국회 청문회·약관 '해킹 면책' 삭제·영업정지 언급까지
[더팩트|윤정원 기자] 한국에서 터진 쿠팡 개인정보 유출이 미국 증권 소송으로 옮겨붙었다. 유출 규모와 공시 지연 의혹이 겹치면서, 국내 규제·여론과 별개로 미국 자본시장 규칙이 먼저 책임을 묻는 모양새다. 여기에 국회 청문회 불출석 논란과 약관에 포함됐던 '해킹 면책' 조항 삭제, 공정거래위원장의 영업정지 가능성 언급까지 더해지며 리스크가 전방위로 확산하고 있다.
◆ "공시 의무 이행 안 해"…4영업일 규정 위반 주장
22일 미국 법원 자료와 외신·업계 등에 따르면 쿠팡 모회사 쿠팡아이엔씨(Inc.) 주주 조셉 베리는 지난 18일(현지시간) 미국 캘리포니아 북부 연방법원에 쿠팡Inc.와 김범석 이사회 의장, 거라브 아난드 최고재무책임자(CFO)를 상대로 증권 집단소송을 제기했다.
쟁점은 개인정보 유출을 인지한 시점과 미 증권거래위원회(SEC) 공시 시점 사이 '공시 지연' 여부다. 원고 측은 쿠팡이 유출 사실을 지난달 18일 인지했음에도 4영업일 내 공시 의무를 이행하지 않았다고 주장한다. 쿠팡이 SEC에 관련 내용을 보고한 시점은 12월 16일로 전해졌다.
SEC는 지난 2023년 '사이버보안 공시' 규칙을 도입했다. '중요(material)' 사이버보안 사고로 보이면 'Form 8-K(Item 1.05)'로 판단하고 이를 4영업일 내 공시하도록 요구한다. 다만 '사고 발생일'이 아니라 '중요성 판단일'이 기산점이라는 점도 함께 명시돼 있다. 따라서 이번 소송은 이 규정 틀 안에서 쿠팡의 판단·공시 타이밍이 적정했는지를 다투는 구조다. 한국에서 벌어진 사고가 미국 공시 규정과 미국 주주 손해배상 프레임으로 재단되는 이유다.
쿠팡 개인정보 유출 사고는 2025년 6월 24일부터 11월 18일까지 약 5개월간(147일) 3370만명의 고객 정보가 중국 국적 전 직원의 무단 접근을 통해 유출된 대규모 보안 사고다. 이름과 전화번호를 비롯해, 주소, 이메일, 주문 정보 등 민감한 개인 식별 정보가 모두 유출된 것으로 알려졌다.
◆ 3주 만에 주가 18% '뚝'…집단소송 규모 확대 전망
이번 사고는 단순 해킹이 아닌, 내부 보안과 인력 관리의 허점이 복합적으로 드러난 인재로 평가된다. 최초로 침해 사실을 알게 된 것도 쿠팡에서 선제적으로 감지한 것이 아니라 고객의 민원으로 이뤄졌다. 피해 규모와 기간 모두 국내 이커머스 사상 최대 수준이다.
사고가 알려진 뒤 쿠팡 주가가 흔들린 점도 소송 동력으로 작용했다. 뉴욕증권거래소(NYSE)에 상장된 쿠팡 주가는 쿠팡이 정보유출 사실을 공지하기 하루 전인 지난 11월 28일 28.16달러였으나, 이달 19일 23.20달러로 마감했다. 불과 3주 만에 주가가 약 18%나 고꾸라진 셈이다. 금번 사안이 IT·유통 이슈를 넘어 명백한 증권 리스크로 성격이 바뀌었다는 분석이 나오는 이유이기도 하다.
집단소송에는 로젠 로펌(The Rosen Law Firm)과 KSF(Kahn Swick & Foti) 등 미국의 증권 집단소송 전문 로펌들이 잇따라 대리인으로 나선 상태다. 이들 로펌은 쿠팡 주식을 2025년 8월 6일부터 12월 16일까지(클래스 기간) 매수·보유했다가 손실을 본 투자자를 대상으로 참여 의사를 받고 있다. 법원이 대표원고(lead plaintiff) 선정을 위해 신청을 받는 마감 시한은 2026년 2월 17일로 제시됐다.
