12월 10일 오후, 쿠팡의 선택
“최근의 개인정보 사태에 대해 국민께 실망드린 점에 대해 매우 송구스럽게 생각한다. 이번 사태의 발생과 수습 과정에서의 책임을 통감하고 모든 직위에서 물러나기로 했다.”
박대준 쿠팡 대표이사의 사임 발표였다.
3,370만 건 개인정보 유출 사고 발생 34일 만이다. 11월 6일 해킹이 발생했고, 18일 뒤늦게 인지했으며, 29일 규모를 공개했다. 그리고 오늘, 대표가 물러났다.
그러나 이것으로 끝이 아니다. 오히려 본격적인 법적 책임 공방이 이제 시작됐다.
사임의 의미: 왜 지금인가
압박의 삼중주
박대준 대표를 물러나게 한 것은 세 가지 압박이었다.
1. 국내 형사 수사
12월 9일과 10일, 이틀 연속 경찰이 쿠팡 본사를 압수수색했다. 서울경찰청 사이버수사과는 수사관 17명을 투입해 각 10시간씩 강도 높은 수사를 진행했다.
압수수색 영장에는 중국인 전직 직원이 피의자로 특정됐다. 혐의는 정보통신망법상 정보통신망 침입 및 비밀 누설.
경찰은 쿠팡이 임의 제출한 서버 로그만으로는 부족하다고 판단했다. 객관적 사실관계를 직접 확인하겠다는 의지다.
2. 국회 청문회 예고
12월 17일, 국회 과학기술정보방송통신위원회가 청문회를 연다.
증인 소환 대상:
- 김범석 쿠팡 이사회 의장
- 박대준 대표
- 강한승 전 대표
- CISO(정보보호최고책임자)
청문회 일주일 전 대표가 사임한 것은 우연일까?
청문회에서 “저는 이미 사임한 사람입니다"라고 말하는 것과 “저는 현직 대표입니다"라고 말하는 것의 무게는 다르다.
3. 미국 집단소송 제기
결정타는 미국에서 날아왔다.
12월 10일, 법무법인 대륜의 미국 현지 법인 SJKP는 뉴욕 남부연방법원에 집단소송을 제기한다고 발표했다.
대상은 한국 쿠팡이 아니라 쿠팡 Inc. (미국 모회사, 나스닥 상장사).
이 소송은 한국 수사와는 차원이 다르다. 왜냐하면 미국 소송에는 **디스커버리(Discovery)**라는 무기가 있기 때문이다.
사임으로 끝나지 않는 책임
박대준 대표가 물러났지만, 법적 책임은 그대로다.
형사 책임
개인정보보호법 제71조 (정보통신망법 포함)
- 5년 이하 징역 또는 5천만원 이하 벌금
- 대표이사 개인도 처벌 가능
사임했다고 해서 수사 대상에서 제외되지 않는다. 재직 중 발생한 사고에 대한 책임은 퇴직 후에도 추궁된다.
중요 판례: 대법원 2017도19571 (2018)
“법인의 대표자가 퇴임한 후에도 재임 중 발생한 법 위반에 대해서는 형사 책임을 진다.”
민사 책임
손해배상 청구
- 1인당 수십만원 ~ 수백만원
- 3,370만 명 × 평균 50만원 = 16조 8,500억원
물론 실제 배상액은 이보다 훨씬 낮을 것이다. 그러나 SK텔레콤 사례(2,700만 명 유출, 과징금 1,374억원)를 고려하면 최소 수천억원 규모다.
행정 제재
과징금
- SK텔레콤보다 큰 규모 → 1,500억원 이상 전망
영업정지 가능성
- 전자상거래법: 재산 손실 발생 시 영업정지 가능
- 과기정통부: “관계 기관과 적극 협의”
한국 vs 미국: 두 전선의 싸움
박대준 대표가 사임하면서 쿠팡의 지휘체계는 사실상 미국으로 넘어갔다.
새 임시 대표: 해롤드 로저
- 쿠팡 Inc. (미국 모회사) 최고관리책임자
- 법무총괄
한국인 대표 → 미국인 법무총괄로 교체. 이는 법적 방어 체제로의 전환을 의미한다.
그리고 이제 쿠팡은 두 전선에서 싸워야 한다.
