[쿠팡 개인정보 유출 파장] 천문학적 비용 나가나…과징금·손배·美 주주소송 확산 '촉각'

HOME 산업 유통

쿠팡 개인정보 유출 파장

천문학적 비용 나가나…과징금·손배·美 주주소송 확산 '촉각'

"사이버 보안 과시한 공시, 쿠팡Inc 주주 소송 번질 여지 충분"

이 기사는 2025년 12월 01일 18시 58분 유료콘텐츠서비스 딜사이트 플러스에 표출된 기사입니다.

박대준 쿠팡 대표이사가 지난달 30일 오후 서울 종로구 정부서울청사에서 열린 쿠팡 개인정보 유출 관련 긴급 관계부처 장관회의에 참석한 뒤 이용자들을 향해 사과 발언하고 있다.(제공=뉴스1)

추천키워드

#쿠팡 #개인정보 유출 #미국 주주 집단소송 #소송 #손해배상 #과징금 #개인정보

실시간 속보 랭킹뉴스

[딜사이트 노연경 기자] 쿠팡이 대규모 개인정보 유출 사고로 정부로부터 수천억원대의 과징금 부과 위기에 놓인 가운데 미국에서의 주주 소송에도 촉각이 모아지고 있다. 과징금과 한국 소비자 피해보상에 이어 증시에 상장한 미국 주주 소송까지 한꺼번에 겹치게 되면 쿠팡이 감당해야 하는 비용은 천문학적으로 늘어날 수 있다는 우려가 나온다.

쿠팡 지난달 29일 이용자 계정 3370만개의 개인정보가 유출됐다. 이는 역대 최대 과징금이 부과된 SK텔레콤의 개인정보 유출 사태보다 더 큰 규모다. 이용자 2324만여명의 정보를 유출한 SK텔레콤은 개인정보보호위원회(개보위)로부터 역대 최대 과징금인 1347억9100만원을 부과 받았다.

사안이 중대한 만큼 일각에선 쿠팡도 막대한 과징금을 피할 수 없을 것이란 관측이 나온다. 특히 쿠팡은 최초로 개인정보 유출이 일어난 지난 6월24일부터 약 5개월이 지난 11월18일에 들어서야 이를 인지한 것으로 나타났다.

쿠팡의 허술한 보안 체계가 이번 사태를 키웠다는 지적도 곳곳에서 이어지고 있다. 배경훈 부총리 겸 과학기술정보통신부 장관은 이번 사태와 관련해 열린 긴급회의에서 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상의 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다"고 밝혔다.

관련기사 more

쿠팡發 불똥에 이커머스 '노심초사' 규제 무풍지대 속 국민 플랫폼 성장…피해 규모 키웠다 여야 한목소리 질타…"김범석 의장 직접 국민께 사과해야" 쿠팡, 고객 계정 3370만개 유출…SK텔레콤보다 크다

국회 과학기술정보방송통신위원장 최민희 의원실 역시 쿠팡이 인증키 보안관리를 소홀히 하며 이번 사태를 일으켰다고 지적했다. 특히 최 의원은 쿠팡이 로그인 토큰 생성에 쓰이는 서명키 유효기간을 5년에서 10년으로 설정하는 사례가 많다고 지적했다. 이로 인해 퇴사자가 기존 서명키로 고객 개인정보에 접근할 수 있었다는 해석이다.

다만 쿠팡은 이와 관련해 서명키 유효기간이 5년에서 10년이 아니며 나머지 사안에 대해서는 조사 결과가 나와봐야 한다는 입장이다. 조사 결과 쿠팡의 보안체계 구멍이 사실로 드러날 경우 막대한 과징금과 손해배상 비용청구가 예상된다. 2023년 개정된 개인정보보호법에 따라 매출액의 3%까지 과징금을 부과할 수 있다. 쿠팡의 작년 매출액은 41조원에 달한다. 단순 계산하면 1조원 이상의 과징금을 부과 받을 수도 있는 셈이다.

여기에 이번 개인정보 유출 피해를 본 소비자들도 집단 손해배상 소송 움직임을 보이고 있다. '쿠팡 개인정보유출 단체소송'이라는 이름의 네이버 카페는 지난달 29일 개설된 뒤 이날 오후 3시 기준 가입자가 이미 1만4000명을 넘어선 것으로 나타났다.

나아가 미국에서의 주주 집단소송(Securities Class Action)은 아직 가시화되지 않은 위험요인이다. 쿠팡은 주요사업을 국내에서 진행하고 있지만 모회사인 쿠팡Inc는 미국 상장회사다. 미국의 경우 한국보다 주주 소송이 활발하며 기업의 공시내용이 사실과 다르거나 과장됐을 경우 막대한 손해배상을 물어야 할 수 있다.

쿠팡은 앞서 이미 미국에서 주주 소송에 휘말린 적이 있다. 2021년 뉴욕시공무원연금 등 주주들은 쿠팡이 ▲물류센터의 열악한 근무 환경 은폐 ▲검색 결과 조작 ▲자체 브랜드(PB) 상품 리뷰 작성 지시 등의 행위를 했다며 주가가 상장 후 1년 안에 절반 넘게 하락했다고 주장했다.

최종적으로 재판부는 이 증거만으로는 쿠팡의 기만 행위를 입증할 수 없다고 해당 소송을 기각했지만 시장에선 이번 사태의 경우 쿠팡이 책임을 피하기 어려울 수 있다는 전망이 나온다.

실제 쿠팡은 미국 증권거래위원회(SEC)에 지난 2월 제출한 10-K 보고서(한국의 사업보고서격)에 사이버 보안과 관련해 15년 이상 경력의 정보보호최고책임자(CISO)와 200명 규모의 전담인력 그리고 정기적 외부 감사 등을 통해 보안 유지를 철저히 하고 있다고 강조했다.

시장 한 전문가는 이러한 문구가 법적 다툼의 여지가 있다고 진단했다. 그는 "미국 증권법상 주주들이 집단 소송을 제기하는 경우 주요 쟁점은 회사가 중대한 정보를 허위로 공시하거나 누락해 주주들을 기만했는지 여부"라며 "중대한 정보는 투자자가 투자 결정을 내리는데 합리적으로 중요하다고 판단할 정보(중대성, Materiality)를 의미한다"고 설명했다.

이어 "대규모 고객 정보 유출은 평판 손상과 규제 벌금, 시스템 개선 비용, 고객 이탈 등으로 이어져 재무상태에 중대한 영향을 미칠 수 있다"며 "이전 소송의 쟁점들은 '과장되거나 모호한 발언'이라는 판결을 받았지만 이번 사이버보안 공시 문제는 객관적인 사고를 다루는 것이므로 법적 구성이 더 명확할 수 있다"고 덧붙였다.

노연경 기자 yknoh@dealsite.co.kr