쿠팡의 개인정보 유출 사태가 해외 규제기관 조사와 집단소송으로 번질 조짐을 보이고 있다. 미국 뉴욕증시에 상장한 기업으로서 공시 의무를 다하지 않았다는 의혹이 제기되면서 SEC(미국 증권거래위원회) 조사 가능성이 본격 논의되고 있다.

이번 사태는 국내에서도 피해 규모와 관리 부실 논란이 확산하는 가운데, 해외 투자자 보호 규정 위반 여부까지 더해져 쿠팡이 중대한 리스크에 직면했다는 분석이 나온다.

■ SEC “중대한 사이버 사고는 4영업일 내 공시해야”…쿠팡은 보고 미이행

미국 SEC 규정에 따르면 상장사는 ‘중대한 사이버 보안 침해’를 인지한 시점부터 4영업일 안에 사실을 외부에 알릴 의무가 있다. 쿠팡은 11월 18일 대규모 정보 유출을 확인했지만, 공시 기한인 24일까지 관련 내용을 공시하지 않았다.

쿠팡이 “당시 피해 규모를 판단하기 어렵다”고 주장하더라도, 3300만 명이 넘는 이용자 정보가 유출된 상황에서 공시 지연은 SEC 조사의 직접적인 사유가 될 수 있다는 게 법조계의 해석이다.

■ 미국 집단소송 리스크…핵심 쟁점은 ‘투자자 오도 여부’

미국 주식시장에서 사이버 사고로 기업 가치가 훼손된 경우, 주가 하락을 근거로 주주들이 집단소송에 나서는 일이 흔하다.
쿠팡도 이 범주에 포함될 가능성이 높아졌다는 분석이다.

소송이 진행될 경우 ‘투자자 기만’이 주요 쟁점으로 떠오를 전망이다.

쿠팡은 올해 초 SEC 제출 검토보고서에서

“보안 위협이 사업에 중대한 악영향을 준 적이 없다”

“향후 중대한 위협 가능성도 없다”

고 명시했다. 그러나 이번 유출 사고는 해당 공시가 실제 상황과 다른 내용이었다는 의심을 낳고 있다.

특히 해킹 시도가 6월부터 약 5개월간 지속됐는데도 11월이 돼서야 이를 인지했다는 사실은 내부 보안 관리에 구조적 문제가 있었던 것 아니냐는 논란의 근거가 되고 있다.

■ 미국式 ‘디스커버리’가 가장 큰 리스크…내부 이메일까지 제출해야

국내 기업들이 가장 부담스러워하는 미국 법체계의 특징이 ‘디스커버리(증거개시)’다.
소송이 시작되면 원고가 기업 내부의 이메일, 메신저 로그, 회의 자료 등을 요구할 수 있고 기업은 이를 제출해야 한다.

업계에서는 “만약 내부 문건에서 보안 절차 무시, 취약점 방치, 개선 요청 묵살 등이 발견되면 단순한 관리 소홀을 넘어 배임·형사 문제로 번질 수 있다”고 우려한다.

■ 국내에서도 첫 단체 손배소 시작…1인당 20만 원 청구

한국에서도 피해자들의 움직임이 본격화됐다. 쿠팡 이용자 14명은 1일 쿠팡을 상대로 1인당 20만 원의 정신적 위자료를 청구하는 소송을 서울중앙지법에 제기했다.

이들은 “집 주소와 구매 내역까지 빠져나갔다”며
“보이스피싱 등 2차 피해 위험이 커졌다”고 주장했다.

정부 역시 “징벌적 손해배상 제도 실효성을 높여야 한다”며 강경한 입장을 밝힌 상태다.

■ 업계 “쿠팡 위기는 아직 시작 단계”…글로벌 신뢰도 타격 우려

전문가들은 이번 사태가 단순한 유출 사건을 넘어 쿠팡의 글로벌 신뢰도에 적지 않은 영향을 미칠 수 있다고 지적한다.

한 보안 업계 관계자는
“SEC 조사나 미국 집단소송으로 이어지면 쿠팡은 천문학적 법률 비용과 평판 리스크에 직면하게 된다”며
“특히 미국 시장에서의 성장 전략에 제동이 걸릴 수 있다”고 말했다.