미국 증권 집단소송은 소장이 접수된 뒤 일정 기간 '클래스'를 넓혀 원고를 모으고, 이후 법원이 가장 적합한 대표원고와 로펌을 지정하는 절차로 진행된다. 대표원고로 선정되면 소송 전략과 합의 여부 등 주요 의사결정에 관여하고, 나머지 투자자들은 별도 절차 없이도 판결·합의 결과에 따라 배상 대상에 포함될 수 있다.
◆ 국회 청문회 불출석·약관 논란…'영업 정지' 가능성까지
국내에선 쿠팡의 대응 방식이 도마 위에 오른 상태다. 개인정보 유출 사태가 커지면서 정치권은 쿠팡 최고 책임자의 직접 해명을 요구해 왔다. 그러나 김범석 쿠팡Inc. 이사회 의장이 이달 17일 청문회 출석 요구에 응하지 않으면서 논란이 확산했다. 여야 의원들은 피해 규모가 큰 사안에서 최고경영진이 전면에 나서지 않는 점을 문제 삼았고, 쿠팡의 대응 방식이 책임 회피로 비칠 수 있다는 지적도 나왔다.
정치권의 공세는 단순한 출석 여부에 그치지 않는다. 사고 인지 시점과 대외 발표 시점, 피해자 통지 과정, 재발 방지 대책의 구체성까지 따져 묻는 기류가 형성됐다. 업계에서는 이 과정이 국내 규제기관 조사·제재 논의와 맞물리며 쿠팡의 위기를 키우는 요인으로 작용할 수 있다고 본다.
여기에 '해킹 손해 면책' 문구를 이용약관에 넣었다가 삭제한 사실까지 더해졌다. 쿠팡은 지난달 26일부터 해킹·불법접속으로 인한 손해에 대해 책임을 지지 않는다는 취지의 조항을 삭제하고, 개인정보 처리 기준을 개인정보보호법에 따르도록 조항을 보강한 것으로 알려졌다. 다만 약관 정비는 논란의 불씨를 끄는 조치일 뿐이라 여론의 질타가 이어졌다.
규제 리스크도 커지고 있다. 주병기 공정거래위원장은 지난 19일 방송 인터뷰에서 "쿠팡이 피해 회복 조치를 적절히 실행하고 있지 않을 경우에는 영업정지 처분을 부과할 수 있다"고 언급하며 압박 수위를 높였다. 개인정보 침해 자체는 개인정보보호위원회 소관이지만, 사고 이후 소비자 보호·거래질서 훼손 등 쟁점이 번질 경우 공정위도 제재 논의에 가세할 수 있다.
이 경우 쿠팡은 미국에선 공시 의무와 주주 손해배상 문제를 다투는 동시에, 국내에선 행정조사·제재 가능성에 대응해야 한다. 소송과 규제가 동시에 진행되면 비용 부담뿐 아니라 경영 불확실성 자체가 커지는 구조다.
◆ 뉴욕 상장이 불러온 '이중 압박'
이번 사태가 쿠팡의 해외 상장이 갖는 책임·감시의 경로를 다시 부각했다는 평가도 나온다. 사고의 발생지와 이해관계자는 한국에 집중돼 있지만, 주주 책임과 공시 적정성을 따지는 1차 무대는 미국이다. 국내 투자자 보호 체계나 거래소 공시 감시망 밖에 있는 만큼 국내에선 여론과 규제 논쟁이 커지고, 미국에선 자본시장 규칙에 따라 소송이 진행되는 '이중 압박' 구도가 형성됐기 때문이다.
한 업계 관계자는 "쿠팡 사태는 미국 공시·주주 책임에 더해 한국의 개인정보·소비자·공정거래 규제, 평판 논란이 동시에 얽힌 상황"이라며 "공시 타이밍을 둘러싼 소송 결과와 별개로, 국내 조사 결과와 제재 수위, 추가 피싱 피해 여부가 중장기 비용으로 연결될 수 있어 보인다"고 말했다.
앞서 쿠팡은 3370만 건 규모 개인정보 유출과 관련해 자발적 보상을 적극 검토하겠다고 밝혔지만, 보상 금액·신청 절차 등 구체안은 아직 공식 발표되지 않은 상태다. 아울러 현재 쿠팡 측은 집단소송 등에 대해 말을 삼가고 있다.
- 발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
- · 카카오톡: '더팩트제보' 검색
- · 이메일: jebo@tf.co.kr
- · 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write
- · 네이버 메인 더팩트 구독하고 [특종보자→]
- · 그곳이 알고싶냐? [영상보기→]