 땄으니 내려오라”라고 고성이 계속됐다. 나 의원이 무선 마이크를 사용하려 하자 우 의장은 “이런 국회의 모습을 보이는 게 너무나 창피해서 더 이상 회의를 진행할 수 없다”며 정회를 선포했다. 의장실 항의 후 송 원내대표는 긴급 입장문을 통해 “마이크를 끈 것은 의장 스스로 의사진행을 방해하는 폭거를 저지른 것”이라고 했다. 또 “임의로 회의를 정회한 것은 향후 모든 필리버스터를 의장이 완전히 무력화시킬 수 있다는 참담한 조치였다”고 지적했다. 국민의힘은 우 의장에 대해서도 법적 조치에 나설 예정이다. 이날 극한 대치를 시작으로 여야는 10일부터 시작되는 임시국회 내내 정면 대결을 이어갈 것으로 보인다. 민주당은 11일 본회의에서 가맹사업법 처리 후 주요 법안 처리를 이어갈 예정이다. 국민의힘은 ‘무한 필버’로 총력 대응을 예고했다.

2025년은 한국 개인정보 보호가 완전한 실패를 기록한 해로 남을 것이다. 쿠팡에서 3370만명의 개인정보가 유출됐고, 업비트에서 445억원 규모 해킹 사고가 났다. SK텔레콤·KT·LG유플러스 등 통신3사에선 고객정보 유출 사고가 연쇄적으로 발생했다. 국민 대다수의 개인정보가 모조리 흔들렸다. 한때 세계가 부러워했던 ‘정보통신기술(ICT) 강국’이라는 위상은 허술한 정보보안 체계 앞에 무너졌다. 허술한 보안 체계는 잘못 꿴 첫 단추를 방치한 결과다. 한국은 개인정보를 ‘개인의 것’으로 본다. 따라서 개인이 사전동의 여부를 판단하고, 사고가 나면 피해자가 기업의 과실을 증명해야 한다. 2015년 징벌적 손해배상제도를 도입해 손해액의 최대 3배까지 배상하게 한 법적 근거는 있지만 ‘고의·중과실 없음을 증명하면 면책’이라는 조항 덕분에 단 한번도 적용되지 않았다. 반면 유럽의 일반정보보호규정(GDPR)은 개인정보를 기업이 관리하는 자산으로 보고, 유출 사고가 나면 기업이 제대로 관리했음을 증명해야 한다. 이 체계를 근본적으로 뜯어고칠 기회가 한국에 있었다. 액티브X와 공인인증서 논란 때다. 2010년 아이폰 등장 이후 인터넷익스플로러 브라우저에서만 작동하던 액티브X가 스마트폰에서 가동되지 않으며 일부 사이트의 스마트폰 접속에 문제가 생겼다. 2014년 액티브X에 막혀 해외 팬들이 국내 사이트에서 판매하는 ‘천송이 코트’를 직구하지 못하는 문제가 생겼다. 이에 박근혜·문재인 정부 모두 이를 없애야 할 대표적 규제로 삼았다. 그러나 실제 공인인증서가 배타적인 법적 지위를 잃은 건 2020년 12월. 도입되고 21년, 문제가 발견된 뒤 11년이 걸렸다. 게다가 인증서 종류만 늘었을 뿐 개인정보를 개인이 스스로 지켜야 할 것으로 보는 관점의 ICT 보안 체계는 유지됐고, 공인인증서 또한 ‘공동인증서’로 이름이 바뀐 채 여전히 쓰인다. ‘갈라파고스 제도’인 공인인증서 폐지가 지지부진했던 이유는 역설적으로 정답이 명확했기 때문이다. 글로벌 스탠더드에 맞춰 액티브X 없이 SSL/TLS만 쓰면 풀릴 문제였지만, 이렇게 전체 보안체계 틀을 바꾸면서 액티브X 생태계가 무너졌다. 공인인증서 발급 기관, 보안 솔루션 판매 기업, 금융사와 공공기관의 보안 부서, 학계 연구진 모두에게 구조적 문제 해결이란 곧 사업 기반의 붕괴를 의미했다. 구조적 문제를 풀어야 공익이 실현되지만, 그 문제를 방치해서 부작용이 생길 때마다 해결할 일거리를 만드는 게 수백, 수천명의 집단적 사익에 부합했다. 