대한민국 국민 5,000만 명 중 경제활동인구 대다수에 해당하는 3,370만 명의 개인정보가 털렸다. 단순한 사고가 아니다. 미국 뉴욕 증시에 상장된 ‘혁신 기업’ 쿠팡에서 발생한, 대한민국 역사상 최대 규모의 개인정보 유출 참사다.

더욱 뼈아픈 사실은 사건의 내막이다. 해커들은 지난 6월 24일부터 무려 5개월간 제집 드나들듯 정보를 빼갔지만, 쿠팡은 11월 외부 신고를 받기 전까지 까맣게 모르고 있었다. 원인은 어이없게도 개발자가 남겨둔 ‘서명키(Signing Key)’ 방치였다. 이는 현관문 비밀번호를 대문에 적어둔 것과 다름없는 기초적인 보안 실패다. 심지어 쿠팡은 초기 공지에서 ‘유출’을 ‘노출’이라 표현하며 사태를 축소하려는 듯한 태도를 보여 국민적 공분을 샀다.

왜 이런 일이 반복되는가? 답은 명확하다. 대한민국에서 개인정보 유출은 기업에게 ‘망할 정도의 리스크’가 아니기 때문이다. 쿠팡의 정보보호 투자 비중은 2022년 7.1%에서 2025년 4.6%로 매년 뒷걸음질 쳤다. “보안에 돈을 쓰느니, 사고 터지면 과태료 내고 때우는 게 싸다”는 기업의 비틀린 셈법이 통하는 현행 법체계가 이 사태의 공범이다.

이제 국회와 정부는 더 이상 ‘검토’라는 핑계 뒤에 숨지 말고, 다음과 같은 강력한 3대 입법 과제를 즉각 처리해야 한다.

첫째, ‘솜방망이 처벌’을 끝낼 강력한 과징금 체계 개편이다. 현행 개인정보보호법은 과징금 상한을 ‘전체 매출액의 3%’로 규정하고 있으나, 실무적으로는 위반 행위와 관련된 매출로 좁게 해석하거나 각종 감경 사유를 적용해 실제 부과액은 미미한 수준에 그친다. 이번 기회에 유럽연합(EU)의 GDPR(일반개인정보보호법) 모델을 적극 도입해야 한다. 전 세계 매출액의 4%를 부과하는 EU처럼, 기업의 존립이 위태로울 정도의 천문학적 과징금을 물려야 한다. 그래야만 이사회와 경영진이 보안을 ‘비용’이 아닌 ‘생존 필수 요건’으로 인식할 것이다.

둘째, 실효성 있는 ‘징벌적 손해배상제’와 ‘집단소송제’의 전면 도입이다. 현재의 징벌적 손해배상제는 피해 입증의 어려움으로 인해 유명무실하다. 피해자가 아닌 기업이 ‘고의나 중과실이 없었음’을 증명하지 못하면 배상 책임을 지도록 ‘입증 책임’을 전면 전환해야 한다. 또한, 현행 3배인 배상액 한도를 미국식으로 대폭 상향 조정해야 한다. 아울러 일부 피해자가 승소하면 전체 피해자가 구제받는 ‘한국형 디스커버리 제도’와 포괄적 집단소송제를 도입해, 1인당 10만 원 남짓한 위자료로 면죄부를 주는 관행을 뿌리 뽑아야 한다.

셋째, 경영진에 대한 직접적인 형사 책임을 강화해야 한다. 대규모 유출 사고가 발생하면 실무자나 CISO(정보보호최고책임자) 선에서 꼬리를 자르는 관행을 끊어야 한다. 최고경영자(CEO)와 이사회가 보안 감사를 직접 챙기고, 중대 과실로 인한 사고 발생 시 경영진에게 해임 권고 및 형사 책임을 물을 수 있는 ‘중대재해처벌법’ 수준의 강력한 거버넌스 규제가 필요하다.

데이터는 4차 산업혁명의 원유(原油)지만, 관리가 소홀하면 화약고가 된다. 이번 쿠팡 사태는 우리 사회의 느슨한 보안 의식에 울리는 마지막 경고음이다. 국회는 좌고우면하지 말고 이번 정기국회 내에 ‘쿠팡 방지법’을 통과시켜야 한다. 국민의 정보 인권이 기업의 이윤보다 우선한다는 당연한 상식을 법으로 증명할 때다.