쿠팡, 투자자 기만 혐의로 美 집단소송 가능성…SEC 조사 불가피

사상 초유의 3370만 명 개인정보 유출 사태를 빚은 쿠팡이 미국 증권거래위원회(SEC)의 조사를 받거나 현지 집단소송을 당할 가능성이 제기된다.

1일 SEC에 따르면 미국 증시 상장사는 ‘중대한 사이버 보안 사고’를 인지한 시점으로부터 4영업일 이내에 관련 보고서를 공시해야 한다. 쿠팡은 지난달 18일 개인정보 유출 사실을 인지했다. 단순 계산상 공시 기한은 24일이었다. 하지만 이날까지도 별다른 공시를 하지 않았다.

쿠팡 측은 “18일엔 피해 규모가 불확실해 ‘중대성(materiality)’ 판단을 유보했다”는 입장을 취할 것으로 예상된다. 하지만 3300만 명 이상의 정보 유출을 즉시 알리지 않은 점은 SEC 조사로 이어질 수 있는 사안이다.

주가가 급락하면 미국 로펌 주도의 주주 집단소송을 당할 가능성도 있다. 핵심 논리는 ‘투자자 기만’이 될 것이라는 관측이 나온다.

쿠팡은 지난 2월 SEC에 제출한 연차보고서의 사이버 보안 항목에서 “보안 위협이 사업 전략이나 재무 상황에 중대한 영향을 미치지 않았다”고 공시했다. 향후 중대한 영향을 미칠 가능성에 대해서도 ‘해당 없음’으로 표기했다. 그러나 이번 개인정보 유출 사태로 당시 공시 내용이 허위였다는 비판을 피하기 어렵게 됐다. 특히 이번 해킹이 6월부터 시작돼 5개월간 지속됐음에도 쿠팡 측이 11월 18일에야 이를 인지했다는 점은 논란의 소지가 있다.

업계에서는 미국 증거개시제도인 ‘디스커버리(Discovery)’를 최대 리스크로 꼽는다. 소송이 시작되면 원고 측이 쿠팡 내부의 이메일, 메신저, 회의록 일체를 요구할 수 있다. 이 과정에서 “개발 속도를 위해 보안 절차를 생략했다”거나 “취약점 보고를 묵살했다”는 식의 내부 대화가 발견될 경우 단순 과실을 넘어 배임 및 형사 책임 문제로 확대될 수 있다.

쿠팡 개인정보 유출 사태 피해자들은 이날 첫 단체 손해배상 청구 소송에 나섰다. 쿠팡 이용자 14명은 이날 쿠팡을 상대로 1인당 20만원의 위자료를 청구하는 소장을 서울중앙지방법원에 제출했다. 원고들은 소장에서 “집 주소와 구매 이력이 유출돼 이용자의 사생활 침해와 보이스피싱 등 2차 피해 가능성이 우려된다”고 주장했다.

라현진 기자 raraland@hankyung.com