결과적으로 전 세계는 SSL/TLS 통신 암호화만으로 보안을 담보하고 사고 시 기업이 책임지는 체계를 택했으나, 한국은 SSL/TLS 위에 각종 보안 프로그램과 인증서를 겹겹이 씌우는 방식을 유지했다. 언뜻 이중보안처럼 보이지만 사이트마다 강제 설치되는 프로그램들이 서로 충돌해 컴퓨터 성능을 떨어뜨리고 오히려 해킹 경로가 되는 역설을 낳았다. 또한 개인에게 보안 책임을 떠넘기는 체계는 정작 기업의 보안 관리 책임을 느슨하게 만들었다. 정보보안 문제 이전에 이미 같은 방식의 정책 실기가 있었다. 산아제한 정책이다. 현재 인구 규모를 유지하는 합계출산율 2.1명을 1983년에 이미 달성했음에도 정부는 이를 일시적 현상으로 보고 조직과 예산을 유지했다. 1996년이 돼서야 산아제한에서 산아자율로 전환했고, 2003년에야 출산장려 정책으로 바뀌었다. 합계출산율 목표 달성 뒤 20년이 지나서야 정책을 전환한 결과 한국은 이제 돌이킬 수 없는 저출산 사회가 됐다. 개인정보 보호 체계도 같은 길을 걷고 있다. 쿠팡 사태라는 재앙의 이면에는 보안 컨설팅, 법률 자문, 정책 연구, 대책 TF의 일감 생태계가 작동한다. 보안 체계를 싹 고쳐 글로벌 스탠더드를 도입하면 문제는 해결되지만 조직과 예산은 소멸된다. 그러나 이번에 드러난 부작용만 관리한다면 신규 예산은 또 마련된다. 부작용이 부작용을 낳고 그 부작용을 막는 대책이 또 다른 부작용을 만드는 악순환. 산아제한이 목표 달성 후에도 20년간 지속됐듯 한국은 돌이킬 수 없는 개인정보 유출 사회로 향하고 있다. ‘마누라 빼고 다 바꾼다’던 저력은 어디로 갔을까. 홍희경 논설위원

강훈식 대통령 비서실장은 8일 쿠팡의 대규모 정보유출 사태와 관련해 “2차 피해를 방지하기 위한 조치를 즉각 시행하라”고 지시했다. 또 쿠팡의 집중적인 ‘전관 채용’과 관련해 다른 기업까지 사례를 조사하도록 했다. 강 실장은 이날 용산 대통령실에서 주재한 수석보좌관회의에서 “유출된 정보가 온라인 사기나 카드 부정 사용에 악용될 수 있다는 우려가 번지고 있다”며 이같이 지시했다고 안귀령 대통령실 부대변인이 전했다. 강 실장은 ‘고객의 손해에 대해 책임지지 않는다’는 취지의 면책조항이 추가된 쿠팡 약관에 대해 “소비자에게 일방적으로 불리한 약관인지 철저히 점검하고 시정 조치하라”고 말했다. 또 쿠팡이 최근 검찰, 법원, 공정거래위원회, 고용노동부 등 전관 출신을 집중 채용해 왔다는 지적에 대해 “공정한 경쟁 질서를 훼손할 우려가 있다”며 다른 기업들의 사례까지 폭넓게 조사해 달라고 했다. 한편 약 3370만건의 대규모 개인정보 유출 사고가 발생한 쿠팡의 미국 본사를 상대로 한 미국 내 집단소송이 추진된다. 한국 법무법인 대륜의 현지 법인인 미국 로펌 SJKP는 8일(현지시간) 뉴욕 맨해튼에서 기자회견을 열고 쿠팡을 상대로 한 징벌적 손해배상 소송을 미 법원에 제기할 계획을 밝힐 예정이라고 이날 밝혔다. 대륜에 따르면 쿠팡을 상대로 한 소송은 한국과 미국에서 동일하게 추진된다. 대륜 측 관계자는 한국 언론과의 통화에서 “미국 법원에 제기할 징벌적 손해배상과 관련, 이미 원고를 일부 모집했고 기자회견을 통해 원고를 더 모집할 것”이라고 했다. 이번 사태에 대한 분노가 사그라지지 않으면서 쿠팡을 상대로 형사 소송도 줄을 잇고 있다. 시민단체 서민민생대책위원회는 이날 앞서 수십억원대 보유 주식을 내다 판 쿠팡 전현직 임원을 업무상 배임 혐의로 고발했다.

