뉴욕—한국 최대 전자상거래 기업 쿠팡에서 발생한 대규모 개인정보 유출 사고가 회사의 글로벌 위상을 흔들고 있다. 이번 사고로 약 3,370만여 건의 이용자 정보가 외부로 유출된 것으로 파악되며, 피해자들을 대리한 법무법인이 미국 연방법원에 쿠팡 본사(Coupang Inc.)를 상대로 집단소송(class action) 을 제기할 예정이라고 밝혔다.
회사와 수사 당국의 조사 결과에 따르면, 이번 유출 사고는 지난 6월 24일경 외부 서버를 통해 시작됐으나 쿠팡이 이를 처음 인지한 시점은 11월 18일이었다. 초기에는 피해 규모가 소수에 그치는 것으로 알려졌으나, 내부 보안 재검토 결과 유출 범위가 수천만 건 수준으로 확대된 것으로 드러났다. 노출된 정보는 이름·이메일·전화번호·배송 주소·주문 내역 등으로 알려졌으며, 결제정보(카드 번호)나 비밀번호 등은 포함되지 않았다는 설명도 나왔다.
수사당국과 회사 측은 공격자가 내부에서 사용되던 비공개 인증키(private authentication key) 를 이용해 시스템에 접근한 정황을 포착했다고 밝혔다. 현재 전직 엔지니어가 퇴사 후에도 유효했던 인증키를 악용했을 가능성이 제기되며, 일부 전·현직 관계자들에 대한 수사가 진행 중이다. 쿠팡 측 경영진은 추가 인사 연루 가능성이 있다고 밝혔다.
한국 로펌의 미국 지사인 SJKP(대륜법인 계열)는 맨해튼에서 기자회견을 열고 쿠팡의 미국 본사를 상대로 징벌적 손해배상(punitive damages) 을 포함한 집단소송을 공식제기할 계획이라고 발표했다. SJKP는 소장에서 데이터 유출, 소비자 보호법 위반, 보안 의무 위반 등을 근거로 청구할 방침이며, 미국의 징벌적 손해배상 제도가 적용될 경우 국내 소송보다 더 큰 배상액이 인정될 가능성이 있다고 법률대응팀은 설명했다.
미국 소송은 쿠팡이 2019년 이후 뉴욕·시애틀 등지에 설치한 글로벌 법인·지사와의 연결고리를 근거로 제기될 예정이며, 피해자 범위에 따라 다수의 미국·해외 소비자들도 소송 참여 가능성이 제기된다.
이번 사태는 한국 정부 차원의 강력대응 요구로 이어졌다. 이재명 대통령(기사 인용명)은 기업의 개인정보 관리 책임을 문제 삼으며 엄중한 처벌과 제도 개선을 촉구했다. 정부 측은 기존 벌칙·과징금 체계의 보완 필요성을 제기했고, 일각에서는 기업 과실에 대해 최대 수천억 원대의 행정처분 가능성까지 거론되고 있다.
유출 사실이 알려진 이후 쿠팡의 일부 서비스 이용자 수가 감소하고 있으며, 소비자 불안이 확산되고 있다. 국내외 언론은 이번 사건을 ‘한국의 역대 최대 규모 개인정보 유출’ 사례로 지칭하며 기업 신뢰성 훼손과 향후 영업·주가 영향 가능성을 보도하고 있다.
국내법원과 달리 미국 법원은 징벌적 손해배상 제도를 통해 기업의 관리 소홀에 대해 보다 무거운 배상을 인정하는 사례가 있어, 미국 소송 결과가 글로벌 배상액·선례에 큰 영향을 미칠 수 있다.
쿠팡 측은 현재 수사에 적극 협조 중이며, 고객 보호를 위한 추가 보안조치와 피해 최소화 방안을 내놓겠다는 입장을 밝혔다. 다만 피해 규모·원인 규명과 향후 법적 책임 소재가 확정될 때까지 파장이 이어질 것으로 보인다.