쿠팡에서 수천만 건 규모의 고객 계정 정보가 유출된 뒤, 분쟁 무대는 이미 한국을 넘어 미국 뉴욕 연방법원으로 옮겨가고 있다. 국내에서는 개인정보보호위원회 조사, 형사 고발, 집단 손해배상 소송이 진행 중이고, 미국에서는 법무법인 대륜과 그 미국 현지 법인 SJKP가 쿠팡 모회사인 쿠팡 Inc.를 상대로 집단소송을 준비하고 있다. 표면적으로는 한국에서 발생한 데이터 유출 사건이지만, 실질 쟁점은 "누가 보안 시스템을 설계·통제했는가" 그리고 "그 책임을 어디까지 끌어올릴 수 있는가"에 맞춰져 있다.

대륜 측이 한국과 미국 소송의 병행을 강조하는 이유는 명확하다. 한국 소송은 국내 법인과 관리책임자에게 민·형사상 책임을 묻는 절차인 반면, 뉴욕 연방법원 소송은 미국 상장사인 쿠팡 Inc. 이사회와 글로벌 지배구조까지 겨냥한다. 특히 미국 민사소송에서만 가능한 강제 증거개시(Discovery) 절차를 활용하면, 한국에서는 접근하기 어려운 이사회 회의록, 보안 투자 관련 내부 이메일, 리스크 보고서 등이 공개될 수 있다. 이 지점이 이번 분쟁의 향방을 가를 핵심 변수다.

미국 쿠팡 Inc.가 쿠팡을 장악한 지배구조

쿠팡의 지배구조는 겉으로는 다국적 기업의 일반적 구조를 따르지만, 실제 통제는 미국 본사에 집중되어 있다. 최상단에는 미국 델라웨어 법인이며 뉴욕증권거래소(NYSE)에 상장된 쿠팡 Inc.가 있고, 이 회사가 한국 쿠팡 주식회사 지분 100%를 보유한다. 한국에서 영업 중인 쿠팡풀필먼트서비스(CFS), 쿠팡로지스틱스서비스(CLS), 쿠팡페이, 쿠팡파이낸셜, CPLB 등 주요 자회사들은 모두 한국 법인이지만, 궁극적으로는 미국 쿠팡 Inc.의 완전 지배 아래 있다.

통제력의 실질적인 축은 김범석 의장이 쥐고 있는 차등의결권 구조다. 김 의장은 의결권이 보통주보다 29배 많은 클래스B 보통주를 통해 경제적 지분 10% 미만으로도 70%가 넘는 의결권을 행사한다. 그 결과 쿠팡 Inc. 이사회 구성이 사실상 김 의장 의사에 좌우되고, 한국 법인의 전략·예산·보안 투자 수준 역시 뉴욕 이사회에서 결정되는 구조가 형성됐다. 김 의장이 한국 쿠팡 등기이사와 공정거래법상 ‘동일인(총수)’ 지위에서는 한 발 물러난 상황이라는 점까지 감안하면, "결정과 통제는 미국에서, 형식상의 책임은 한국에서"라는 구조적 모순이 분명히 존재한다.

정보보안 체계만 놓고 봐도 마찬가지다. 서버 인프라, 클라우드 아키텍처, 보안 솔루션 선정, 보안 인력 배치와 예산 배분 같은 결정은 한국 현장보다 미국 본사 차원에서 이뤄졌다는 평가가 지배적이다. 그렇다면 개인정보 유출 사고 역시 단순히 한국 법인의 관리 부실로만 볼 수 있는지, 아니면 미국 본사의 보안 투자 기조와 리스크 관리 문화가 낳은 구조적 문제로 볼 것인지가 핵심 쟁점으로 떠오른다.

왜 뉴욕 연방법원인가: 법인격 부인과 관할권 논리

미국에서 쿠팡 Inc.의 책임을 직접 묻기 위해 대륜·SJKP 측이 내세우는 법리의 중심에는 법인격 부인이 있다. 일반적으로 모회사와 자회사는 독립된 법인이지만, 모회사가 자회사를 사실상 자신의 ‘하위 부서’처럼 운영하고, 이를 통해 책임을 회피해 왔음이 드러날 경우, 미국 법원은 형식적 법인격을 관통해 모회사에게 직접 책임을 물을 수 있다.

이때 핵심은 세 가지다. 첫째, 지배와 통제의 정도다. 모회사가 이사 선임, 사업 전략, 예산 승인, 정보보안 정책 등에서 자회사에 실질적으로 구체적인 지시를 해 왔는지, 자회사 경영진이 독립적인 판단 여지가 있었는지를 따진다. 둘째, 데이터 관리·보안 의사결정 권한이 어디에 있었는지다. 보안 투자 우선순위, 외부 보안업체 선정, 사고 발생 후 대응 프로토콜까지 모회사 레벨에서 정해졌다면, 개인정보 유출이라는 결과에 대한 책임도 모회사까지 올라갈 수 있다.

