[디깅노트] ‘노출과 유출’ 쿠팡의 단어 선택서 드러난 법적 책임감

기사원문보기 ▼

[디깅노트] ‘노출과 유출’ 쿠팡의 단어 선택서 드러난 법적 책임감 - 넘버스

 

해킹 사고를 대응하는 쿠팡의 태도는 실망스럽다. 그것도 3370만명에 달하는 개인정보를 다루는 기업이 말이다.

“고객님의 소중한 개인정보가 일부 노출되는 사고가 발생했습니다”

지난달 30일 쿠팡이 고객들에게 발송한 사과 메시지다. 눈에 띄는 부분은 쿠팡이 이 사건을 개인정보 ‘유출’이 아닌 ‘노출’로 표현했다는 점이다. 민관합동조사단은 두 차례에 걸쳐 유출로 정정할 것을 요구했지만, 쿠팡은 한동안 노출이라는 단어를 고집했다.

이러한 단어 선택은 단순한 혼동이나 실수로만 보기 어렵다. 오히려 세심하게 계산된 쿠팡의 전략으로 읽힌다.

우선 사태의 심각성을 줄여 발표하고 싶었을 것이다. 두 단어가 풍기는 뉘앙스는 분명히 다르기 때문이다. 노출은 정보에 대한 쿠팡의 관리·통제권은 여전히 남아있지만, 유출은 관리·통제권을 벗어나 제3자가 정보의 내용을 알 수 있는 상태를 뜻한다. 즉 어떤 단어를 쓰냐에 따라 피해자가 느끼는 불안의 크기 역시 달라질 수밖에 없다. 

쿠팡이 유출 대신 노출이라는 표현을 마지막까지 고집했던 또 다른 이유는 관련법 조항에서 엿볼 수 있다. 노출이란 단어는 사실상 법적으로 별다른 의미가 없기 때문이다. 쿠팡과 같은 사례에서 과징금을 매기거나 손해배상 책임을 물리려 할 경우 적용될 수 있는 개인정보보호법 규정은 '유출'을 대상으로 삼고 있고, '노출'이란 구절은 등장하지 않는다. 표준 개인정보 보호지침 역시 유출의 의미만 정의하고 있을 뿐이다.

쿠팡으로서는 이번 사건을 유출이라고 쓰는 순간 스스로 법적 제재 대상이 될 수 있음을 자인하는 꼴일 수 있었다는 얘기다. 개인정보가 '유출'된 경우, 보호 조치를 제대로 했음을 입증하지 못하면 전체 매출액의 최대 3%까지 과징금이 부과될 수 있다. 여기에 고의 또는 과실이 없음을 입증하지 못하면 손해배상과 손해액의 5배까지 부과될 수 있는 징벌적 손해배상 책임도 따른다.

반면 '노출'이라고 하면 법적으로도 문제의 무게가 매우 가벼워진다. 개인정보보호법상 노출에 대해 언급하고 있는 대목은 한 조항 뿐이다. 그리고 이는 개인정보를 아예 공적 공간에 드러내지 않는 이상 위법으로 보지 않는다. 쿠팡이 실수로 고객 정보를 누구나 볼 수 있는 곳에 보이게 하지 않은 이상 제재를 받지 않을 수 있다는 뜻이다.

개인정보보호법상 노출에 대해 설명하는 조항은 제34조의2항이다. 이 조항은 개인정보처리자는 고유식별정보, 계좌정보, 신용카드정보 등 개인정보가 정보통신망을 통하여 공중(公衆)에 노출되지 않도록 해야 한다고 규정한다. 개인정보가 노출됐다면 개인정보처리자는 보호위원회나 전문기관의 요청에 따라 해당 정보를 삭제하거나 차단하는 등 필요한 조치를 해야 한다고만 명시하고 있다.

쿠팡은 법적 책임만은 피하고 싶었던 모양이다. 지금 쿠팡이 부담해야 할 과징금과 손해배상 규모는 수조원대까지 거론된다. 막대한 경제적 제재를 의식한 단어 선택이었을 가능성이 높다.

여기서 쿠팡이 문제를 다루는 태도를 엿볼 수 있다. 쿠팡은 노출이라는 단어를 사용해 책임의 무게를 줄이려 했다. 3370여만명의 개인정보가 위협받는 상황에서 고객 보호보다 법적 책임을 최소화하기 위해 계산기를 굴리고 있었던 것이다.

결국 태도의 문제다. 사람들이 분노하는 이유도 이 때문이다. 단어 뒤에 숨어 위기를 모면하려 한 쿠팡은 시장에서 신뢰를 잃기 마련이다. 쿠팡이 고객들을 잃지 않기 위해 필요한 것은 책임 있는 태도다. 숨지 말고 문제를 정면으로 마주하는 모습을 보여야 한다.

 

허지영 기자