미국으로 불 옮겨붙는 쿠팡 고객정보 유출 사태…징벌적배상 올가미 걸릴까 | 박정문 변호사
본문
쿠팡 개인정보유출 사태가 걷잡을 수 없을 정도로 확대되고 있으며, 최근에는 미국 본사로까지 소송전이 확대되는 모습입니다. 쿠팡 입장에서는 징벌적손해배상이 가능한 미국에서 소송이 벌어질 경우 부담이 더욱 가중될 것으로 보이고, 소송 과정에서 합의로 마무리 될 가능성도 점쳐지고 있습니다.
쿠팡 미국 소송의 실효성에 대해서는 긍정적인 시각도 존재하지만 회의적인 시각도 제기됩니다. 소송 당사자인 피해자가 받을 배상액이 기대에 못 미칠 수 있어서인데요.
법무법인 일로 박정문 대표변호사는 “미국에서 발생한 개인정보유출 피해 소송에 대한 개인당 배상액을 보면 페이스북 사건에서 1인당 4만 원밖에 안 나왔다”면서 “징벌적 손해배상 구조상 배상 총액이 커질 수는 있지만 의외로 1명이 받는 배상액은 크지 않다”고 말했습니다.
또한 박정문 대표변호사는 “수천만 원의 배상액을 받는 경우는 개인정보유출로 2차 피해를 본 케이스이기 때문에 2차 피해가 발생하지 않은 개인의 경우 미국 소송으로 얻는 실익이 크지 않을 수 있다”고 말했습니다.
[일요신문] 쿠팡 개인정보유출 사태가 걷잡을 수 없을 정도로 확대되고 있다. 최근에는 미국 본사로까지 소송전이 확대되는 모습이다. 쿠팡 입장에서는 징벌적손해배상이 가능한 미국에서 소송이 벌어질 경우 부담이 더욱 가중될 것으로 보인다. 소송 과정에서 합의로 마무리 될 가능성도 점쳐진다.
서울시 송파구에 위치한 한국 쿠팡 본사 전경. 사진=임준선 기자
쿠팡의 개인정보가 유출된 피해자는 3370만 명으로 파악되는 가운데 법무법인 대륜의 현지법인 미국 로펌 SJKP는 개인정보 유출 사태로 논란이 제기된 쿠팡 미국 본사를 대상으로 소송을 진행하기로 했다. 대륜은 국내 소송을 맡아 진행하며 SJKP와 협업한다.
지난 12월 10일 SJKP은 기자회견을 통해 “미국 본사 쿠팡(Coupang, Inc.)을 상대로, 미국 뉴욕 연방법원에 소비자 집단소송을 공식 제기할 예정”이라고 밝혔다.
일단 배상 차원에서 미국 내 소송이 전략적으로 유효하다는 판단이 나온다. 임규철 동국대학교 법학전문대학원 교수는 “미국에서 소송을 진행하는 것은 영리한 전략으로 판단된다”면서 “국내에서는 집단적 소송은 증권분야에 한정돼 인정돼 개인정보유출 관련 소송에서는 집단소송을 제기할 수 없지만 미국에서 진행할 경우 집단적 소송이 가능하다”고 말했다.
집단소송에서 쿠팡이 패소할 경우 피해자들에게 지급해야 할 배상액이 천문학적으로 증가할 수 있다. 판결 결과가 전체 피해자에게 동일하게 적용되기 때문이다. 이 때문에 중간에 합의로 소송이 종결되는 경우가 많다.
SJKP는 미국에서 소송을 진행하는 이유에 대해서 “쿠팡의 본사는 미국 델라웨어주에 등록돼 있고 뉴욕 증시에 상장된 ‘미국 기업’이다”면서 “미국 사법 시스템의 강력한 칼날로 이번 사태의 진상을 규명하고, 피해자들에게 실질적인 배상이 이루어지도록 할 것”이라고 강조했다.
법무법인 대륜 김국일 경영대표가 지난 9일 미국 쿠팡 본사 소송에 대해 설명하고 있다. 사진=대륜 제공
미국은 한국과 달리 징벌적 손해배상과 디스커버리 제도를 통한 구제 수단이 있다. 한국에서는 기업이 정보를 은폐할 경우 피해 입증이 어렵다. SJKP는 “역대 최대 과징금이라는 카카오조차 151억 원에 불과해 연 매출 30조 원이 넘는 쿠팡에게는 위협이 되지 않는다”고 분석했다.
반면 미국은 징벌적 손해배상 제도가 있어 배상 규모가 더욱 확대될 수 있다. 실제로 미국 에퀴팩스(Equifax)는 3000만 명 정보 유출로 무려 7억 달러를 합의했다. 야후(Yahoo)는 매각가가 4800억 원가량 삭감되는 치명타를 입기도 했다.
