쿠팡 3,300만 명 개인정보 유출 사태…SJKP, 美서 집단소송 제기한 이유는?

쿠팡 Inc.는 미국 법에 따라 설립된 법인이며 한국 법인 지분 100%를 보유한 모회사입니다.

이는 기업의 정책 결정 및 지배 구조가 미국 법체계의 적용을 받는다는 점에서 중요한 의미를 가집니다.

SJKP가 미국 본사를 상대로 미국 법원에 소송을 제기한 것은 다음과 같은 요소가 작용한 것으로 보입니다.

첫째, 미국 법은 개인정보 보호 의무 위반에 대해 폭넓은 책임을 인정하는 경향이 있습니다.

둘째, 징벌적 손해배상 제도가 존재하여 중대한 과실이나 관리 소홀에 대해 실질적인 책임을 물을 수 있습니다.

셋째, 미국 민사소송의 핵심 절차인 ‘디스커버리’ 제도를 통해 내부 의사결정 자료 강제 확보가 가능합니다.

국경을 초월한 데이터 침해 사건에서 실질적 책임을 규명하기 위해서는 배상 청구를 넘어, 의사결정 구조를 객관적 증거로 확인할 수 있는 절차적 수단이 필요합니다.

이러한 점에서 미국 소송은 하나의 전략적 사법 전장으로 평가됩니다.

주목할 부분은 쿠팡 Inc.뿐 아니라 김범석 의장이 공동 피고로 명시되었다는 점입니다.

미국 연방법 및 관련 판례에 따르면 기업의 위법 행위가 경영진의 직접적 승인, 실질적 통제 또는 중대한 관리 소홀로 발생한 경우 해당 임원은 법인과 별도로 개인 책임을 부담할 수 있습니다.

SJKP 측은 김범석 의장이 보안 정책과 예산에 대한 최종 결정권자로서 내부 통제 실패에 대한 실질적 책임을 부담해야 한다는 법리적 판단을 제시하고 있습니다.

소장에는 과실(Negligence), 당연과실(Negligence Per Se), 부당이득(Unjust Enrichment), 묵시적 계약 위반, 뉴욕주 법령 위반 등의 사유가 명시되었습니다.

이 사건은 최고경영자의 데이터 보안 책임 범위를 어디까지 인정할 것인가라는 중요한 법적 쟁점을 제기하고 있습니다.

미국 소송에서 가장 중요한 절차적 장치는 디스커버리입니다.

이를 통해 내부 이메일, 회의록, 보안 취약성 보고서, 예산 배정 자료 등 다양한 문서의 제출을 요구할 수 있습니다.

만약 내부적으로 보안 취약성이 인지되었음에도 불구하고 비용 절감 또는 수익성 유지를 이유로 개선이 지연되었다는 정황이 확인될 경우 단순 과실을 넘어 중대한 관리 소홀로 평가됩니다.

이 지점에서 기업 거버넌스의 구조적 실패 여부를 판단하는 문제로 확장되는 것이며 이는 향후 유사 사건에서 중요한 선례로 작용할 가능성이 있습니다.

국내 민사소송이 주로 금전적 배상에 초점을 맞추는 것과 달리 미국 법원은 선언적 구제(Declaratory Relief)와 금지명령(Injunctive Relief)을 통해 기업의 구체적 행위를 강제할 수 있습니다.

이번 소송에서는 최상급 보안 시스템 구축, 다중 인증 의무화, 장기적 신원 도용 모니터링 서비스 제공, 취약 계층 보호 강화 등의 조치가 청구되었습니다.

이는 기업의 보안 체계를 구조적으로 재편하는 데 목적이 있습니다.

형평적 구제는 사후적 배상에 머무르지 않고, 재발 방지를 제도적으로 강제하는 수단이라는 점에서 의미가 있습니다.

SJKP는 피해자 중 뉴욕 거주자를 대표 원고로 하되 한국 거주 피해자를 별도의 서브클래스로 설정하였습니다.

서브클래스는 거주지나 적용 법률이 다른 집단의 권리를 절차적으로 보호하기 위한 제도입니다.

이를 통해 한국 소비자들도 미국 법원의 판결에 따른 효력을 공유할 수 있으며 보안 강화 명령 등 형평적 구제의 혜택 역시 간접적으로 확장될 가능성이 있습니다.

이는 국경을 초월한 소비자 보호 전략이라는 점에서 주목할 만합니다.

미국에는 징벌적 손해배상 제도가 존재합니다. 중대한 과실이 인정될 경우 배상 규모는 상당히 확대됩니다.

과거 T모바일의 대규모 개인정보 유출 사건에서는 수억 달러 규모의 합의금과 함께 보안 시스템 강화를 위한 별도의 투자 약속이 이루어진 바 있습니다.

본 사건에서도 중대한 관리 소홀이 인정될 경우 배상 규모뿐 아니라 기업의 보안 체계 전반에 대한 개선 명령이 병행될 가능성이 있습니다.