쿠팡 정보 유출, 미국선 '징역 25년' 한국은 '벌금 5천만원'

by김정민 기자
2025.12.04 09:10:00

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3300만건이 넘는 대규모 정보 유출 사고가 발생했다.

[이데일리 김정민 경제전문기자]대한민국에서 개인정보 유출은 여전히 ‘민간 차원에서 발생한 사고’일 뿐이다.

개인정보 유출 사고를 낸 기업은 물론 정보를 빼돌린 개인에 대한 형사 처벌 수위 또한 사실상 ‘경범죄’ 수준이다.

이름, 이메일, 집주소, 심지어 현관 비밀번호가 포함된 개인정보 수천만 건을 빼돌려도 개인정보보호법이 정한 최고형은 징역 5년, 벌금 5000만 원 이하다. 명예훼손이 최고 징역 7년 이하인데 비해 오히려 처벌 수위가 더 낮다.

2011년 제정한 개인정보보호법이 ‘데이터가 곧 국가안보’가 된 시대 변화를 따라가지 못한 탓이다.

‘쿠팡 3370만 고객 개인정보가 중국인 직원에 의해 중국으로 유출됐다’는 의혹은 사실 여부를 떠나 현행 한국 법체계가 가진 문제점을 극명하게 보여준다.

쿠팡은 미국 나스닥에 상장된 미국 기업이다.

만약 유사한 사건이 미국에서 발생했다면 단순한 개인정보 유출 사고가 아니라 국가안보 사건(National Security Breach)으로 분류된다.

미국은 고객 데이터 베이스(DB), 내부 알고리즘, 구매패턴과 같은 ‘데이터 자산’ 유출도 국가 경제와 안보를 동시에 위협하는 범죄로 보고 법무부 산하 국가안보국(National Security Division)이 수사에 관여한다.

유출자와 유출기업에 대한 처벌 수위 또한 높다. 미국은 1996년 ‘경제스파이법(EEA)’을 제정해 외국 정부·기업을 위한 기술·데이터를 빼돌린 행위에 대해 최대 25년형까지 선고할 수 있도록 했다.



나스닥 상장사인 쿠팡의 고객정보 유출은 연방거래위원회(FTC)의 제재를 받을 수 있고, 피해자들의 무더기 손해배상 소송을 감수해야 한다. 미국에서 3600만명 고객 정보 유출 사고가 벌어졌다면 유출자는 평생 옥살이를, 기업은 존속을 걱정해야 할 중범죄라는 얘기다.

반면 한국은 기술 레시피나 공정 데이터처럼 손에 잡히는 ‘제조기술’ 유출만 산업기술보호법으로 처벌할 수 있고, 개인정보·클라우드 데이터·가입자 정보 같은 ‘산업데이터’는 보호법 체계 밖에 놓여 있다.

정보 유출에 국가 차원의 개입이 있었다고 해도 형법 98조(간첩죄) 적용이 불가능하다. 간첩죄는 ‘적국을 위하여’라는 20세기식 개념에 묶여 있고, ‘적국’은 사실상 북한으로 한정돼 있어서다. 중국은 적국이 아니고, 유출된 정보가 군사기밀도 아니어서 간첩죄를 적용할 여지도, 방법도 없다.

3370만명의 개인 정보가 다른 나라 정부기관, 범죄단체, 경쟁 기업 등에 넘어가도 한국에서는 유출자에 대해 간첩죄, 산업스파이죄는 적용할 수 없다는 얘기다.

반면 세계 주요국은 산업기술과 산업데이터를 동일한 안보 자산으로 보고 같은 수준에서 유출자를 엄벌하고 있다. 미국 뿐 아니라 독일, 일본 등 많은 나라에서 대규모 데이터 유출을 ‘국가안보 침해’ 사건으로 다룬다.

지금처럼 개인정보 유출을 ‘기업의 관리 부실’로 인한 사고로만 바라본다면, 정부가 내놓을 수 있는 대책은 가해자이자 피해자이기도 한 기업에 대한 제재 강화 뿐이다. 개인정보를 빼돌린 행위자에 대한 엄정한 처벌 체계, 산업데이터를 국가 전략자산으로 보호하기 위한 법적 장치 마련은 요원해 질 수밖에 없다.

문단속을 게을리한 기업에 대한 제재만큼 중요한 것이 유출자에 대한 처벌 강화와 데이터 자산을 법의 보호 아래 두기 위한 제도적 기반을 만드는 일이다.

‘데이터 보호가 국가 안보’란 인식의 전환이 제2, 제3의 SK텔레콤, 쿠팡 정보 유출 사태를 막는 시작이다.