쿠팡 개인정보 유출 사태: 우리가 집단분쟁조정을 신청하는 이유

법무법인 지향(2025. 12. 2.)

1. 들어가는 글: 단순한 피해자를 넘어, 권리의 주체로 서기 위하여

이번 쿠팡 개인정보 유출 사태는 대한민국 역대 최대 규모의 개인정보 유출 사건 중 하나로 기록될 재난적 사안입니다. 외부 해킹이 아닌 전(前) 내부 직원에 의해 무려 3,370만 명에 달하는 고객 정보가 5개월간 무방비로 유출되었다는 사실은 우리 사회에 큰 충격을 안겨주었습니다. 이처럼 전례 없는 권리 침해 앞에서, 우리는 더 이상 침묵하는 피해자로 남기를 거부합니다. 이에 법무법인 지향은 집단분쟁조정 신청을 통해 피해자로서의 권리를 적극적으로 행사하고, 개인정보처리자인 피신청인의 법적 책임을 명확히 규명하고자 합니다.

본 절차는 단순히 발생한 피해에 대한 사과를 요구하는 것을 넘어, 모든 피해자에 대한 실질적이고 종합적인 피해 구제를 이끌어내는 것을 궁극적인 목표로 합니다.

2. 피신청인 쿠팡의 명백하고 중대한 책임

이번 집단분쟁조정 신청은 이미 드러난 사실만으로도 명백하게 입증되는 피신청인의 법적 책임을 근거로 합니다. 현재까지 언론 보도 등을 통해 드러난 사실관계만으로도 피신청인의 책임은 변명의 여지가 없을 만큼 명백하고 중대합니다. 피신청인의 핵심적인 과실은 다음과 같이 요약할 수 있습니다.

• 접근권한 배분, 인증수단 관리의 총체적 부실 : 한 명의 직원이 3,370만명의 고객정보에 접근할 수 있었다는 것, 토큰방식의 인증수단을 엄격하게 관리하기는 커녕, 서명키 유효기간이 5~10년이었다는 보도는 총체적 관리부실을 보여줍니다. 
• 총체적으로 붕괴된 보안 시스템: 전(前) 내부 직원이 3,370만 명의 개인정보를 유출하는 동안, 피신청인의 접근 통제, 권한 관리, 이상 징후 탐지 시스템은 단 한 번도 작동하지 않았습니다. 이는 법에서 규정한 ‘월 1회 이상의 접속기록 점검 의무’조차 이행하지 않았음을 명백히 보여주는 총체적 보안 실패입니다.
• 가장 기본적인 안전조치 의무 위반: 피신청인은 퇴사한 직원의 계정을 ‘지체 없이’ 말소해야 하는 개인정보의 안전성 확보조치 기준(고시 제5조) 상의 가장 기본적인 의무를 정면으로 위반했으며, 인증에 사용되는 핵심 서명키를 수년간 갱신하지 않고 방치했습니다. 이는 이번 사태의 직접적인 원인이 된 변명의 여지가 없는 과실입니다.
• 사고 이후의 기만적인 대응: 유출 사실을 인지한 후에도 ‘유출’ 대신 ‘노출’이라는 모호한 표현을 사용하고, 최초 신고 시 피해 규모를 7,500배 가까이 축소했으며, 유출자가 고객을 협박한 사실까지 은폐하는 등 사건의 진실을 축소하고 은폐하려는 태도로 일관했습니다.

이러한 명백한 과실들은 피신청인의 법적 책임을 입증하는 결정적인 근거이며, 우리가 왜 집단적인 법적 절차를 통해 대응해야 하는지를 명확히 보여줍니다.

3. ‘집단분쟁조정’ 절차는 어떤 이점이 있는가?

우리는 ‘집단분쟁조정’을 통해서, 피신청인이 독점한 정보의 장벽을 허물고 사건의 진실을 규명하는데 도움을 받으려고 합니다.

