[뉴스토마토 박효선 기자] 미국뿐 아니라 한국 회원들의 주소·전화번호·이메일 등 개인정보를 해킹 당한 맥도날드가 집단소송 위기에 직면했다. 개인정보를 도용당한 피해자들은 미국 연방법원에 맥도날드 본사를 상대로 손해배상 소송을 청구할 전망이다.
위더피플 법률사무소는 ‘맥도날드 고객 개인정보 유출 사건’ 관련 소송단을 모집하고 이들을 대리해 손해배상 청구 소송에 나설 예정이라고 2일 밝혔다. 현재까지 1명의 피해자가 소송 참여의사를 밝히고 절차를 밟고 있다.
미국에서는 원고가 1명 이상 소수만 구성돼도 집단 소송으로 손해배상을 청구할 수 있다. 집단소송이 증권소송에 제한되고 원고가 50명 이상 돼야 하는 한국과 달리 미국에서는 기업을 상대로 한 손해배상 소송도 집단소송으로 낼 수 있다. 폭스바겐 디젤차 배기가스 조작 관련 손해배상 청구 소송이 대표적 사례다. 집단소송이 수월한 미국과 독일에서는 배상이 이뤄진 반면 한국 소비자들은 배상을 받지 못했다.
위더피플은 소장을 한국법원이 아닌 미국 일리노이주 쿡카운티 법원에 제출할 계획이다. 개인정보 유출에 대한 관리·감독 및 이에 대한 과실 책임이 맥도날드 미국 본사에 있고, 관련 증거도 대부분 미국 본사에 있다 보니 국내법원이 외국계 기업 과실여부를 판단하기가 현실적으로 어렵다는 시각에서다.
손해배상 규모는 소송 참여 의사를 밝힌 이가 제출한 증거자료를 취합해 산정했다. 배상 청구 범위는 맥도날드 본사의 고객 관련 데이터 보안 미흡, 고유식별 정보 보호 실패 및 적시 통보 실패, 중요 정보 누락 등의 혐의로 인해 고객에게 끼친 직·간접 피해를 모두 포함한다.
위더피플 관계자는 “국내에서는 최근 개인정보 유출에 따른 인터파크 1인당 10만원을 배상하라는 판례가 나왔는데 이 소송(맥도날드 개인정보 해킹 유출 소송)은 인터파크 소송과는 유형이 다르다”며 “소송 자체가 미국에서 진행되는데다 유형도 다르다 보니 배상 규모가 달라질 수 있고, 내부에서 손해배상 감정 전문가를 통해 배상 규모를 산정한 상태인데 이를 법원 재판 진행 전까지는 공개할 수 없다”고 설명했다.
피해자들 개인정보는 러시아·우크라이나 등 해외로 흘러 들어간 것으로 파악됐다. 피해자들은 정신적 충격과 함께 자신의 이메일 패스워드를 바꾸고, 해외 사이트에 가입된 아이디를 일일이 해제해야하는 등 피해를 입었다.
위더피플은 “이번 맥도날드 집단소송의 피해자들은 맥도날드사로부터 개인 정보 유출 피해 통지를 개별적으로 받은 맥딜리버리 서비스 이용 고객들”이라며 “맥도날드는 관리자로서 ‘신의 성실’ 원칙에 따라 고객 개인정보를 안전하게 관리하고, 수집한 정보 보관 관리에 대한 충분한 주의 의무를 다해야 하는 포괄적인 관리 및 감독 책임이 있음에도 불법적인 외부 접근이 발생했다”고 지적했다.
또 “이로 인해 개인정보가 유출된 고객들은 피싱 위험을 비롯해 신분도용 위험에 직면하게 됐고, 일부 고객에게는 이미 다양한 실제 피해가 현실화되고 있다”고 했다. 위더피플은 공익적 차원에서 소송비용을 받지 않고 이번 소송을 진행하기로 했다.
지난 6월 미국 현지 보도에 따르면 맥도날드는 내부 보안 시스템 관련 불법 행위를 조사한 결과 맥딜리버리 서비스 한국 회원, 직원 등의 데이터가 유출된 사실을 지난 4월 알게 됐다. 다만 맥도날드는 해킹 피해를 본 고객이 모두 몇 명인지 등을 구체적으로 공개하지 않았다.
한국 맥도날드에서는 배달 고객의 이메일·전화번호·주소 등의 데이터가 유출된 것으로 조사됐다. 이후 한국맥도날드는 홈페이지를 통해 "맥딜리버리 서비스(MDS) 고객 중 일부 개인정보가 포함된 파일에 불법적인 외부 접근이 발생한 사실을 맥도날드 본사로부터 전달 받았다"고 공지했다.
이어 "해당 파일은 3개의(고객 이메일·배달 주소·연락처) 개인정보만을 포함하고 있으며, 결제 정보와 비밀번호는 포함하고 있지 않다"며 "맥도날드는 글로벌 차원에서 불법적인 접근 사실을 인지한 즉시 2차 피해와 재발 방지를 위해 시스템의 취약점 점검과 보완 조치를 완료했다"고 강조했다.
그러면서 "관련 고객(개인정보 유출 피해 고객)에게는 개별적으로 안내를 드릴 예정"이라며 개인정보 침해 여부를 확인할 수 있는 사이트를 열어뒀다.
그러나 맥도날드 측이 개인정보 유출 관련 안내 팝업창을 내리면서 고객은 자신의 정보 침해 여부를 확인할 수 없다. 해킹 규모도 밝히지 않았다. 미국 본사에서 해킹 당한 사실을 확인한지 4개월여가 지났지만 피해 규모를 아직도 공개하지 않는 것이다.
한국맥도날드 관계자는 “KISA(한국인터넷진흥원)에 신고를 했고, 거기에서(KISA) 조사가 진행 중인 것으로 안다”고 말했다. 집단소송에 대해서는 “현재로선 말할 수 있는 게 없다”고 했다.
앤토니 마티네즈 한국맥도날드 대표. 사진/뉴시스
박효선 기자 twinseven@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지