Written by. Lawkit 기업자문본부 김용범 변호사

대한민국 국민 2명 중 1명이 쓴다는 쿠팡. "오늘 시키면 내일 도착"하는 혁신은 우리의 삶을 바꿨습니다. 하지만 그 편리함의 이면에는 '방대한 개인정보'라는 시한폭탄이 깔려 있습니다.

주문 목록, 주소, 현관 비밀번호, 심지어 생체 정보(결제)까지. 이 모든 데이터가 모여 있는 서버는 해커들에게 '가장 털고 싶은 보물창고'입니다.

실제로 쿠팡은 과거 앱 업데이트 오류로 다른 사람의 주소와 이름이 노출되는 사고를 겪었고, 최근에는 중국발 해킹 시도로 수십만 건의 계정 도용 의심 사례가 발생하기도 했습니다.

남의 일이 아닙니다. 회원이 1만 명만 넘어도, 대표님 회사는 해커의 타깃입니다. 오늘은 쿠팡 사례를 통해 배우는 플랫폼 개인정보 보호의 3가지 급소를 짚어봅니다.

🔍 Scene 1. "다른 사람 이름이 왜 제 앱에 뜨죠?" (개발자의 실수)

상황: 2021년, 쿠팡 앱에서 일부 회원들의 배송지 정보에 생면부지의 다른 사람 이름과 주소가 노출되는 사고가 터졌습니다. 원인은 '앱 업데이트 과정의 로직 오류'. 개발자가 코드를 수정하면서 회원 DB를 호출하는 변수를 잘못 설정해 데이터가 꼬인 것입니다.

[변호사's Deep Dive 📝] 해킹만이 유출이 아닙니다. '내부의 실수(Human Error)'도 법적으로는 명백한 개인정보 유출입니다.

Risk: 법원은 "기술적 보호 조치 미흡"을 매우 엄격하게 봅니다. 테스트 서버에서 충분히 검증하지 않고 라이브 서버에 배포했다가 사고가 나면, 이는 '과실'이 아니라 '안전조치 의무 위반'이 됩니다.

Lawkit의 솔루션: 개발팀에게만 맡기면 안 됩니다. 개인정보 영향평가(PIA)를 통해, "이 업데이트가 개인정보 처리에 어떤 영향을 미치는가"를 사전에 법률적으로 검토하는 절차(Process)를 심어야 합니다.

🔍 Scene 2. "주문한 적 없는데 결제 문자가 왔어요" (크리덴셜 스터핑)

상황: 어느 날 갑자기 수십만 원짜리 전자제품이 결제되었다는 알림이 뜹니다. 알고 보니 해커가 다른 사이트에서 유출된 아이디/비번을 쿠팡에 무작위로 대입해(Credential Stuffing) 로그인을 뚫고 결제한 것입니다. 회사는 "우리 서버가 털린 건 아니다"라고 항변합니다.

[변호사's Deep Dive 📝] 해커가 내 비밀번호를 알고 들어왔으니 회사 책임이 없을까요? 아닙니다. 법은 [비정상적인 접근 탐지 및 차단 시스템]을 갖췄는지를 묻습니다.

Risk: 평소 서울에서 접속하던 유저가 1분 뒤 중국 IP로 접속해 고액 결제를 시도했다면? 이를 차단하지 못한 것은 회사의 '모니터링 의무 소홀'입니다.

Lawkit의 솔루션: [FDS(이상거래 탐지 시스템)] 도입은 선택이 아닌 필수입니다. 그리고 약관에 "비정상 접근 의심 시 계정을 임시 동결할 수 있다"는 근거 조항을 마련해, 선제적으로 방어할 권한을 확보해야 합니다.

🔍 Scene 3. "과징금이 40억? 회사가 망하는데요?" (개정된 법의 공포)

상황: 만약 이런 사고가 우리 스타트업에서 터졌다면 어떨까요? 과거에는 과징금이 '관련 매출액의 3%'였습니다. 하지만 법이 개정되어 이제는 [전체 매출액의 3% 이하]로 때릴 수 있습니다. 연 매출 100억 회사라면 최대 3억 원. 영업이익을 고스란히 헌납해야 합니다.

[변호사's Deep Dive 📝] 개인정보보호위원회는 이제 '솜방망이 처벌'을 하지 않습니다.

Fact: 최근 골프존, 카카오 등 대기업들도 수십억 원대 과징금 철퇴를 맞았습니다.

Defense: 유일한 감경 사유는 "우리는 법이 정한 모든 조치를 다 했으나, 불가항력적으로 뚫렸다"는 것을 입증하는 것뿐입니다. 그 증거는 ISMS 인증, 암호화 기록, 접속기록 보관(1년 이상) 등의 로그(Log)입니다.

🛡️ 보안은 '비용'이 아니라 '생존'입니다

"우린 아직 작으니까 해커가 안 오겠지?" 천만의 말씀입니다. 해커들은 보안이 허술한 중소형 쇼핑몰과 스타트업을 '숙주'로 삼아 개인정보를 빼낸 뒤, 이를 대형 사이트 공격의 재료로 씁니다.

Lawkit(로킷)은 보안 사고의 '법적 방화벽'을 세웁니다. AI는 취약점을 스캔하지만, Lawkit의 전문가는 "대표님, 지금 회원가입 시 수집하는 '주소'와 '생일'은 서비스 필수 항목이 아닙니다. 과도한 수집은 유출 시 책임만 키우니 수집 최소화 원칙에 따라 항목을 줄이십시오"라는 데이터 다이어트를 처방합니다.

가진 데이터가 적으면, 걱정도 줄어듭니다.

✅ 체크리스트: 제2의 쿠팡 사태를 막는 조건

개발팀장님과 이 3가지를 점검하세요.

[변호사의 필수 체크리스트 📌]

☐ 접근 통제: 관리자 페이지에 접속할 때 ID/PW 외에 OTP(2차 인증)를 쓰고 있는가? (가장 기본이자 필수)

☐ 이상 탐지: 동일 IP에서 반복적인 로그인 실패나 대량 접속 시도 시 자동 차단(CAPTCHA 등) 기능이 있는가?

☐ 데이터 분리: 개발용 테스트 서버에 '실제 고객 데이터'를 그대로 쓰고 있지는 않은가? (가명 처리 필수)

[Next Step]

"이미 유출 사고가 터진 것 같습니다. 어떻게 하죠?" 가장 먼저 할 일은 서버 랜선을 뽑는 게 아니라, [법률 전문가와 함께 신고 시점과 문구를 정하는 것]입니다. 섣불리 "죄송합니다"라고 공지했다가, 그 문구가 나중에 집단소송의 자백 증거로 쓰일 수 있습니다.

사고 발생 직후 24시간, 회사의 운명을 가르는 골든타임. Lawkit 긴급 대응팀이 함께합니다.

👉 [상담 문의하기]

개인정보 유출 사고 긴급 대응 및 모의 훈련의 자문이 필요하시다면 언제든 문의해 주세요. 초기 상담은 무료로 진행됩니다.

📞 전화: [010-9731-5886] 📧 이메일: [chsong@ohkimslaw.com] 🌐 홈페이지: [https://www.lawkit.kr/]

(법적 고지) ※ 본 게시글은 일반적인 법률 정보 제공을 목적으로 작성되었으며, 특정 개인이나 사건에 대한 법률 자문(Legal Advice)이 아님을 밝힙니다.