셋째, 이러한 구조가 책임 회피를 목적으로 설계·운영돼 왔는지 여부다. 한국에서는 등기임원과 대표자 지위를 피하면서, 미국에서는 상장사 프리미엄과 투자자 신뢰를 누려온 지배구조가 사실상 위험과 책임만 한국 법인에 떠넘기는 장치로 기능했다면, 이는 전형적인 법인격 남용 사례로 평가될 수 있다. 뉴욕 연방법원이 이런 구조를 어떻게 바라볼지, 이번 소송은 중요한 선례가 될 수 있다.

뉴욕 연방법원이 관할권을 가질 수 있는 근거도 여기에 맞닿아 있다. 쿠팡 Inc.는 델라웨어 법인이자 뉴욕증시에 상장된 미국 기업이고, 보안 시스템 설계·투자 의사결정이 미국 이사회에서 이뤄졌다면, 한국에서 발생한 피해라 하더라도 그 ‘원인 행위’는 미국에서 발생한 것으로 볼 수 있다. 이번 소송은 자회사의 행위에 기반해 모회사 책임을 묻는 동시에, 글로벌 투자자에게 제공된 공시가 적정했는지까지 다투는 구조로 설계될 가능성이 크다.

한국·미국 약관 구조와 면책·중재 조항의 한계

쿠팡 국내 이용약관에는 분쟁 관할 법원을 특정하는 조항이 없다. 이 때문에 한국 소송에서는 민사소송법상 일반 관할 규정에 따라 서울중앙지방법원이 관할을 인정했다. 관할 조항이 없다고 해서 바로 위법은 아니지만, 수천만 명이 이용하는 플랫폼 사업자로서 분쟁 해결 경로를 이용자에게 명확하게 제시하지 않았다는 점에서는 아쉬움이 남는다.

보다 본질적인 문제는 2024년 11월 추가된 면책 조항이다. 쿠팡은 약관에 "회사는 서버에 대한 제3자의 불법적 접속으로 인한 손해에 대해 책임지지 않는다"는 취지의 조항을 넣었다. 개인정보 유출 사고가 불거지기 약 1년 전 삽입된 이 조항은, 결과적으로 이번 사건에서 "미리 책임을 회피하려 한 것 아니냐"는 의구심을 낳고 있다.

그러나 약관규제법과 개인정보보호법의 체계를 보면, 이런 광범위한 면책 조항이 온전히 유지될 가능성은 크지 않다. 개인정보보호법은 사업자에게 기술적·관리적 보호조치 의무를 부과하고 있고, 정보통신망법 역시 안전조치 미이행에 대한 책임을 명시한다. 사업자가 자신의 중대한 과실이나 안전조치 의무 위반까지 일괄적으로 면책하는 조항은, 소비자의 정당한 권리를 배제하는 불공정약관으로 무효가 될 소지가 크다. 과거 공정거래위원회가 쿠팡의 불공정약관을 문제 삼아 시정명령을 내린 전례가 있다는 점도, 이번 사건에서 법원의 판단에 영향을 줄 수 있다.

미국 쪽 약관은 또 다른 쟁점을 던진다. 쿠팡 글로벌 판매자 서비스 약관과 임원 계약서에는 델라웨어주법을 준거법으로 하고, 미국중재협회(AAA) 규칙에 따른 단독 중재를 규정하는 조항이 포함돼 있다. 셀러 약관에는 집단소송(class action)을 금지하고 개별 중재(individual arbitration)만 허용한다는 내용도 들어 있다. 그러나 이는 어디까지나 셀러·임원 등 특정 계약 당사자에게 적용되는 규정일 뿐, 한국 소비자 전체를 미국 중재로 강제할 근거는 되지 못한다.

개인정보보호·소비자보호와 같이 공익성이 강한 분야에서 미국 법원은 중재 합의의 범위를 엄격하게 해석하는 경향이 있다. 이번 사건에서도 뉴욕 연방법원이 소비자 집단소송의 관할권을 인정할 여지가 충분하다는 것이 미국 로펌들의 공통된 시각이다.

미국 집단소송의 전략: 징벌적 배상과 증거개시

한국 피해자 입장에서 미국 집단소송 참여 여부를 고민할 때 가장 현실적인 문제는 "배상 규모"와 "절차의 실질적 효과"다. 한국 법원은 개인정보 유출 사건에서 1인당 위자료를 수십만 원 선에서 인정해 왔다. 반면 미국에서는 기업의 악의성, 중대한 과실, 사고 이후의 은폐 또는 축소 시도가 입증될 경우, 징벌적 손해배상을 통해 그 몇 배에 달하는 배상액이 산정될 수 있다.