강훈식 대통령 비서실장은 8일 쿠팡의 대규모 정보유출 사태와 관련해 “2차 피해를 방지하기 위한 조치를 즉각 시행하라”고 지시했다. 또 쿠팡의 집중적인 ‘전관 채용’과 관련해 다른 기업까지 사례를 조사하도록 했다. 강 실장은 이날 용산 대통령실에서 주재한 수석보좌관회의에서 “유출된 정보가 온라인 사기나 카드 부정 사용에 악용될 수 있다는 우려가 번지고 있다”며 이같이 지시했다고 안귀령 대통령실 부대변인이 전했다. 강 실장은 ‘고객의 손해에 대해 책임지지 않는다’는 취지의 면책조항이 추가된 쿠팡 약관에 대해 “소비자에게 일방적으로 불리한 약관인지 철저히 점검하고 시정 조치하라”고 말했다. 또 쿠팡이 최근 검찰, 법원, 공정거래위원회, 고용노동부 등 전관 출신을 집중 채용해 왔다는 지적에 대해 “공정한 경쟁 질서를 훼손할 우려가 있다”며 다른 기업들의 사례까지 폭넓게 조사해 달라고 했다. 한편 약 3370만건의 대규모 개인정보 유출 사고가 발생한 쿠팡의 미국 본사를 상대로 한 미국 내 집단소송이 추진된다. 한국 법무법인 대륜의 현지 법인인 미국 로펌 SJKP는 8일(현지시간) 뉴욕 맨해튼에서 기자회견을 열고 쿠팡을 상대로 한 징벌적 손해배상 소송을 미 법원에 제기할 계획을 밝힐 예정이라고 이날 밝혔다. 대륜에 따르면 쿠팡을 상대로 한 소송은 한국과 미국에서 동일하게 추진된다. 대륜 측 관계자는 한국 언론과의 통화에서 “미국 법원에 제기할 징벌적 손해배상과 관련, 이미 원고를 일부 모집했고 기자회견을 통해 원고를 더 모집할 것”이라고 했다. 이번 사태에 대한 분노가 사그라지지 않으면서 쿠팡을 상대로 형사 소송도 줄을 잇고 있다. 시민단체 서민민생대책위원회는 이날 앞서 수십억원대 보유 주식을 내다 판 쿠팡 전현직 임원을 업무상 배임 혐의로 고발했다.

회원 3370만명의 ‘공동현관 비밀번호’를 비롯한 개인정보가 유출된 쿠팡의 미국 본사를 상대로 한 집단소송이 추진된다. 한국 법무법인 대륜의 미국 현지 법인인 미국 로펌 SJKP는 8일(현지시간) 뉴욕 맨해튼에서 기자회견을 열고 쿠팡을 상대로 한 징벌적 손해배상 소송을 제기하는 계획을 밝힐 예정이다. 법무법인 대륜은 지난 5일 박대준 쿠팡 대표이사와 사내 개인정보 인증 업무 담당·관리자 등을 개인정보보호법 위반·업무상 배임 혐의로 고소했다. 미국은 한국과 달리 징벌적 손해배상 제도가 있어, 쿠팡에 대해 강력하게 책임을 묻고 피해자들에 대한 실질적인 보상을 끌어낼 수 있다는 복안이다. 대륜 측은 한국과 미국에서 동시에 소송을 진행한다는 계획이다. 대륜 관계자는 “미국에서 제기할 소송과 관련해 이미 원고를 일부 모집했고, 기자회견을 통해 원고를 더 모집할 것”이라고 설명했다. 이달 초 미국 뉴욕에 있는 DJS Law 그룹도 쿠팡의 ‘증권법 위반’ 가능성에 대해 소송을 준비하며 개인정보 유출 사태로 손실을 본 주주를 모집하고 나선 것으로 알려졌다. DJS Law 측은 이번 사태로 뉴욕증권거래소(NYSE)에 상장한 쿠팡 주가가 하락해 주주들이 손실을 보았다고 보고 있으며, 미국 증권거래위원회(SEC)에 관련 정보를 적절하게 공시했는지를 살피고 있는 것으로 전해졌다. SEC에 따르면 상장기업은 ‘중대한 사이버 보안 사고’를 겪었을 경우 이를 4영업일 내에 공시해야 한다. 2010년 설립된 쿠팡은 본사가 미국 캘리포니아주 마운틴뷰에 있으며, 미국 본사인 ‘쿠팡 아이엔씨’가 한국 법인의 지분 100%를 가지고 있다. 