국회 청문회에서 쿠팡 측 임시대표는 개인정보 유출 보상안을 설명하며 “미국법에 저촉되지 않는다”는 취지로 선을 그었습니다. 이 말이 왜 사람들을 더 화나게 했는지부터 짚고 싶습니다. 지금 논점은 ‘미국법 퀴즈’가 아닙니다. 개인정보 유출은 기업이 돈을 받고 맡아둔 신뢰, 즉 개인정보 보호 의무를 깨뜨린 계약 위반이고, 그 결과로 위험을 소비자에게 떠넘긴 사건입니다. 그런데 “법적으로 문제 없다”로 출발하면 결국 들리는 메시지는 하나입니다. 피해가 남아도 회사는 최소 비용으로 끝내겠다는 뜻처럼 보인다는 겁니다.

여기서 쿠폰 보상은 특히 최악의 형태가 되기 쉽습니다. 보상이라고 말하지만 실제 구조는 고객을 다시 결제하게 만들고, 다시 앱을 열게 만들고, 다시 플랫폼 안으로 묶어두는 방향으로 설계되기 때문입니다. 유출은 이미 벌어졌고, 그 이후 위험은 ‘끝나는 게 아니라 시작’인데, 쿠폰은 시간이 지나면 사라지고 조건이 붙을수록 체감 가치가 떨어집니다. 피해를 회복하는 게 아니라 피해를 매출로 바꾸는 느낌이 드는 순간, 사람들은 분노합니다. 정서 문제가 아니라 합리적인 의심입니다. 내 정보는 한 번 새면 회수가 안 되고, 그 정보는 몇 달 뒤든 몇 년 뒤든 다시 유통되며 2차·3차 피해로 돌아올 수 있기 때문입니다.

미국이 쿠폰을 유난히 의심하는 이유도 같은 방향입니다. 미국의 집단소송공정화법(CAFA)은 쿠폰이 포함된 합의를 그냥 넘어가지 않고 법원이 공정·합리·충분한지 심사하도록 구조를 걸어둔 조문이 있습니다(28 U.S.C. §1712). 핵심은 “쿠폰 줬으니 끝”이 아니라, 그 쿠폰이 실제로 피해자에게 의미 있는 회복인지, 사용 제약이나 만료 같은 장치로 회사만 이익 보는 구조는 아닌지까지 들여다보게 만든다는 점입니다. 그래서 미국식 기준에서 쿠폰은 있더라도 배상의 중심이 아니라 보조적이어야 설득력이 생깁니다. 배상은 결국 현금성 회복과 실질적 구제에 가까워야 하고, 쿠폰은 그걸 대체하는 순간부터 ‘보상’이 아니라 ‘마케팅’이 됩니다.

또 미국에는 불공정·기만적 관행을 금지하는 FTC Act Section 5(15 U.S.C. §45) 같은 축도 있습니다. 개인정보·보안 사고에서 소비자를 혼란시키는 방식의 안내나 처리, “위로금”이라 말해놓고 사실상 재가입·재결제를 유도하는 형태의 커뮤니케이션은 공격 포인트가 됩니다. 그래서 “미국법 위반 아니다”는 말은 미국 현실의 가장 유리한 조각만 떼어 말하는 수준에 머물 가능성이 큽니다. 미국은 애초에 쿠폰으로 때우는 구제 구조가 나오면 법원과 규제기관이 그 실효성을 건드릴 여지가 많기 때문입니다.

미국에서 실제로 기업이 부담한 사례들이 자주 거론되는 이유도 “미국이 더 착해서”가 아니라, 사고가 나면 기업이 체감하는 비용이 커지도록 시장 규율이 작동하기 때문입니다. Equifax 사건은 FTC·CFPB·주정부가 참여한 글로벌 합의로 최소 5억7500만 달러(최대 7억 달러) 규모의 구제 재원을 마련했습니다. T-Mobile도 2021년 유출 이후 대규모 합의금과 보안 투자 약속 형태로 정리됐고, 법원 승인 절차를 거칩니다. 이 숫자를 그대로 한국에 대입하자는 얘기가 아닙니다. 글로벌 기업이라면 적어도 “피해자의 실익(현금·비용보전·장기 위험 대응)”을 중심에 놓도록 강제하는 장치가 필요하다는 뜻입니다.

그럼 한국은 정말 미미하기만 하냐 하면, 꼭 그렇지도 않습니다. 한국 개인정보보호법에는 손해배상 책임의 기본 틀이 있고, 기업이 고의·과실이 없음을 입증하지 못하면 책임을 면하기 어렵게 설계돼 있습니다(제39조). 고의 또는 중대한 과실로 유출이 발생해 손해가 생긴 경우, 손해액의 5배 이내에서 배상액을 정할 수 있는 징벌적 배상 규정도 존재합니다(제39조). 피해액 산정이 어렵다는 현실을 반영해 법정손해배상 취지도 마련돼 있습니다(제39조의2). 즉 “법이 없다”가 아니라 “피해자가 각개전투로 소송을 밀어붙여야 움직이는 구조”가 문제입니다. 유출은 대규모로 벌어지는데 구제는 개인이 입증 전쟁을 치르게 만들면, 기업은 시간을 벌고 피해자는 지치고 결국 쿠폰 한 장이 표준처럼 굳어버립니다.

그래서 배상을 요구하는 건 욕심이 아니라 계약의 최소선입니다. 고객은 돈을 내고 서비스를 쓰는 대신 기업이 정보를 안전하게 지키리라 믿고 거래합니다. 그 의무가 깨져서 위험이 사용자에게 넘어갔다면, 보상은 선의가 아니라 채무 이행, 즉 계약의 사후정산이어야 합니다. 개인정보는 한 번 유출되면 회수가 불가능합니다. 오늘 당장 피해가 확정되지 않았다고 위험이 없는 게 아닙니다. 그렇다면 배상의 중심은 조건부 쿠폰이 아니라 현금과 실질적 보호조치가 되어야 합니다.

여기서 판을 바꾸는 해법이 ‘현금 선배상·후구상’입니다. 유출이 일정 규모를 넘기면 기업은 즉시 현금성 재원(예치금·기금)을 의무적으로 적립하도록 하고, 국가는 피해자에게 먼저 지급합니다. 그리고 이후 기업에 구상권으로 받아냅니다. 핵심은 기업이 버티거나 지연할수록 손해가 커지게 만들어 “시간 끌기”를 이익이 아닌 손해로 바꾸는 겁니다. 선지급을 이행하지 않으면 법정 지연이자에 더해 은행 이자 수준 이상의 가산이자를 붙이고, 고의적 지연이나 회피가 확인되면 가압류 같은 보전처분이 쉽게 활용되도록 안전장치를 마련해야 합니다. 그래야 “버티면 이긴다”가 아니라 “버티면 더 망한다”로 룰이 바뀌고, 기업은 보안 투자와 책임 있는 대응을 선택할 수밖에 없습니다.

정당한 배상을 요구하는 건 이기적인 욕심이 아닙니다. 최소한의 권리입니다. 그리고 그 권리가 ‘소송 체력’에 따라 좌우되지 않도록, 사회가 책임지게 만드는 방식이 선배상·후구상 구조입니다. 법과 국가가 개입해 이 판을 바로잡아야 하는 이유가 여기에 있습니다.