또한 미국 집단소송에서 합의금은 전체 피해자가 아닌, 실제로 소송에 참여한 집단 구성원을 기준으로 나뉜다. 피해자 수가 많을수록 기업이 부담해야 할 총액은 커지지만, 동시에 개별 참여자의 수에 따라 1인당 수령액도 달라질 수 있다. 대륜과 SJKP가 한국·해외 피해자를 폭넓게 모집하는 이유도 여기에 있다.

그러나 단순한 금액 문제를 넘어, 국내외 규제·수사에 미칠 구조적 효과가 중요하다. 미국 디스커버리 절차를 통해 미국 본사의 보안 투자 내역, 사고 인지 시점, 경영진 보고 라인, 사고 이후 커뮤니케이션 전략까지 구체적인 문서와 이메일이 드러난다면, 한국 개인정보보호위원회 조사와 형사 수사, 국내 민사소송에서도 그 자료를 참고할 수 있다. 이는 결과적으로 한국에서의 책임 규명과 제재 수위에도 영향을 줄 수 있다.

한국·미국 소송 병행이 갖는 의미

한국 피해자 입장에서 한국과 미국 소송은 대체 관계가 아니라 보완 관계에 가깝다. 한국에서는 개인정보 유출 사실 확인, 2차 피해 여부, 손해액 입증 등을 바탕으로 국내 법제에 따른 손해배상을 구하게 된다. 동시에 한국 공공기관의 조사·제재를 통해 국내 법인의 책임을 묻는 절차도 진행된다.

반면 미국 뉴욕 연방법원 소송은 보다 상위 구조인 쿠팡 Inc.의 책임을 겨냥한다. 여기서는 데이터 보안 의무 위반뿐 아니라, 상장사로서 투자자에게 제공한 공시의 적정성, 내부통제 시스템의 실효성, 이사회가 리스크를 어떻게 인지·관리했는지까지 쟁점이 될 수 있다. 만약 미국에서 모회사 책임이 인정된다면, 이는 한국 재판뿐 아니라 글로벌 규제기관의 향후 대응에도 강한 신호를 줄 것이다.

물론 개별 이용자 입장에서는 미국 소송 참여가 부담스러울 수 있다. 소송 기간, 결과 불확실성, 개인정보 추가 제공 등에 대한 우려도 있다. 그럼에도 초국경 플랫폼 시대에 자국 이용자가 해외 모회사까지 상대로 책임을 묻는 첫 사례라는 점에서, 이번 소송은 향후 유사 사건의 선례가 될 가능성이 크다.

초국경 플랫폼 지배구조에 대한 정책 과제

쿠팡 사태는 단일 기업의 보안 사고를 넘어, "외국 상장 국내 플랫폼"이라는 새로운 기업 모델의 구조적 취약성을 드러낸다. 국내에서는 막대한 매출과 데이터를 창출하면서도, 모회사와 실질 의사결정권은 해외에 있고, 국내 경영진은 책임이 제한된 형태로 설계된 지배구조가 개인정보·소비자 보호의 사각지대를 만들고 있다.

정책 차원에서 몇 가지 과제가 분명해졌다.

첫째, 국내에서 대규모 이용자를 상대하는 플랫폼 기업의 경우, 모회사가 외국에 있더라도 국내 법인과 경영진에게 실질적 책임을 지우는 제도 정비가 필요하다. 공정거래법상 동일인 지정 기준, 개인정보보호법상 대표자 책임 규정, 중대재해처벌법의 경영책임자 범위 등을 종합적으로 재검토해 초국경 플랫폼에 맞는 책임 구조를 설계해야 한다.

둘째, 대규모 데이터 침해 사건에 대응하기 위한 국가 간 공조 메커니즘을 강화해야 한다. 미국 SEC·FTC 등 감독기관과 한국 개인정보보호위원회, 공정거래위원회가 공시의무 위반, 소비자 기만, 개인정보보호 위반을 함께 다루는 협력 모델을 구축하는 것이 필요하다.

셋째, 이용약관·면책 조항 규율을 강화해 사업자가 기술적·관리적 보호조치 의무까지 포괄적으로 면책하는 조항은 허용되지 않는다는 점을 분명히 해야 한다. 특히 개인정보보호법·정보통신망법·약관규제법의 관계를 정교하게 다듬어, 플랫폼 사업자가 위험을 전적으로 이용자에게 떠넘기는 설계를 원천적으로 차단할 필요가 있다.

이번 쿠팡 사태는 한국 소비자·정책당국·사법부 모두에게 하나의 질문을 던진다. "결정과 이익은 해외 모회사에, 피해와 책임은 국내 이용자에게"라는 구조를 그대로 둘 것인가, 아니면 초국경 플랫폼 시대에 걸맞은 새로운 책임 규범을 만들어 갈 것인가 하는 문제다. 뉴욕과 서울 법정에서 시작된 논쟁은 단지 한 기업의 손해배상 문제를 넘어, 한국 디지털 경제의 거버넌스 방향을 가늠하는 시험대가 될 가능성이 크다.