전선 1: 한국 (형사 수사)
경찰의 목표:
- 중국인 전직 직원 신병 확보
- 유출 경로 및 원인 규명
- 쿠팡의 보안 관리 소홀 입증
문제:
- 용의자가 이미 중국으로 출국
- 중국은 자국민 불인도 원칙 (자국민을 타국에 넘기지 않음)
- 인터폴 적색수배 가능하지만 실효성 의문
2025년 8월 BTS 정국 계좌 해킹범을 중국이 인도한 사례가 있지만, 매우 예외적이다.
결과 전망:
- 피의자 신병 확보 어려움
- 쿠팡 법인과 관계자에 대한 수사 집중
- 기소 가능성 높음
전선 2: 미국 (민사 집단소송)
이쪽이 더 무섭다. 왜냐하면 디스커버리 때문이다.
디스커버리: 쿠팡이 두려워하는 이유
디스커버리란?
Discovery. 직역하면 “발견”.
미국 소송 절차에서 양측이 서로에게 증거를 공개하도록 강제하는 제도다.
한국에서는 검찰이나 법원이 증거를 확보한다. 그러나 미국에서는 상대방이 직접 증거를 요구할 수 있다.
무엇을 요구할 수 있나?
문서 제출 요구 (Document Request)
- 이메일
- 내부 보고서
- 이사회 회의록
- 보안 감사 기록
- 사고 대응 매뉴얼
- 임직원 간 메신저 대화
증언 요구 (Deposition)
- 임원 출석 심문
- 선서 후 답변 (위증 시 처벌)
전자 증거 제출 (E-Discovery)
- 서버 로그
- 데이터베이스 백업
- 삭제된 파일 복구본
거부하면?
법원 명령 불이행 = 패소
미국 법원이 “제출하라"고 명령했는데 거부하면:
- 불이행 제재 (Sanctions)
- 최악의 경우 자동 패소 판결
왜 한국 수사보다 무서운가?
1. 범위가 넓다
한국 경찰 압수수색: 특정 혐의 관련 증거만 미국 디스커버리: “관련 있을 가능성이 있는 모든 것”
예를 들어:
- “2024년 1월부터 2025년 11월까지 정보보호 관련 모든 이메일”
- “보안 취약점 지적한 내부 보고서 전부”
- “중국인 직원 채용 및 권한 부여 관련 모든 문서”
2. 숨길 수 없다
한국: 쿠팡이 “임의 제출"한 자료만 분석 미국: 법원 명령으로 강제 제출
3. 내부 갈등이 드러난다
디스커버리로 나올 수 있는 것들:
- “보안팀이 위험하다고 경고했는데 경영진이 무시했다"는 이메일
- “비용 절감을 위해 보안 투자를 미뤘다"는 회의록
- “사고 후 증거 인멸 지시” 의혹
이런 것들이 법정에 제출되면? 쿠팡의 고의성 또는 중과실이 입증된다.
실제 사례: 디스커버리의 위력
Equifax 사건 (2017)
미국 신용평가사 이쿼팩스에서 1억 4,700만 명 정보 유출.
디스커버리에서 드러난 것:
- 보안 패치를 2개월간 방치한 내부 이메일
- 임원들이 사고 인지 후 주식을 미리 매도한 거래 기록
결과:
- CEO 사임
- 집단소송 합의금: $425 million (약 6,000억원)
- 형사 기소
Yahoo 사건 (2013-2014)
30억 개 계정 정보 유출.
디스커버리에서 드러난 것:
- 2014년에 해킹을 알았지만 2016년까지 공개 안 함
- 이사회 보고서에 “공개하면 주가 폭락"이라는 내용
결과:
- 집단소송 합의금: $117.5 million (약 1,600억원)
- 베라이즌 인수 가격 $350 million 할인
쿠팡도 위험하다
이미 드러난 의혹들
1. 퇴사자 권한 미회수
중국인 전직 직원이 퇴사 후에도 시스템에 접근 가능했다.
디스커버리 질문:
“퇴사자 계정 관리 매뉴얼을 제출하시오. 그리고 이 직원의 퇴사 시점과 권한 회수 시점을 증명하는 모든 기록을 제출하시오.”
2. 5개월간 감지 못함
6월 24일부터 해킹이 시작됐지만 11월 18일에야 인지.
