'우리는 미국 회사'라던 쿠팡, 미국 법정에 선다

디스커버리 제도 : 미 연방 민사소송규칙에 규정된 것으로 재판 전 단계에서 상대방에게 소송과 관련된 정보를 공개 교환하는 절차. 사건과 합리적으로 관련된 모든 문서나 데이터를 포괄하며 고의적 지연이나 거부시 가혹한 제재가 수반.

한국에서는 최소 20만 명 소송 참여..배상금은 10만 원?

개인정보보호법 제39조(손해배상책임) ③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 5배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.

'보험 들었으니 괜찮다?'…개인정보 배상책임보험의 허점

제39조의7(손해배상의 보장) ① 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.

"법과 제도를 바꿔야 기업도 행동을 바꾼다"

전 국민을 분노로 대동단결하게 만들었다는 쿠팡 개인정보 유출 사태가 새 국면을 맞았습니다. 국내에서는 경찰이 오늘(9일) 오전 서울 송파구 본사에 대해 압수수색에 착수했고, 미국에서는 모기업 쿠팡Inc.를 상대로 한 징벌적 손해배상 소송 계획이 발표됐습니다. 국내 유사사례의 경우, 소송을 제기한 피해자 1인당 10만 원 정도가 배상됐지만, 미국은 다릅니다. 징벌적 손해배상이 인정된다면 수천억 원 이상을 물어내야 할 수도 있습니다. 돈은 국내에서 벌면서 미국 기업이라던 쿠팡이 이제 한국과 미국 모두를 방어해야 하는 처지에 놓였습니다.미국 현지시간 8일, 쿠팡이 상장된 뉴욕 맨해튼에서 기자회견이 열렸습니다. 쿠팡 피해자들을 대리해 한국 법무법인 대륜의 미국 법인인 SJKP 로펌은 쿠팡Inc.를 상대로 뉴욕 연방법원에 징벌적 손해배상 소송을 제기하겠다고 밝혔습니다.SJKP 측이 밝힌 소송의 핵심 포인트는 네 가지입니다.쿠팡 한국 법인을 100% 지배하는 쿠팡Inc.가 뉴욕증권거래소(NYSE)에 상장된 미국 기업이라는 점을 강조하면서, 이번 개인정보 관리·보안 실패에 대해 미국 본사가 '감독·관리 의무'를 소홀히 했다는 논리입니다. 탈 허쉬버그 변호사는 "쿠팡 본사가 단순 지주회사에 그치지 않고 정보보안과 개인정보 보호와 같은 핵심 영역에서 실질적인 의사결정 권한을 행사했다는 인과관계를 밝히겠다"고 설명했습니다.한국 소송에 참여한 200여 명이 미국 소송에도 동시에 참여합니다. 또 한국 피해자뿐만 아니라 쿠팡 서비스를 활용한 경험이 있는 미국 거주자 및 미국 시민도 원고 집단에 이름을 올릴 예정입니다. "쿠팡 고객들의 계정 정보와 구매 이력은 미국 서버에도 저장돼 있고, 미국 투자자 보호와 연결되는 문제"라는 설명입니다.쿠팡의 책임 소재를 밝히기 위해 미국 특유의 디스커버리(discovery, 증거개시) 제도가 활용될 전망입니다. SJKP측은 "쿠팡 본사의 역할은 한국 민사소송으로는 밝혀지기 어렵다"며 "미국의 증거개시 제도를 통해 쿠팡 본사가 관련 자료를 제출하도록 할 예정"이라고 밝혔습니다.또한 이번 소송과정에서 쿠팡의 공시 의무 위반 여부도 가려질 전망입니다. 미국 증권거래위원회(SEC)에 따르면, 상장사는 '중대한 사이버 보안 사고' 발생 시 4 영업일 이내에 공시해야 합니다. 하지만 쿠팡Inc.는 발생 열흘째인 아직까지도 피해 회복이나 구제 조치에 대한 언급이 전혀 없었다는 게 법무법인의 주장입니다.