쿠팡은 2021년 3월 미 뉴욕증권거래소(NYSE)에 상장했으며, 국내에서는 한국경영자총협회(경총)에 가입돼 있다. 쿠팡 모회사 의결권의 70% 이상을 보유한 김범석 쿠팡 아이엔씨 이사회 의장은 서울에서 태어났으나 현재는 미국 시민권자다. 쿠팡을 상대로 한 소송은 줄을 이을 것으로 보인다. 법무법인 청을 시작으로 LKB평산, 지향 등 다수의 로펌이 소송 참가자를 모집 중이다. 이들 로펌이 개설한 쿠팡 상대 소송 관련 카페는 많게는 10만여명의 회원이 가입된 것으로 파악됐다. 한편 지난달 29일 개인정보 유출 사고가 발생한 쿠팡은 회원들에게 “이름과 주소, 주문 내역 등 개인정보가 노출됐다”는 안내문을 발송했으나 피해 규모를 축소했다는 지적을 받았다. 이에 쿠팡은 지난 7일 재차 안내문을 발송해 “고객님의 개인정보가 유출되는 사고가 발생한 바 있다”며 이름과 이메일 주소, 배송지 주소록 등과 함께 ‘공동현관 출입번호’까지 유출됐다고 명시했다. 쿠팡 측은 “카드 또는 계좌번호 등 결제정보, 비밀번호 등 로그인 관련 정보, 개인통관부호는 유출되지 않았으며 유출된 정보를 이용한 2차 피해 의심 사례는 발견되지 않았다”라고 전했다.

귀가했더니 아내와 초등생 아들이 다투는 중이었다. 아들은 야식으로 라면을 끓이겠다 하고 엄마는 말리는, 성장기 아들을 둔 가정의 흔한 풍경이었다. 눈에 띈 건 아들 손에 들린 봉지, 삼양식품이 36년 만에 부활시켰다는 ‘우지라면’이었다. 어디서 들은 건지 아들은 소위 ‘우지 파동’에 대해 제법 자세히 알고 있었다. 우리 언론 역사에서 1989년 우지 파동은 최악의 오보 사건으로 기록돼 있다. “공업용 쇠기름으로 면을 튀겼다”는 보도가 번지며 삼양식품 등 우지를 쓰던 업체들은 벼랑 끝까지 몰렸다. “먹는 데 문제없다”는 정부 발표가 나온 뒤에도 소비자들은 맘을 바꾸지 않았다. 언론학 강의에선 무책임하고 선정적인 보도의 폐해를 다룰 때 어김없이 이 사건을 다룬다. 더불어민주당은 가짜뉴스를 처벌하는 이른바 허위조작정보 근절법(정보통신망법 개정안)을 추진하고 있다. 가짜뉴스를 퍼뜨리면 최대 5배의 징벌적 손해배상을 물리는 내용(최민희 의원안)이다. 우지 파동 사례만 봐도 사실과 다른 보도의 피해는 참혹하다. 그게 의도치 않은 오보든, 악의적인 가짜뉴스든 결과는 다르지 않다. 허위조작정보 근절법이 미리부터 있었다면 당시 언론들도 마구잡이식 마녀사냥 보도를 쏟아 내긴 어려웠을 것이다. 그런데 우지 파동의 시작은 사실 언론이 아니었다. 언론의 취재·기획 보도에 앞서 검찰의 수사가 있었다. 검찰은 식품회사들이 공업용 우지를 써서 식품위생법을 위반했다고 발표했고 이어 언론들이 따라붙었다. 사정기관이 목표를 정하면 언론이 여론을 몰아가는 작금의 방식대로였던 셈이다. 뒷날 삼양식품 관계자들은 전원 무죄를 받았다. 대법원 선고까지 7년이 걸렸다. 언론이 양산한 오보로 개인과 기업에 치명상을 입힌 사건 중 ‘취재 소스’가 정부 기관인 경우는 한둘이 아니다. 우지 파동을 꺼낸 김에 식품 관련 사건으로만 한정해도 2004년 쓰레기 만두(경찰)와 폐드럼통 젓갈(검찰), 1998년 포르말린 번데기(식약청), 1995년 고름우유(국립보건원) 파동 등이 모두 그랬다. 사실을 검증하고 특히 정부의 말이라면 일부러라도 꼬아서 따져 보는 게 언론의 임무다. 그러나 기자들이 정부의 모든 발표를 일일이 검증한 뒤 보도하기는 현실적으로 어렵다. 