최근 쿠팡 개인정보 유출 사건을 둘러싼 손해배상 소송이 전국적으로 확산되고 있다. 이번 사건은 단순한 기업 사고나 일회적 분쟁으로 보기 어렵다. 디지털 플랫폼 시대에 기업의 책임과 시민의 권리가 어디까지 보호되어야 하는지를 묻는 상징적 사건이기 때문이다. 2024년 발생한 이번 사고에서는 이름, 연락처, 이메일, 배송지 주소 등 다수 이용자의 개인정보가 외부에 노출됐다. 일부 정보는 주거 안전과 직접 연결되는 내용까지 포함돼 이용자들이 느끼는 불안감은 단순한 정보 노출의 차원을 넘어섰다. 개인정보는 이제 단순한 행정 정보가 아니라 개인의 생활 반경과 안전을 구성하는 핵심 요소가 되었기 때문이다.
변호사로서 현장에서 피해자들을 상담하며 가장 많이 듣는 말은 “실제 금전 피해는 없지만 너무 불안하다”는 호소다. 이는 현행 손해 개념이 여전히 물적 피해 중심으로 이해되고 있음을 보여준다. 그러나 플랫폼 사회에서 개인정보 침해는 그 자체로 인격권 침해의 문제를 야기하며, 일정한 요건 하에 정신적 손해배상의 근거가 될 수 있다. 다만 대법원은 개인정보 유출이 곧바로 위자료 배상 대상이 되는 정신적 손해의 발생을 의미하지는 않는다는 입장을 유지하고 있다. 유출된 정보의 종류와 성격, 제3자의 열람 가능성, 추가적인 법익침해 가능성, 관리 실태 및 유출 경위 등을 종합하여 개별적으로 판단하여야 한다는 것이다. 배송지 주소처럼 거주지와 직결된 정보가 불특정 다수에게 확산되거나 다른 정보와 결합해 정보주체를 특정할 수 있는 경우에는 정신적 손해의 현실적 발생이 인정될 수 있다. 막연한 불안감을 넘어 이러한 구체적 사정을 주장하고 소명하는 것이 실무상 관건이다.
이번 사건의 또 다른 특징은 소송의 규모다. 이미 수십만 명이 공동소송에 참여한 것으로 알려져 있으며, 이는 국내 소비자 분쟁 역사상 전례를 찾기 어려운 수준이다. 과거에는 대기업을 상대로 개인이 소송을 제기하는 것 자체가 현실적으로 어려웠지만, 이제 시민들은 집단적 방식으로 권리를 행사하기 시작했다. 이 변화는 단순히 소송 참여 인원의 증가를 의미하지 않는다. 거대 플랫폼 기업과 개별 소비자 사이의 구조적 불균형을 사법 절차가 보완하기 시작했다는 점에서 중요한 전환점이라 할 수 있다.
특히 이번 유출의 원인이 외부 해킹이 아닌 내부 관리 체계의 미흡에서 비롯되었다는 의혹은 시사하는 바가 크다. 인증 권한 관리가 장기간 방치되었다는 사실이 확인된다면 이는 기술적 사고가 아니라 관리 책임의 문제로 평가될 수밖에 없다. 플랫폼 기업은 막대한 데이터를 기반으로 성장한다. 데이터 보호 역시 기업 경영의 핵심 의무가 되어야 하며, 개인정보 보호를 부수적 비용으로 인식하는 순간 그 위험은 결국 소비자와 사회 전체로 전가된다.
이번 소송이 갖는 진정한 의미는 배상금 액수에 있지 않다. 개인정보 유출과 같은 대규모 침해 사건에서 기업이 어느 수준까지 책임을 부담해야 하는지에 대한 사회적 기준을 형성하는 데 있다. 사법부의 판단은 향후 모든 플랫폼 기업의 개인정보 관리 기준에 사실상 가이드라인으로 작용하게 될 것이다. 지역에서 활동하는 변호사로서 느끼는 점은 분명하다. 개인정보 보호는 더 이상 IT 기업만의 문제가 아니라 시민의 기본권 문제이며, 이번 사건은 데이터 경제의 속도를 법과 제도가 제대로 따라가고 있는지 되돌아보게 만든다. 플랫폼 시대의 법치는 기업 자율에만 맡겨질 수 없으며, 명확한 책임 원칙과 실효적 사법적 통제가 병행될 때 비로소 완성될 수 있다.
플랫폼의 혁신은 필요하다. 그러나 혁신은 책임 위에서만 지속될 수 있다. 이용자의 신뢰 없이 성장한 플랫폼은 결국 사회적 정당성을 잃게 된다. 쿠팡 손해배상 소송은 한 기업의 책임을 묻는 사건을 넘어, 데이터 시대에 우리가 어떤 기준으로 기업과 사회의 관계를 재정립할 것인지 묻고 있다. 그리고 그 질문에 대한 답은 결국 법과 사법적 판단을 통해 만들어질 것이다. 디지털 시대의 권리는 눈에 보이지 않지만, 결코 가볍지 않다. 개인정보 보호는 선택의 문제가 아니라 시민의 존엄과 직결된 기본권이라는 점을 이번 사건이 다시 한 번 일깨워주고 있다.
이나라 법률사무소 율빛 대표변호사 울산대 법학과 겸임교수
