서울 송파구 쿠팡 본사 전경. (사진=뉴시스)
이번 소송은 지난 11월 드러난 쿠팡의 대규모 개인정보 유출 사고에 대한 책임을 묻는 것으로, 단순한 해킹 사고가 아닌 기업의 안전 불감증과 이윤 추구 행위가 빚어낸 명백한 ‘인재(人災)’라는 점에 초점을 맞춰졌다.
소장에 따르면 쿠팡은 개인정보 보호법과 정보통신망법상 핵심 의무를 다수 위반했다. 보안 인가를 받았던 중국인 개발자가 퇴사한 뒤에도 접근 권한을 5개월간 방치해 유출 경로를 제공한 것으로 지적됐다.
기초적인 기술적 보호조치도 미비했다. 사용자 식별값을 암호화된 난수가 아닌 예측 가능한 순차적 정수로 설정하고, 내부 서버를 외부망에 무방비로 노출했다는 것이다. 5개월간 3370만회에 달하는 비정상적 데이터 조회 시도가 있었음에도 이를 전혀 감지하지 못한 관제 시스템의 부재도 문제로 지적됐다.
특히 이번 유출 정보에는 공동현관 비밀번호와 상세 주문 내역 등 민감한 정보가 포함됐다.
하희봉 대표변호사는 “내 집 문을 여는 비밀번호가 범죄자 손에 넘어간 것은 단순한 스팸 공해를 넘어 생존을 위협하는 공포”라며 “피해자들은 주거 침입, 스토킹 등 강력 범죄의 표적이 되었다는 불안감 속에 살아가고 있다”고 말했다.
그는 “이번 사건은 대한민국 역사상 단일 기업 최대 규모의 정보 유출 사고이자, 물리적 주거 안전을 위협하는 심각한 사안”이라며 “쿠팡의 무책임한 보안 관리 실태를 낱낱이 파헤치고 피해자들의 무너진 정보 인권을 바로 세울 것”이라고 강조했다.
로피드법률사무소는 쿠팡이 막대한 수익을 창출하면서도 비용 절감을 위해 필수적인 보안 투자를 외면한 행위는 고의에 준하는 중과실에 해당한다고 보고 있다.
이에 따라 개인정보 보호법 제39조 제3항에 따른 최대 한도인 손해액의 5배에 달하는 징벌적 손해배상 적용을 재판부에 요청했다.
또 또 쿠팡이 사고 인지 후에도 유출을 ‘노출’로 축소·은폐하려 시도하고, 복잡한 탈퇴 절차를 두어 피해자들의 권리 행사를 방해했다고 지적했다.
이번 소송 제기로 쿠팡의 개인정보 관리 실태와 사후 은폐 의혹에 대한 법적 공방이 본격화될 전망이다. 로피드법률사무소는 향후 재판 과정에서 정부 조사 결과 등을 토대로 쿠팡의 구체적인 위법 행위를 입증한다는 계획이다.
한편 쿠팡은 앞서 지난 25일 최근 개인정보 유출 사태와 관련, 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정해 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드디스크 드라이브를 모두 회수·확보했다고 밝혔다.
쿠팡 측은 “디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했고, 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”고 설명했다.
유출자의 진술과 사이버 보안 업체의 조사를 종합하면 유출자는 탈취한 보안 키를 사용하여 고객 계정 3300만개의 기본적인 정보에 접근했으나 이중 약 3천개 계정의 고객 정보만 저장했다.
여기에 이름, 이메일, 전화번호, 주소, 일부 주문정보, 2609개의 공동현관 출입 번호가 포함됐다. 결제정보, 로그인 관련 정보, 개인 통관번호에 대한 접근은 없었다.
유출자는 또 사태에 대한 언론보도를 접한 후 저장했던 정보를 모두 삭제했으며 고객 정보 중 제3자에게 전송된 데이터는 일절 없는 것으로 조사됐다.