정보를 독점한 권력기관의 발표는 두말할 것도 없다. 이런 기관이 허위사실을 공표해 버리면 언론도 속수무책으로 당한다. 끈질기게 추적한다고 해도 진실을 밝혀 내기까지는 엄청난 노력과 시간이 든다. 권력기관발(發) 대량 오보는 지금도 횡행한다. 검찰이 죄를 물어 기소한 사건 중 연간 약 1만건(2024 사법연감)은 1심에서 무죄나 공소기각이 나온다. 법원 문턱에도 못 가는 경찰 사건은 수도 없다. 경찰과 검찰에 1심 법원 역할까지 하는 공정거래위원회가 최근 10년간 처분한 사건 중 약 300건(2024 공정위 통계 연보)은 소송에서 결과가 뒤집혔다. 300개 기업이면 관련 구성원은 수만명이다. 그 과정에서 양산된 ‘결과적 오보’에 대한 책임은 아무도 지지 않는다. 36년 만에 우지라면을 재출시하며 김정수 부회장은 눈물을 흘렸다고 한다. 창업주의 한을 조금이나마 풀어 줬다는 이유에서다. 삼양식품은 사지에서 돌아와 보란듯이 명예 회복을 했다. 하지만 이걸 할 수 있는 개인이나 기업이 우리나라에 얼마나 되겠나. 그럼에도 권력기관의 헛발질에 책임을 묻는 법을 도입한다는 얘기는 듣지 못했다. 허위조작정보 근절도 급한 건 기성 언론이나 애먼 플랫폼 사업자가 아니다. 정보의 원천이 되는 권력기관의 무책임은 그냥 두고 다른 곳만 옥죄면 결과는 뻔하다. 권력에 대한 감시와 비판은 위축되고, 미디어는 권력기관의 발표만 받아써 나르는 나팔수로 전락할 터. 그때의 해악은 언론의 오보 몇 건에 비할 바가 아닐 것이다. 강병철 정치부장

쿠팡 개인정보 유출 사태 이후 온라인에는 10여개의 ‘집단소송 카페’가 만들어졌다. 규모만 보면 국민 절반이 잠재적 피해자인 만큼 스스로 법적 대응에 나서는 흐름은 자연스럽다. 그런데 이 현상은 자본주의가 부작용을 교정해 온 역사적 메커니즘과 맞닿아 있다. 집단 손해배상 소송(class action)은 수백만 소비자의 권익을 개별 소송으로는 보호할 수 없다는 문제의식에서 시작됐다. 1938년 미국 연방민사소송규칙에서 처음 체계화됐고, 1966년 개정을 통해 현대적 형태로 자리잡았다. 대형 금융사기부터 자동차 결함, 약품 부작용, 개인정보 유출까지. 기업의 온갖 구조적 위험에 맞선 ‘집단적 대응권’이 시민의 무기로 편입된 것이다. 자본주의의 성장을 견인한 역설적 장치이기도 하다. 기업의 탐욕을 억제하는 사회적 브레이크가 시장 신뢰를 지탱하고, 그 신뢰가 다시 경제성장의 기반이 되기 때문이다. 1990년대 미국 담배 소송은 담배 회사를 법정에 세운 중대한 사건이자 소비자 안전기준과 공중보건 체계를 한 단계 끌어올린 계기였다. 코카콜라의 성분 표시 강화, 포드·GM의 리콜 체계 정비, 글로벌 정보기술(IT) 기업들의 개인정보 보호 장치 확립도 대부분 거대한 집단소송 이후에야 가능했다. 강력한 사후 규율이 선제적 안전 투자로 이어지는 구조를 다졌다. 국내 집단소송은 2005년 증권 분야에 한정된 법 제정으로 겨우 첫발을 뗐다. 최근 10년간 금융·제조·플랫폼 분야의 집단소송이 빠르게 늘었다. 그러나 여전히 ‘특정 분야’에 국한돼 있고, 징벌적 손해배상도 미국에 비해 제한적이다. 사고가 터질 때마다 “왜 미리 못 막았느냐”는 질문이 반복되는 이유다. 집단소송은 기업을 처벌하려는 장치가 아니다. 투명성과 책임성을 통해 자본주의의 장기적 생존을 돕는 안전벨트다. 쿠팡 사태가 남긴 경고음을 일시적 분노로 흘려보낼 일이 아니다. 우리도 이 안전벨트를 제대로 갖춰 매야 할 때다.

