목록으로
공지사항 고정글

[FAQ] 쿠팡 개인정보 유출 손해배상소송 자주 묻는 질문

admin 2025년 12월 15일 18:17
13

자주 묻는 질문 (FAQ)

Q1.쿠팡 상대 손해배상소송 승소가능성이 있나요?

「개인정보 보호법」 제29조에 따르면 쿠팡과 같은 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획의 수립, 접속통제장치의 설치, 고유식별정보 등의 암호화, 보안프로그램의 설치 등 기술적·관리적 및 물리적 조치를 하여야 할 법적 의무가 있습니다. 쿠팡은 대한민국 최대 규모의 전자상거래 플랫폼을 운영하는 사업자로서, 그 지위에 걸맞은 최고 수준의 보안 시스템을 구축하여 판매자들의 개인정보를 안전하게 보호해야 할 고도의 주의의무를 부담합니다.

쿠팡은 2025년 11월경, 약 3,370만 명에 달하는 고객의 이름, 이메일, 주소, 전화번호, 주문정보 등 개인정보가 유출되는 사고가 발생하였다고 밝혔습니다. 이는 사실상 쿠팡의 전 고객 정보가 유출된 것과 다름없는 전례 없는 규모입니다.

언론 보도에 따르면, 이번 유출 사고는 쿠팡의 '인증 시스템 개발자'였던 직원이 퇴사한 이후에도, 피고가 해당 직원의 접근권한(인증키)을 회수하거나 말소하는 등 기본적인 보안 조치를 이행하지 않고 방치한 것이 원인이었습니다. 퇴사한 직원은 회수되지 않은 인증키를 악용하여 정상적인 로그인 절차 없이 쿠팡의 서버에 접속하여 원고를 포함한 수많은 고객의 개인정보를 탈취하였습니다.

쿠팡은 2025년 6월경부터 개인정보 유출이 시작되었음에도 불구하고, 약 5개월간 해당 사실을 전혀 인지하지 못하다가 외부의 협박 메일 등을 통해 뒤늦게 사태를 파악하는 등 개인정보 유출에 대한 비정상적인 접근을 탐지·차단하지 못하여 피해를 더욱 확산시켰습니다. 이로 인해 고객들은 보이스피싱, 스팸, 사기 범죄 등 2차 피해에 노출될 수 있다는 불안감에 시달리고 있으며, 자신의 개인정보가 타인에게 알려지고 악용될 수 있다는 사실 자체만으로도 심각한 정신적 고통을 겪고 있습니다.

쿠팡의 개인정보 유출 사고는 쿠팡이 「개인정보 보호법」 제29조를 위반해 발생했으므로, 쿠팡은 「개인정보 보호법」 제39조에 따라 자신에게 고의 또는 과실이 없음을 입증하지 아니하면 손해배상책임을 면할 수 없습니다.

향후 재판 및 수사결과를 지켜봐야겠지만, 지금까지 밝혀진 사실관계에 비추어 쿠팡의 개인정보 유출은 쿠팡의 과실에 의한 것이 분명해 보이므로 승소가능성은 상당하다고 판단합니다.

Q2.위자료는 얼마나 받을 수 있나요?

기존에 대법원은 개인정보 유출로 인한 위자료 액수를 산정함에 있어 유출된 개인정보의 종류와 성격, 유출 경위 및 규모, 유출로 인한 피해 확산을 방지하기 위해 취해진 조치 등 여러 사정을 종합적으로 고려해야 한다고 판시하고 있습니다. 그에 따라 법원은 개인정보 유출로 개인정보 자기결정권이 침해되었다는 사정만으로 정신적 손해가 인정되는 것은 아니나, 유출된 정보가 제3자에게 열람될 가능성이 매우 크고 이를 통해 2차 범죄의 표적이 될 가능성을 배제할 수 없는 경우, 사회통념상 정신적 손해가 현실적으로 발생하였다고 보고 있고 위자료를 10~20만원 수준에서 인정해 왔습니다.

그러나 이 사건의 경우 쿠팡은 반성 없는 무책임한 사후 대응, 거대 플랫폼 기업의 가중된 사회적 책임 방기, 반복되는 사고 근절을 위한 예방적·제재적 기능의 강화 필요​, 징벌적 손해배상 제도의 입법 취지 등을 참작하면 지금까지와 달리 30만원 이상의 위자료가 인정되어야 한다고 판단합니다.

Q3.쿠팡에 징벌적 손해배상을 받을 수 있나요?

현재 대한민국 법체계는 실제 손해의 배상을 원칙으로 하므로, 원칙적으로 징벌적 손해배상 제도는 인정되지 않습니다. 그러나 2011년 「하도급거래 공정화에 관한 법률」을 시작으로, 악의적인 불법행위를 억제하고 피해자를 실질적으로 구제하기 위해 개별 법률에서 예외적으로 손해액의 3배에서 5배에 이르는 징벌적 손해배상 제도를 도입하는 추세입니다.

징벌적 손해배상 제도는 악의적이고 반사회적인 위법행위를 예방하고, 피해자에게 발생한 손해를 실질적으로 전보하기 위한 제도로서 의미가 있습니다. 우리 법제는 민법의 전보배상 원칙을 유지하면서도, 사회·경제적 파급효과가 크거나 비난 가능성이 높은 특정 분야에 한해 징벌적 손해배상 제도를 선택적으로 도입하여 그 적용 범위를 확대해나가고 있습니다.

현재까지 검색된 판례 중 개인정보 보호법 제39조 제3항에 따른 징벌적 손해배상이 명시적으로 인정된 사례는 확인하기 어렵습니다. 법원은 개인정보처리자의 행위가 단순 과실을 넘어 '고의 또는 중대한 과실'에 해당한다는 점이 명확히 입증될 것을 요구하며, 이 요건을 매우 엄격하게 해석하는 경향이 있습니다.

이번 소송이 향후 징벌적 손해배상의 실효성을 높이는 계기가 될 것으로 기대합니다.