1. 정보의 비대칭성 극복 및 실체적 진실 규명 현재 우리는 ‘기울어진 운동장’에서 싸우고 있습니다. 사건의 진실을 밝힐 모든 증거(내부 시스템 로그, 보안 점검 보고서 등)는 피신청인의 서버 안에 있습니다. 개인 피해자가 이를 확보하는 것은 불가능합니다. 하지만 개인정보분쟁조정위원회는 법이 부여한 직권 조사 권한을 통해 이러한 핵심 증거를 확보하여 사건의 실체적 진실을 규명할 수 있습니다.
2. 신속하고 효율적인 피해 구제 수많은 피해자가 각자 소송을 제기할 경우 막대한 시간과 사회적 비용이 소모될 수밖에 없습니다. 집단분쟁조정은 위원회의 전문적인 중재를 통해 이러한 소모적 공방을 줄이고, 원칙적으로 60일 이내에 조정안을 도출하여 피해자들이 신속하게 권리를 구제받을 수 있는 길을 열어줍니다.
3. 모든 피해자를 위한 포괄적 구제 가능성 이 제도의 가장 큰 장점은 구제 범위의 확장 가능성입니다. 만약 피신청인이 위원회의 조정안을 수락할 경우, 위원회는 본 절차에 직접 참여하지 않은 3,370만 명의 전체 피해자들에 대해서도 피신청인에게 보상계획서를 제출하도록 권고할 수 있습니다. 이는 구제 범위를 극대화하여 모든 피해자가 보상받을 가능성을 열어줍니다.

이러한 장점들을 바탕으로, 우리는 분쟁조정위원회가 본연의 역할을 다해줄 것을 강력히 요청하고자 합니다.

4. 분쟁조정위원회에 대한 우리의 요청

우리는 위원회에 다음과 같은 사항을 요청합니다.

• 적극적인 사실조사 권한 행사: 피신청인이 사건을 은폐·축소하려는 정황이 명백한 만큼, 자료 제출 요구 및 현장 조사를 포함한 모든 권한을 적극적으로 행사하여 유출 사고의 원인과 책임을 명명백백히 밝혀주시길 요청합니다.
• 실효성 있는 조정안 마련: 피신청인의 형식적인 사과를 넘어, 모든 피해자에 대한 실질적인 손해배상과 함께, 동일한 사고가 재발하지 않도록 구체적인 기술적·관리적 개선 조치를 포함한 조정안을 마련해 주시길 촉구합니다.
• 전체 피해자로의 보상 확대 권고: 집단분쟁조정 제도의 취지를 살려, 조정 절차에 참여하지 않은 3,370만 명의 피해자 전원에 대한 구제가 이루어질 수 있도록 피신청인에게 보상계획서 제출을 강력히 권고해 주시길 요청합니다.

5. 그러나, 집단소송을 병행해야만 합니다

우리는 집단소송을 병행하지 않을 수 없습니다. 집단분쟁조정은 사실상 임의적인 절차이기 때문입니다. 쿠팡이 집단분쟁조정안을 받아들이지 않는다면, 분쟁조정위원회의 조정안은 아무 효과가 없습니다. 그래서 우리는 부득이 집단소송과 병행하는 방안을 선택했습니다. 

 

법무법인 지향은 집단소송을 12월 3일에 1차로 접수할 계획입니다.

우리는 이번 사건이 대한민국 기업들의 보안 의식을 근본적으로 혁신하는 중요한 계기가 되었으면 합니다. 법무법인 지향은 다시는 이와 같은 사회적 재난이 반복되지 않도록 피신청인의 책임을 끝까지 묻고, 근본적인 재발 방지 대책을 이끌어낼 것입니다. 그 뿐만 아니라 법무법인 지향은 제도개선을 위한 다양한 노력도 기울일 계획입니다.

법무법인 지향은 소비자와 함께 최선을 다할 것을 약속드립니다.

2025. 12. 2.

법무법인 지향

담당 변호사 남상철, 이병주, 이은우, 이상희, 김묘희, 노정연, 전다운