SJKP 측은 미국에 존재하는 디스커버리 제도를 적극적으로 활용할 것으로 보인다. 디스커버리 제도는 미국 등 일부 국가에서 시행되는 ‘증거개시(Discovery)’ 제도를 기반으로 한 소송 절차다. 소송 당사자들이 본격적인 재판에 앞서 각자가 보유한 증거를 미리 조사하고 제출하도록 해 재판의 공정성과 신뢰성을 높이기 위한 제도다.
원고와 피고는 상대방이 확보한 자료의 제출을 폭넓게 요구할 수 있으며, 재판 이전 단계에서 증거를 상호 교환하게 된다. 합당한 이유 없이 자료 제출을 거부하거나 허위 자료를 제출할 경우, 법원은 제재 조치나 불리한 결정을 내릴 수 있다. 이러한 절차적 특성으로 인해 정식 공판에 들어가기 전 다수의 사건이 합의로 마무리되는 것으로 알려져 있다.
SJKP는 “미국 본사가 한국 자회사의 시스템과 데이터에 실질적인 접근 권한을 보유하고 있다면, 미국 법원은 서버가 어디에 있든 관련 자료 제출을 강제할 수 있다”면서 “실제 다국적 기업 사건에서도 이 방식으로 핵심 내부 자료를 확보한 사례가 다수 존재한다. 우리는 이 강력한 선례와 제도를 통해 경영진이 해킹 징후를 언제 인지했는지, 보안 투자를 왜 소홀히 했는지 낱낱이 밝혀낼 것”이라고 설명했다.
한국 쿠팡에서 발생한 개인정보유출 사건에 대한 미국 본사의 책임 여부를 가리는 게 핵심 쟁점으로 부각될 전망이다. 미국 본사가 한국 쿠팡의 지분 100%를 가지고 지배하고 있다.
쿠팡은 이번 유출에 대하여 개인의 일탈로 보고 있다. 쿠팡은 고소장에서 “중국 국적의 전 쿠팡 직원으로 쿠팡에서 인증 시스템을 개발하는 개발자가 정보를 빼돌렸다”라고 설명했다. 만약 쿠팡의 주장이 인정될 경우 미국 본사에 대한 소송의 당위성이 약화될 수 있다.
차상진 법률사무소 비컴 변호사는 “만약 쿠팡의 주장이 사실일 경우 모회사인 미국 본사가 임원이나 핵심인력이 아닌 한 개발자 직원까지 하나하나 통제하지는 않을 가능성이 높기 때문에 미국 소송에 대한 논리가 약화될 수 있다”고 평가했다. 그러면서 “개인 범죄에 의해 개인정보가 유출된 것이 쿠팡으로서는 리스크 관리에 유리할 수 있다”고 설명했다.
탈 허쉬버그 SJKP 변호사는 “이번 소송의 핵심은 미국 본사가 단순 지주회사에 그치지 않고 정보보안과 개인정보 보호, IT인프라 투자와 같은 핵심 영역에서 실질적인 의사결정 권한을 행사했다는 인과관계를 밝히는 것”이라며 “이는 미국의 디스커버리 제도를 통해 쿠팡Inc.가 관련 자료를 제출하도록 할 예정”이라고 설명했다.
그러면서 “실제 대형 다국적 기업 사건에서는 서버가 유럽이나 아시아에 있어도 미국 본사를 상대로 디스커버리제도를 활용해 핵심 내부 이메일과 보고서, 로그, 리스크 분석자료 등을 확보한 사례가 다수 존재한다”고 덧붙였다.
미국 소송의 실효성을 두고 회의적인 시각도 제기된다. 소송 당사자인 피해자가 받을 배상액이 기대에 못 미칠 수 있어서다. 쿠팡 개인정보 피해자의 공동소송을 진행하고 있는 법무법인 일로 박정문 변호사는 “미국에서 발생한 개인정보유출 피해 소송에 대한 개인당 배상액을 보면 페이스북 사건에서 1인당 4만 원밖에 안 나왔다”면서 “징벌적 손해배상 구조상 배상 총액이 커질 수는 있지만 의외로 1명이 받는 배상액은 크지 않다”고 말했다. 이어 “수천만 원의 배상액을 받는 경우는 개인정보유출로 2차 피해를 본 케이스이기 때문에 2차 피해가 발생하지 않은 개인의 경우 미국 소송으로 얻는 실익이 크지 않을 수 있다”고 말했다.
향후 쿠팡에 대한 수사 결과가 소송 향방에 영향을 줄 전망이다. 경찰은 서울 송파구에 위치한 한국 쿠팡 본사를 지난 12월 9일 압수수색했다. 서울경찰청 사이버수사대는 이날 오전 총 17명 규모의 쿠팡 전담 수사팀을 투입해 압수수색을 진행했다.
한편 쿠팡 관계자는 미국 본사로까지 소송이 확대되는 데 대해 “따로 확인해 줄 사실이 없다”고 답변했다.