쿠팡 개인정보 유출 사태: 유사 사건 발생 시 베트남 법률은 소비자를 어떻게 보호하나

쿠팡 개인정보 유출 사태: 유사 사건 발생 시 베트남 법률은 소비자를 어떻게 보호하나

SVO – 한국의 ‘아마존’으로 불리는 쿠팡(Coupang)에서 발생한 대규모 개인정보 유출 사건은 전자상거래 플랫폼의 책임 문제를 둘러싼 중대한 논쟁을 촉발시키고 있다. 만약 이와 유사한 사건이 베트남에서 발생한다면, 기업이 일방적으로 바우처로 보상하거나 내부 직원의 책임으로 돌려 법적 책임을 회피할 수 있을까.

한국 최대 전자상거래 플랫폼인 쿠팡은 최근 3,370만 명에 달하는 고객 개인정보가 유출되면서 전례 없는 사회적 공분에 직면했다. 이는 한국 전체 인구의 약 3분의 2에 해당하는 규모다. 유출된 정보에는 이름, 전화번호, 주소, 이메일뿐만 아니라 일부 주문 이력까지 포함된 것으로 알려졌다.

쿠팡 측은 결제 정보와 비밀번호는 안전하다고 밝혔으나, 전문가들은 실제 위험이 훨씬 심각하다고 경고한다. 범죄자는 구매 이력을 분석해 피해자의 생활상을 구체적으로 추정할 수 있다. 예를 들어 기저귀를 구매한 기록은 영유아 양육 가정을, 특정 질환 치료제를 구매한 기록은 건강 상태를 추론하는 데 활용될 수 있다. 이를 기반으로 정교한 ‘맞춤형 피싱(Targeted Phishing)’ 범죄가 가능하다는 것이다. 특히 이번 사건의 원인이 외부 해커가 아닌, 전직 직원이 보안 키를 탈취해 불법 접근한 내부 요인이라는 점에서 충격을 더하고 있다.

위기 수습을 위해 쿠팡은 총 1조 6,000억 원 규모의 보상 계획을 발표했다. 그러나 고객 1인당 지급되는 보상은 5만 원 상당의 바우처에 불과하며, 해당 바우처는 음식 배달, 여행, 명품 쇼핑 등 여러 서비스로 분할돼 사용 조건이 까다롭다. 한국 소비자들은 이를 ‘진정성 없는 소비 유도책’으로 받아들이며, 피해자에게 쿠팡 생태계 내 추가 소비를 강요하는 방식이라고 강하게 비판하고 있다.

이와 관련해 베트남 「티엔퐁(Tiền Phong)」 산하 ‘베트남 학생 전문면’과의 인터뷰에서 팜 반 아인(Phạm Văn Anh) 변호사(리엔푹 법률회사)는 베트남에서 유사 사건이 발생할 경우 적용될 법적 책임 구조에 대해 분석했다.

기업은 소비자에게 바우처 보상을 강요할 수 없다

베트남 기업이 쿠팡처럼 일방적으로 바우처 보상을 결정할 수 있는지에 대한 질문에 대해, 팜 반 아인 변호사는 “베트남 법률은 기업에 그러한 권한을 부여하지 않는다”고 명확히 밝혔다.

그는 개인정보 유출로 인한 피해는 「2015년 민법」 제38조에 규정된 사생활 및 인격권 침해에 해당한다고 설명했다. 또한 제585조에 따르면 손해배상의 방식(금전, 현물, 또는 특정 행위의 이행)은 당사자 간 합의에 따라 결정되어야 하며, 합의가 이루어지지 않을 경우 법원이 판단한다.

“소비자는 바우처 보상을 거부할 권리가 있으며, 「2023년 소비자 권익 보호법」에 따라 금전 배상은 물론 개인정보 유출로 인한 정신적 손해에 대해서도 배상을 요구할 수 있다”고 변호사는 강조했다.

“직원 과실”을 이유로 기업 책임을 회피할 수 없다

쿠팡 사건은 내부 인력에 의해 발생했다는 점에서, 베트남 기업들이 흔히 사용하는 ‘직원 개인의 일탈’ 논리가 적용될 수 있는지에 대한 논의도 이어졌다. 이에 대해 변호사는 「2023년 소비자 권익 보호법」 제23조, 제24조에 따라 정보 유출의 원인이 누구든 기업은 책임을 져야 한다고 설명했다.

특히 「2015년 민법」 제597조는 법인이 업무 수행 과정에서 발생한 직원의 행위로 인한 손해에 대해 배상 책임을 진다고 명시하고 있다.

팜 반 아인 변호사는 “직원 또는 전직 직원은 과거 합법적인 접근 권한을 부여받았으며, 근본적인 원인은 기업이 접근 권한을 적절히 회수·관리하지 못한 데 있다”며 “기업은 우선 소비자에게 배상한 후, 내부적으로 해당 직원에게 구상권을 행사할 수 있을 뿐 책임을 전가할 수는 없다”고 분석했다.

‘구매 이력’ 유출이 초래하는 법적 위험

이번 사건에서 가장 논란이 된 부분은 ‘주문·구매 이력’의 유출이다. 베트남 법률(2023년 개인정보 보호 관련 법령 및 시행령 13/2023)은 구매 이력을 명시적으로 민감정보로 규정하고 있지는 않지만, 위험 수준에 따라 보호 대상이 된다고 변호사는 설명했다.

구매 이력이 이름, 주소 등 식별 정보와 결합되어 건강 상태나 가족 상황을 추정하는 데 사용될 경우, 이는 사생활 침해로 간주되며 민감정보에 준하는 법적 책임이 발생할 수 있다.

다만 실제 소송에서 소비자가 전자상거래 플랫폼을 상대로 승소하기 위해서는 보안 위반 행위, 실제 손해 발생, 인과관계, 플랫폼의 과실이라는 네 가지 요소를 입증해야 하며, 이는 현실적으로 상당한 장벽이 될 수 있다고 덧붙였다.

베트남에서도 집단 소송이 가능한가

쿠팡처럼 수백만 명의 피해자가 발생한 경우, 해외에서는 집단소송(Class Action)이 활용된다. 베트남에는 별도의 집단소송 제도는 없지만, 다수의 소비자가 동일한 피고를 상대로 공동 원고로 민사 소송을 제기하는 것은 가능하다.

또한 소비자들은 국가경쟁위원회에 집단 민원을 제기할 수 있으며, 사회적 위험성이 큰 사건의 경우 사이버범죄수사국(A05·공안부)에 형사 고발을 통해 수사를 요청할 수도 있다.

이번 쿠팡 개인정보 유출 사건은 디지털 플랫폼이 방대한 개인정보를 수집하는 시대에 베트남 소비자들에게도 중요한 경고가 되고 있다. 해킹이든 내부 직원의 과실이든, 소비자는 바우처 보상을 거부하고 개인정보 보호와 정당한 배상을 요구할 권리가 있음을 명확히 인식할 필요가 있다.

레 부엉(Lê Vượng)
(취재·정리)