SK텔레콤과 롯데카드, KT에 이어 쿠팡까지 지난 7개월간 해킹 등으로 통신사, 카드사, 온라인 유통 플랫폼 등 곳곳이 뚫렸다. 이 과정에서 새 나간 개인정보가 6300만건을 넘었다. 전 국민 수보다 많은 개인정보가 줄줄 새면서 언제 어디서라도 악용될 수 있는 2차 피해가 우려된다. 몸집 불리기에 급급한 기업의 안보 불감증이 근본 배경이지만 정부와 국회도 뒷짐만 졌던 책임을 피할 수 없다. 정부는 어제 국회에서 열린 쿠팡 개인정보 유출 사고 현안 질의에서 로그 분석 결과 3000만개 이상 계정의 공격 기간이 지난 6월 24일부터 11월 8일까지라고 밝혔다. 5개월 전부터 벌어진 유출을 기업도 정부도 까맣게 모르다가 고객 신고로 알게 됐다니 아무리 생각해도 황당하다. 정부는 스미싱 등 2차 피해 우려가 있어 모니터링을 강화하겠다고 했지만, 뒷북 대응이라는 비판이 나올 수밖에 없다. 이날 질의에서 “전자상거래법상 통신 판매로 재산상 손해가 났을 경우 영업정지를 할 수 있는데, 영업정지 가능 여부를 체크해 봤느냐”는 의원 질문에 정부는 “관계 기관과 협의하겠다”고만 했다. SK텔레콤 사태부터 관련 법·제도적 미비점과 솜방망이 처벌 등이 도마에 올랐으나 여전히 제자리걸음인 것이다. 2300만여명의 개인정보가 털린 SK텔레콤도 1348억원 수준의 과징금 부과에 그쳤다. SK텔레콤 사태 이후 신속한 공지와 조사, 과징금·과태료 강화 등을 담은 개인정보보호법 개정안은 22차례나 발의됐다. 그래 놓고 상임위 심사 단계에서 번번이 중단됐다. 국회와 정부가 말로만 보안 강화를 외치고 실제로는 손을 놓았던 것이다. 이재명 대통령은 어제 “관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상 제도를 현실화하는 등의 대책에 나서 달라”고 지시했다. 개인정보 유출 사고가 발생하면 기업이 문을 닫는 수준으로 책임을 물어야 한다. 개인정보 탈취 문제가 ‘국가적 재난’이 되고 있다. 보안 법안의 총체적 재점검에 나서야 한다.

李대통령 “종교재단 정치개입은 헌법위반…日에선 해산명령” 李대통령 “쿠데타 등 국가권력 범죄, 나치전범 처리하듯 해야” 李대통령 “가짜뉴스 너무 심해…全정부 차원 대책 마련” 李대통령 “계엄 저지 함께한 국민들 표창…노고 기억” 李대통령 “곳곳에 숨겨진 내란 어둠 밝혀내 국민통합 문 열어야” 李대통령, 쿠팡 사고에 “과징금 강화·징벌적 손배제 현실화”

이재명 대통령은 2일 쿠팡에서 개인정보가 대거 유출된 사태와 관련해 “관계부처는 해외 사례들을 참고해 과징금을 강화하고 징벌적 손해배상제도도 현실화하는 등 실질적인 또 실효적인 대책에 나서주시길 바란다”고 밝혔다. 이 대통령은 이날 국무회의를 주재하고 모두발언에서 “쿠팡 때문에 우리 국민들 걱정이 많다”며 이처럼 지시했다. 이 대통령은 “피해 규모가 약 3400만건으로 방대하지만 처음 사건이 발생하고 5개월 동안 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다”며 “이 정도인가 싶다”라고 비판했다. 이어 “사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야되겠다”며 “유출 정보를 악용한 2차 피해를 막는 데도 가용 수단을 총동원해 주시길 바란다”고 했다. 