[더팩트ㅣ조성은 기자] 미국에서 쿠팡의 대규모 개인정보 유출 사태와 관련해 피해자들이 쿠팡 미국 모회사를 상대로 한 집단소송을 제기했다.
6일(현지시간) 미국 뉴욕 동부연방지방법원에 따르면 쿠팡 개인정보 유출 피해자들은 쿠팡 미국 본사인 쿠팡Inc와 김범석 의장을 상대로 징벌적 손해배상을 청구하는 집단소송 소장을 제출했다. 이번 소송은 미국 내 피해자뿐 아니라 한국에 거주하는 피해자까지 포함하는 방식으로 제기됐다.
소송을 대리한 법무법인 대륜의 미국 협력 로펌 SJKP는 쿠팡의 개인정보 유출 사고가 전직 직원의 내부 시스템 무단 접근으로 발생했으며, 이는 보안 관리 체계 전반의 중대한 실패라고 주장했다. 소장에 따르면 퇴사한 직원이 한 달 이상 내부 시스템에 침입해 약 3370만 건의 고객 개인정보를 탈취했으며, 여기에는 이름과 연락처, 결제 정보, 개인통관고유부호, 건물 출입코드 등 민감한 정보가 포함됐다.
원고 측은 쿠팡Inc가 개인정보 보호 의무를 위반했으며, 적절한 보안 조치를 하지 않아 묵시적 계약을 위반하고 부당이득을 취했다고 주장했다. 또 기만적 영업 행위를 금지한 뉴욕주 법을 위반했다고도 했다. 특히 보안 정책과 예산, 사고 대응 프로토콜 등 핵심 의사결정이 미국 본사 경영진에 의해 이뤄진 만큼 미국 법원이 관할권을 가진다는 입장이다.
김범석 의장을 공동 피고로 지정한 데 대해서는 정보보호 인력과 예산 편성·집행 등 기업 운영 전반에 대한 최종 권한을 가진 인물로서 인지된 보안 위험을 방치하거나 중대한 과실로 묵인했다는 책임론을 제기했다.
대표 원고로는 뉴욕시에 거주하는 미국 시민권자가 나섰다. 그는 한국과 미국에서 모두 쿠팡 서비스를 이용해온 고객으로, 개인정보 유출로 신원 도용과 금융 사기 등 실질적 위험에 노출됐다고 주장했다. SJKP 측은 지난해 말 기준 3900명 이상이 소송 참여 의사를 밝혔으며, 최근까지 7000명 이상의 피해자가 관련 문의를 해온 만큼 실제 소송 인원은 더 늘어날 가능성이 크다고 밝혔다.
원고 측은 징벌적 손해배상과 함께 쿠팡에 암호화 및 다중인증 도입 등 보안 체계 강화를 강제하는 이행 명령도 법원에 요청했다. SJKP는 이번 사건의 피해 규모가 500만 달러를 초과해 연방 집단소송 공정법 요건을 충족한다고 설명했다.
미국은 중대한 과실이 인정될 경우 기업에 거액의 징벌적 손해배상을 부과할 수 있는 제도를 두고 있다. 앞서 미국 통신사 T모바일은 2021년 대규모 개인정보 유출 사건 이후 소비자 집단소송을 통해 수억 달러 규모의 합의금을 지급한 바 있다.
SJKP 측은 이번 소송이 특정 기업이나 국가에 대한 규제가 아니라 대규모 개인정보 유출에 따른 정당한 소비자 보호 조치라는 점을 강조했다. 김국일 대륜 경영대표는 "사안의 본질은 3300만 명에 달하는 소비자 정보 보호"라며 "쿠팡이 글로벌 기업에 걸맞은 보안 거버넌스를 구축하는 계기가 되길 기대한다"고 말했다.