“적극 보상” 공언한 쿠팡…판례가 밝힌 핵심은 ‘이것’이었다

박대준 쿠팡 대표가 정보 유출 보상을 적극 검토하겠다고 밝혔다. 과거 판례는 기업 과실 여부에 따라 판단이 엇갈린 바 있어, 쿠팡의 관리 소홀 입증 여부가 실제 배상의 관건이 될 전망이다. 뉴스1

박대준 쿠팡 대표가 3370만여 건에 달하는 개인정보 유출 사고와 관련해 “피해자 보상을 적극 검토하겠다”고 밝히면서, 과거 유사 사건의 배상 판례가 다시 주목받고 있다. 보상 시점과 범위가 확정되지 않은 상황에서 기업의 책임 수준을 가른 기존 판례들이 이번 쿠팡 사태에도 기준점이 될 것이란 관측이 나온다.

박 대표는 3일 국회 정무위원회 전체회의에서 보상 계획을 묻는 질문에 “현재 피해 범위가 확정되지 않아 조사 중”이라면서도 “합리적 방안을 마련하겠다”고 밝혔다. 의원들이 “보상해야 한다”고 지적하자 “피해자에 대해서는 적극적으로 검토하겠다”고 거듭 답했다.

● 기업 책임 판단의 핵심은 ‘고의성·과실·관리·감독’

과거 대규모 정보 유출 사건에서 법원은 기업의 ‘고의·과실 여부’와 ‘관리·감독 수준’을 기준으로 배상 책임을 달리 판단해왔다.

가장 대표적인 사례는 2014년 KB국민·농협·롯데카드 등 카드 3사 정보 유출 사건이다. 용역업체 직원이 1억 건의 정보를 절취한 사건으로, 당시 법원은 기업의 ‘관리·감독 소홀’을 인정하며 1인당 10만 원의 배상 판결을 확정했다.

해킹으로 1030만 명의 개인정보가 유출된 2016년 인터파크 사건의 경우, 회사가 유출 사실을 2주 뒤에야 알린 과실이 인정돼 2020년 1심에서 1인당 10만 원 배상 판결이 나왔고, 이후 대법원에서 확정됐다

기업 측의 고의성이 명확할 경우 배상액은 더 높아졌다. 2011부터 2014년까지 경품 행사를 통해 2400만여 건의 고객 정보를 보험사에 넘긴 홈플러스에 대해 대법원은 원고 일부 승소 판결을 내렸다. 재판부는 구체적인 피해 사실이 입증된 4명에게 1인당 5만~30만 원 안팎의 위자료를 지급하라고 판결했다.

● 유출 발생해도 배상 받지 못한 사례도

반면 피해 규모가 컸음에도 기업의 책임을 인정받지 못한 사건도 있다.

KT의 2012년 개인정보 유출 사건은 1심에서 1인당 10만 원 배상 판결이 나왔지만, 대법원은 “당시 보안 기술 수준 등을 고려할 때 관리·감독 의무 위반으로 보기 어렵다”며 이를 뒤집었다. 대법원은 “당시 일반적인 정보보안 기술 수준 등을 고려할 때 KT가 관리·감독 의무를 위반했다고 보기 어렵다”고 판결했다.

3500만 명의 정보가 유출된 2011년 네이트·싸이월드 해킹 사건 역시 대법원은 “기업의 보안 조치 위반과 해킹 사고 사이의 인과관계를 단정할 수 없다”며 기업의 손을 들어줬다.

전문가들은 “고의성·사후 대응·보안 관리 체계” 등이 핵심 판단 기준이라는 점에서, 쿠팡 역시 향후 조사 결과에 따라 책임 범위와 보상 수준이 크게 달라질 수 있다고 보고 있다.