또 “인공지능과 디지털 시대의 핵심 자산인 개인정보보호를 소홀하게 여기는 이 잘못된 관행 그리고 인식 역시 이번 기회에 완전히 바꿔야 한다”고 덧붙였다. 이 대통령은 또 12·3 비상계엄 사태 1년을 앞두고 내란 척결 의지를 다시 한번 강조했다. 이 대통령은 “곳곳에 숨겨진 내란의 어둠을 온전히 밝혀내서 진정으로 정의로운 국민 통합의 문을 활짝 열어야 한다”고 지적했다. 이어 “국민이 꿈꾼 다시 만날 새로운 세계를 향한 발걸음에 박차를 가해야되겠다”며 “국민의 삶을 개선하고 대한민국 대도약의 길을 우리 위대한 대한 국민들과 함께 열어나가겠다”고 했다. 이 대통령은 비상계엄 저지와 헌정질서 수호에 함께한 국민들에게 표창 등 의미 있는 증서를 수여하겠다는 뜻을 밝혔다. 이와 관련해 이 대통령은 3일 오후 7시 시민단체가 주최하는 ‘12·3 내란외환 청산과 종식, 사회 대개혁 시민 대행진’ 행사에 참석할 예정이다. 현직 대통령이 장외 집회에 참석하는 건 극히 이례적인 일이다. 이 대통령은 임금체불 문제도 지적했다. 이 대통령은 “올해 상반기 기준 피해액만도 역대 최대인 1조 1000억원을 넘고 있다”며 “일하고 월급을 또는 보수를 못 받으니 얼마나 참담하겠다”라고 안타까워했다. 이어 “어제부터 임금체불 신고 사건 전수조사가 진행 중인데 철저한 현장 점검과 상습 체불에 대한 처벌을 강화하는 방안을 함께 추진해주시길 바란다”고 당부했다.

국내 이커머스 1위 업체 쿠팡의 대규모 고객정보 유출 사태와 관련해 집단소송 움직임이 본격화되고 있다. 현재까지 알려진 피해자 숫자만 3370만명에 달해 소송 규모도 역대 최대가 될 것으로 관측된다. 다만 과거 사례에 비춰 봤을 때 소송의 실익이 크지 않을 것이라는 지적도 나온다. 쿠팡 이용자 14명은 1일 쿠팡을 상대로 1인당 위자료 20만원을 청구하는 손해배상 청구 소송을 서울중앙지법에 제기했다. 소송을 대리하는 곽준호 법무법인 청 대표변호사는 “개인정보 유출에 따른 보상 책임 및 유출 사실을 고객에게 통보하기까지 시간이 지연된 데 대한 책임 등을 재판에서 강조할 것”이라며 “소송 인원은 늘어날 수 있다”고 밝혔다. 이날 기준 네이버 등에는 집단소송 준비 카페가 다수 개설돼 전체 가입자 수가 25만명을 넘어섰다. 하지만 실제 소송을 통해 피해를 보상받기는 쉽지 않을 것이라는 게 법조계 중론이다. 개인정보 유출 손해배상 소송은 피해자가 피해 규모 및 기업의 중대 과실 여부를 입증해야 하기 때문이다. 이날 대통령실에서 언급한 징벌적 손해배상 확대 도입의 필요성도 제기된다. 현행 손해배상 제도는 인과관계가 입증된 구체적인 손해에 대해서만 배상하는 것이 원칙이다. 개인정보보호법에도 중대한 과실이 확인될 경우 최대 5배까지 징벌적 손해배상을 하도록 정하고 있지만, 손해배상의 기준이 되는 손해액 책정 자체가 쉽지 않아 실효성이 부족하다는 지적이다. 일각에선 쿠팡에 최대 1조원대의 과징금이 부과될 수 있다는 전망도 나온다. 개인정보보호법에 따르면 개인정보 유출 시 관련 매출액의 최대 3%까지 과징금 부과가 가능하다. 쿠팡의 지난해 매출은 약 41조원이었다.