미국에선 기업의 고의나 중과실이 인정되면 실제 피해액을 훌쩍 넘어 기업을 제재하는 수준의 배상액이 부과됩니다. 바로 징벌적 손해배상(punitive damages)인데요, 법무법인 측은 과거 사례를 토대로 쿠팡에도 위험 관리 의무 위반을 물을 수 있다는 입장입니다.대표적인 사례가 2017년 신용평가사 에퀴팩스(Equifax)의 개인정보 유출 사건으로 1억 4,700만 명의 이름과 주소, 사회보장번호, 운전면허번호 등 개인 정보가 유출됐습니다. 에퀴팩스가 정보 유출을 인지하고도 2달 뒤 공식 발표를 한 점, 취약점에 대한 사전 경고에도 보안 패치를 이행하지 않았다는 점 등을 이유로 징벌적 손해배상이 인정됐습니다. 결국 총액 7억 달러(당시 환율로 8,100억 원)에 합의가 이뤄졌습니다. 미국의 3대 통신사인 T모바일도 2021년 고객 7,660만 명의 개인 정보가 유출돼 소송에 들어갔고, 합의금으로 3억 5천만 달러(당시 환율로 4천억 원)를 냈습니다.한국에서도 개인정보 유출 피해자들을 대신해 변호사들이 제기한 민사소송이 잇따르고 있습니다. 지난주 서울중앙지법에는 쿠팡 이용자 14명을 원고로 해서 1인당 20만 원씩, 총 280만 원의 손해배상을 청구하는 첫 소송이 제기됐습니다. 이밖에도 온라인 카페·단체를 중심으로 2차·3차 소송인단 모집이 진행 중이고, 법무법인별 집계로는 현재까지 20여만 명이 소송을 냈거나 소송을 낼 예정입니다.하지만 국내 소송을 통해 피해자들이 기대할 수 있는 '배상액'의 전례는 생각보다 낮습니다. 역대 최대 규모로 꼽히는 2014년 카드 3사 개인정보 유출 사건에서 법원은 "금전적 피해가 입증되지 않았다"는 취지로 소송을 낸 원고 1인당 10만 원씩 '위자료'를 지급하라고 판결했습니다. 카드사에 부과된 벌금도 최대 1,500만 원에 그쳤습니다. 다만, 한국에도 2015년에 개인정보 관련 징벌적 손해배상 제도가 도입돼 피해 발생 시 손해액의 5배 이내에서 배상액을 정할 수 있게 됐지만, 제도 도입 이후 인정된 사례는 없는 걸로 알려졌습니다. "고의 또는 중과실이 없음을 증명한 경우 적용하지 않는다"는 단서 조항이 발목을 잡고 있다는 지적입니다.피해자들을 답답하게 하는 건 또 있습니다. 쿠팡 측은 배상책임보험에 가입해 있다고 밝힌 바 있습니다. 그런데 이 보험의 보장한도가 10억 원에 불과해 사실상 무용지물인 것으로 드러났습니다. 개인정보보호법에 따르면 매출 10억 원 이상, 1만 명 이상 정보를 관리하는 기업은 의무적으로 배상책임보험에 가입해야 하는데, 최소 가입 금액의 상한이 10억 원입니다. 매출액이 41조 원으로 국내 3대 마트를 합친 것보다 많은 공룡 기업에게도 법적으로 강제할 수 있는 액수는 10억 원뿐이라는 이야기입니다.이와 별도로 개인정보보호법은 의무 보험에 가입하지 않으면 시정조치 명령을 내리고 이를 따르지 않을 경우 3,000만 원 이하의 과태료를 부과하도록 돼 있는데 과연 이 정도로 법이 의도한 효과가 발휘될지 의문입니다.지난달 29일 개인정보 유출이 알려진 이후 쿠팡 가입자들은 변변한 안내도 받지 못한 채 좌충우돌해야 했습니다. 탈퇴하려니 복잡한 절차에 화가 치밀고, 로켓배송에 익숙해진 탓에 그냥 쓰려니 비밀번호를 바꾼다, 결제카드를 해지한다, 속이 터집니다. 당장은 2차 피해를 막고 원인과 책임 소재를 샅샅이 가리는 일이 급선무이겠지만, 이번 일을 계기로 그동안 미뤄왔던 법과 제도 정비에도 눈을 돌려야 합니다.(남은 이야기는 스프에서)