美 에퀴팩스 8,000억 배상… 韓은 “입증하라”며 고작 10만 원
소송 없이 보상 美(옵트아웃) vs 변호사 써야 푼돈 韓(옵트인)
증거 강제 ‘디스커버리’ 부재… 피해자가 해킹 증명하는 아이러니
“미국이었으면 쿠팡은 문을 닫거나, 조 단위 배상금을 물어야 했을 겁니다. 한국이니까 ‘과태료 좀 내고 말지’라는 배짱 영업이 가능한 거죠.”
쿠팡에서 3,370만 건의 개인정보 유출 사태가 터졌지만, 정작 피해자들은 “내 정보가 털렸는지”조차 모른 채 지나갈 판이다.
이번 사태를 두고 법조계와 소비자 단체에서는 “한국은 IT 강국이지만, 소비자 권리 보호에 있어서는 후진국 수준”이라는 자조 섞인 비판이 나온다.
똑같은 개인정보 유출 사고가 발생했을 때, 미국·유럽의 소비자와 한국의 소비자가 받아드는 청구서의 무게는 왜 하늘과 땅 차이일까. ‘글로벌 호구’가 된 한국 소비자의 현실을 심층 분석했다.
미국은 ‘가만있어도’ 배상, 한국은 ‘싸워야’ 배상
가장 결정적인 차이는 ‘집단소송의 방식’에 있다. 미국은 ‘옵트아웃(Opt-out)’ 제도를 채택하고 있다. 피해자 중 한 명이라도 승소하면, 소송에 참여하지 않겠다는 의사를 밝히지 않은 모든 피해자가 자동으로 배상을 받는다.
만약 3,000만 명이 털렸다면, 3,000만 명분의 배상금이 책정된다. 기업 입장에서는 천문학적인 비용이 발생하기에 사활을 걸고 보안에 투자할 수밖에 없다.
반면, 한국은 일부 증권 분야를 제외하곤 일반적인 소비자 피해에 집단소송법이 적용되지 않는다.
설령 민사 소송을 하려 해도 ‘옵트인(Opt-in)’ 방식에 가깝다. 피해자가 일일이 변호사를 선임하고 소송에 참여해야만 구제받는다. 소송 비용과 시간은 수년이 걸리는데, 이기더라도 받을 돈은 고작 10~20만 원 수준이다.
결국 “변호사비가 더 든다”며 포기하는 대다수 국민의 권리는 공중분해 되고, 기업은 소수의 소송 참가자에게만 푼돈을 쥐여주면 상황이 종료된다. 이것이 한국 기업들이 보안 투자보다 사고 후 처리에 집중하는 ‘가성비’의 이유다.
8,000억 vs 10만 원… 목숨값의 차이
실제 사례를 비교해 보면 격차는 더욱 참담하다.
2017년 미국 신용평가사 에퀴팩스(Equifax)에서 1억 4,700만 명의 정보가 유출됐을 때, 미국 법원은 최대 7억 달러(약 8,000억 원)의 합의금을 이끌어냈다.
2019년 페이스북의 생체 정보 무단 수집 사건 당시 합의금은 6,500억 원이었다. 이는 징벌적 손해배상 제도가 있기에 가능했다.
반면 한국은 어떤가. 과거 홈플러스, 인터파크 등 대형 유출 사고 당시 법원이 인정한 위자료는 고작 10만 원에서 20만 원 선이었다.
그마저도 “실질적인 재산 피해가 입증되지 않았다”며 기각당하기 일쑤다. 한국 법원은 정신적 피해에 매우 인색하며, 징벌적 배상 개념이 없어 기업에 타격을 주지 못한다.
“네가 해킹당한 이유를 증명해라”… 기울어진 운동장
더 큰 문제는 ‘입증 책임’과 ‘증거 확보’다. 미국 ‘디스커버리(증거개시)’ 제도는 소송 시 서버 로그·이메일 등 내부 자료 제출이 의무이며, 은폐 시 패소로 간주된다.
하지만 한국은 피해자인 소비자가 기업의 과실을 입증해야 한다. 보안 전문가가 아닌 일반인이 거대 기업의 서버가 어떻게 뚫렸는지, 보안 시스템이 얼마나 허술했는지를 기술적으로 증명하는 건 불가능에 가깝다.
기업이 “우리는 최선을 다했다”며 자료를 감추면 소비자는 속수무책으로 당할 수밖에 없는 구조다.
“제2의 쿠팡 사태, 법 안 바뀌면 또 터진다”
이번 쿠팡 사태는 단순한 사고가 아니다. 3,000만 명이 넘는 국민의 정보가 털렸지만, 현행법상 쿠팡이 짊어져야 할 법적 리스크는 기업 규모에 비하면 ‘새 발의 피’ 수준이다.
전문가들은 “한국만 유독 기업 하기 좋은 나라가 아니라, ‘기업이 사고 쳐도 수습하기 좋은 나라’가 됐다”고 꼬집는다
옵트아웃 형태의 집단소송법과 징벌적 손해배상, 그리고 디스커버리 제도가 도입되지 않는 한, 한국인의 개인정보는 앞으로도 기업들의 ‘값싼 공공재’ 취급을 면치 못할 것이다.
이유야 어찌됐건 기업이 국민을 존중하지 않는다면 그 만한댓가를 치뤄야 한다.