“서버 접근권 말소 안 해 생긴 일”개인정보 문 열어 놓은 꼴… 대통령실 “징벌적 손배 필요” 쿠팡에서 인증 관련 담당자로 일하던 중국인 개발자가 고객 3370만명의 개인정보를 유출한 사태와 관련해 쿠팡 측의 안일한 대응에 대한 비판이 커지고 있다. 정부는 외부 해킹이 아닌 쿠팡 측의 방치에 따라 이번 사건이 벌어졌다고 보고 관련 책임을 엄중히 묻겠다는 입장이다. 원활한 피해자 보상을 위해 징벌적 손해배상제 개선 카드도 꺼내 들었다. 경찰도 범행에 사용된 인터넷주소(IP)를 확보하는 등 수사에 속도를 내고 있다. 1일 정부 고위 관계자는 “쿠팡이 서버 관리를 굉장히 부실하게 한 것이라 책임을 피하기 어려울 것”이라고 말했다. 이 관계자는 “인증 관리 업무를 담당하던 중국인 개발자가 퇴사한 후에도 계속 서버 접근 권한을 말소하지 않아서 생긴 일”이라며 “본질적으로 해킹을 당한 롯데카드와는 아예 다른 사건”이라고 진단했다. 그는 또 “(인증키를) 말소시키지 않으니 시스템은 정상적 접근이라고 본 것”이라며 “혹시 다른 해킹이 있을지 한국인터넷진흥원(KISA)이 들여다보고 있는데 현재까진 나온 게 없다”고 전했다. 그러면서 “피해자 숫자와 범위 등이 더 늘어날 가능성은 충분해 보인다”고도 했다. 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실 등에 따르면 고객 정보를 빼돌린 직원은 퇴사 이후인 지난 6월 24일부터 개인정보에 접근한 것으로 추정된다. 이 직원은 개인정보 탈취 과정에서 시스템에 로그인 없이 접근할 수 있는 ‘인증 토큰’을 이용한 것으로 보인다. 이와 관련해 강훈식 대통령실 비서실장은 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 밝혔다. 아울러 강 실장은 과학기술정보통신부 등에 “근본적인 제도 보완, 현장 점검 체계 재정비, 기업 보안 역량 강화 지원책 등을 신속히 보고해 달라”고도 지시했다. 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다. 경찰도 관련 수사를 진행 중이다. 서울경찰청 관계자는 이날 “쿠팡 측으로부터 서버 로그 기록을 제출받아서 분석 중”이라며 “정보 유출 등으로 협박하는 내용이 담긴 이메일 계정 2개를 추적하고 있다”고 밝혔다. 경찰은 피의자의 국적과 함께 정보 유출 당사자가 협박성 이메일을 보낸 사람과 동일인인지 등을 파악하고 있다. 경찰 관계자는 “피의자를 특정하기 위한 수사를 진행 중”이라며 “IP 추적을 위한 해외 공조도 벌이고 있다”고 설명했다. 쿠팡은 지난달 18일 개인정보보호위원회 등에 고객 4500여명의 개인정보가 유출됐다며 신고했고, 이후 같은 달 25일 정보통신망 침입 혐의로 고소장을 제출했다. 쿠팡 측은 협박 메일이 발송된 지 이틀이 지나서야 대응에 나섰다. 경찰은 지난달 28일 쿠팡 측 관계자를 불러 조사했다. 쿠팡이 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급성장해 오는 동안 정보보호 투자 비중은 반대로 감소해서다. 2010년 출범한 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 이후 규제에 묶인 대형마트의 빈자리를 채우기 시작하면서 급격히 몸집을 불렸다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해 매출 41조 2901억원을 올렸고 올해에는 50조원 달성도 가능하다는 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. KISA 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버·KT(0.4%)보다 저조했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권 및 정부 출신 인사를 대거 영입해 온 점과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다.

강훈식 대통령비서실장은 1일 쿠팡에서 발생한 대규모 개인정보 유출 사고와 관련해 “우리 사회 전체의 개인정보보호 체계의 구조적 허점이 있음을 보여준다”라고 지적했다. 전은수 대통령실 부대변인은 강 비서실장이 이날 수석보좌관회의에서 이 같이 말하며 관계부처에 근본적인 제도 보완을 지시했다고 밝혔다. 강 비서실장은 쿠팡의 개인정보 유출 사고와 관련해 “2021년 이후 4차례나 반복됐다”라며 “데이터가 기업 경쟁력의 핵심이 된 시대에 겉으로는 가장 엄격한 보호조치를 내세우면서도 정작 실제 관리 체계는 뒷문이 열려있는 형국”이라고 질타했다. 그러면서 과학기술정보통신부와 개인정보보호위원회에 근본적인 제도 보완과 함께 현장 점검 체계 정비, 기업의 보안 역량 강화 지원책 등을 마련해 보고할 것을 지시했다. 강 비서실장은 또한 “징벌적 손해배상제도가 사실상 작동하지 않은 현실은 대규모 개인정보 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 주문했다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.