[서울 2025년12월9일]쿠팡 3,370만 건 개인정보 유출과 관련해, 한국 로펌이 미국 본사를 상대로 집단소송에 나서며 사건의 무게 중심이 ‘국내 보안 사고’에서 ‘글로벌 본사 책임 문제’로 이동하고 있다. 이번 소송은 미국에서 이미 거액 배상 판결이 내려진 T모바일·에퀴팩스 사례를 참조해, 쿠팡Inc.의 구조적 관리 실패와 본사 차원의 책임을 본격적으로 묻겠다는 시도다.

사건 개요와 유출 규모

2025년 11월 말 쿠팡은 약 3,370만 개 고객 계정의 개인정보가 외부에 노출됐다고 공개했다. 이름, 이메일, 전화번호, 주소, 일부 주문 내역 등 기본 식별 정보가 포함됐으며, 전체 이용자 대부분이 영향을 받은 것으로 알려졌다.

국내에선 이미 여러 로펌이 손해배상 소송을 제기해, 1인당 20만~30만 원 수준의 위자료를 청구하는 집단소송이 확산되고 있다. 일부 법무법인은 쿠팡의 보안 체계를 “디지털 마스터키를 방치한 상태”라고 지적하며, 퇴직자 계정 미삭제·인증키 장기 미갱신·접속기록 점검 의무 불이행 등을 인재(人災)로 규정했다.

미국 집단소송 착수와 전략

한국 법무법인 대륜의 미국 법인 SJKP는 12월 8일(현지시간) 뉴욕 맨해튼에서 기자회견을 열고, 쿠팡의 미국 본사인 Coupang Inc.를 상대로 미국 연방법원에 징벌적 손해배상 집단소송을 제기하겠다고 밝혔다. 쿠팡 본사는 미국 델라웨어주 등록 법인으로, SJKP 측은 “글로벌 보안 관리 체계를 총괄할 본사가 위험 통제 기능을 제대로 수행하지 못해 대규모 유출이 발생했다”는 점을 핵심 책임 근거로 제시하고 있다.

현재 약 200명 안팎의 국내 피해자가 미국 소송 참여 의사를 밝혔으며, 법무법인은 최대 1만 명 규모로 원고단을 확대해 2026년 초 소장을 제출한다는 계획이다. 이는 한국에서 진행 중인 민사소송과 별도로, 미국 소비자 보호법과 집단소송 제도를 활용해 ‘본사 차원의 조직적 과실’을 직접 겨냥하겠다는 구상이다.

미국 주요 판례와 배상 규모 비교

미국에선 이미 유사한 대규모 정보유출 사건에서 수천억 원대 배상금이 확정되거나 합의된 전례가 있다. 통신사 T모바일은 2021년 해킹으로 약 7,660만 명의 정보가 유출된 사건과 관련해 3억5,000만 달러(약 5,100억 원) 규모의 집단소송 합의에 이르렀고, 추가로 1억5,000만 달러를 보안 투자에 사용하기로 했다.

신용평가사 에퀴팩스는 2017년 1억4,000만~1억5,000만 명에 달하는 민감 정보 유출 사건 이후 최대 7억 달러 규모의 합의를 통해 소비자 보상·주정부 벌금·연방 규제기관 제재를 수용했다. 미 연방거래위원회(FTC)는 에퀴팩스가 취약점 패치를 제때 하지 않는 등 ‘기초적인 보안 조치’를 소홀히 한 점을 강하게 비판하며, 정기적인 보안 감사와 외부 평가를 의무화했다.

쿠팡 소송 대리인 측이 이 두 사례를 거론하는 이유는, 미국 법원이 대형 개인정보 유출을 단순 과실이 아니라 ‘기업 지배구조와 리스크 관리 실패’로 판단해 강한 징벌적 책임을 물어 온 흐름을 보여주려는 것이다.

구조적 문제: 글로벌 조직과 통제 공백

국내 보도에 따르면, 쿠팡의 조직 구조는 ‘외국인 리더–한국인 실무자’ 체계가 고착화돼 의사소통 단절과 책임 소재 불분명 문제가 반복 제기돼 왔다. 일부 내부 제보에서는 “누가 무엇을 맡고 있는지조차 공유되지 않는다”는 비판과 함께, 다국적 조직 구조 속에서 보안·인프라 업무가 쪼개져 관리 공백이 생겼다는 지적도 나왔다.

이번 사건에서 문제로 지적된 퇴직자 계정 방치, 인증키 미갱신, 침입 탐지 시스템 무반응, 월 1회 이상으로 규정된 접근기록 점검 미이행 등은 단일 엔지니어의 실수라기보다, 리스크 관리와 내부통제 체계의 구조적 결함을 시사한다. 미국 본사를 상대로 한 집단소송은 바로 이 ‘구조적 실패’를 경영·이사회 수준의 책임 문제로 끌어올리는 절차라고 볼 수 있다.

소송의 의미와 향후 파장

이번 쿠팡 사태는 국내 개인정보보호법 틀 안에 머물러 있던 책임 논의를, 미국 소비자 보호법과 디스커버리 제도를 활용해 글로벌 본사까지 확장하려는 첫 시도라는 점에서 법조계의 관심을 모으고 있다. 디스커버리 절차가 개시되면 한국에서 확보한 자료뿐 아니라, 미국 본사가 보유한 내부 이메일·위험보고·이사회 회의록 등도 증거로 다뤄질 수 있어, 기업의 관리 실태가 보다 투명하게 드러날 가능성이 크다.

동시에 한국에선 이미 여러 건의 집단소송과 형사 고발이 병행되고 있고, 미국에선 투자자 권리 로펌이 공시의 적정성과 경영진의 정보제공 의무 이행 여부를 별도로 조사하고 있다. 이번 사건이 어떻게 결론 나느냐에 따라, 한국 플랫폼 기업 전반의 보안 투자 수준, 내부통제 규제, 그리고 해외 상장 한국 기업에 대한 글로벌 투자자들의 신뢰에까지 영향을 미칠 수 있다는 관측이 조심스럽게 제기된다.