디스커버리 질문:
“실시간 모니터링 시스템 운영 기록을 제출하시오. 그리고 이상 트래픽 탐지 알람이 발생하지 않은 이유를 설명하는 모든 문서를 제출하시오.”
3. 임원 주식 매도
- CFO: 11월 10일 약 32억원 매도
- 전 부사장: 11월 17일 약 11억원 매도
공식 인지(11월 18일) 직전이다.
디스커버리 질문:
“11월 10일 이전 임원진이 정보 유출을 인지했는지 여부를 보여주는 모든 이메일, 회의록, 메신저 대화를 제출하시오.”
쿠팡이 숨기고 싶은 것
1. 비용 절감 vs 보안 투자
쿠팡은 적자 탈출을 위해 비용 절감을 강조해왔다.
만약 내부 문서에 “보안 투자를 줄여 비용 절감하자"는 내용이 있다면? 중과실 또는 고의 인정.
2. 중국 개발자 의존도
나무위키와 언론 보도에 따르면, 쿠팡은 상하이·베이징에 개발 지사를 두고 중국인 개발자를 다수 고용했다.
한국 고객의 민감 정보를 다루는 시스템을 외국인에게 맡긴 것에 대한 위험 평가 문서가 있을까? 없다면 관리 소홀 입증.
3. ISMS-P 인증의 허상
쿠팡은 정보보호·개인정보보호 관리체계(ISMS-P) 인증 기업이다.
그런데 5개월간 해킹을 못 찾았다? 인증이 유명무실했다는 증거다.
디스커버리 vs 한국 수사: 비교
| 항목 | 한국 형사 수사 | 미국 디스커버리 |
|---|---|---|
| 주체 | 경찰/검찰 | 원고 변호인단 |
| 범위 | 특정 혐의 관련 | 관련 가능성 있는 모든 것 |
| 강제력 | 영장 필요 | 법원 명령 |
| 거부 시 | 증거인멸죄 | 패소 가능 |
| 내부 문서 | 제한적 | 광범위 |
| 임원 증언 | 선택적 | 강제 (선서) |
쿠팡의 선택지
1. 합의 (Settlement)
미국 집단소송의 90% 이상은 합의로 끝난다.
장점:
- 디스커버리로 내부 문서 공개 안 됨
- 빠른 종결
- 판결보다 배상액 적을 수 있음
단점:
- 합의금 최소 수천억원
- “사실상 책임 인정"으로 해석됨
2. 끝까지 싸우기
장점:
- 혹시 모를 승소 가능성
단점:
- 디스커버리로 모든 내부 문서 공개
- 소송 장기화 (2-3년)
- 패소 시 배상액 + 징벌적 손해배상 (최대 5배)
3. 한국에서 먼저 처리, 미국에서 인용
한국 법원에서 먼저 합의하고, 미국 소송에서 “이미 한국에서 배상했다"고 항변.
문제:
- 미국 법원이 인정 안 할 수 있음
- 이중 배상 위험
기업의 교훈: 글로벌 컴플라이언스
쿠팡 사태는 글로벌 기업의 정보보호 리스크를 보여준다.
교훈 1: 나스닥 상장 = 미국 법 적용
쿠팡은 한국 기업이지만 미국에 상장했다.
결과:
- 미국 증권법 적용
- 미국 집단소송 대상
- 디스커버리 적용
교훈 2: 국경 없는 데이터, 국경 있는 책임
데이터는 국경을 넘나들지만, 책임은 각국 법으로 따진다.
- 한국: 개인정보보호법
- 미국: 집단소송
- EU: GDPR (쿠팡이 EU 진출 시 추가 제재)
교훈 3: 퇴사자 관리 = 내부자 위협 관리
이번 사건의 핵심은 퇴사자 권한 미회수.
필수 조치:
- 퇴사 당일 모든 계정 비활성화
- 액세스 토큰 즉시 무효화
- VPN/원격 접속 차단
- 회사 장비 반납 확인
교훈 4: ISMS-P 인증 ≠ 안전
쿠팡은 ISMS-P 인증 기업이었다.
그런데 5개월간 해킹을 못 찾았다.
인증의 한계:
- 서류 심사 중심
- 실제 보안 역량과 괴리
- 사후 관리 미흡
진짜 필요한 것:
- 실시간 모니터링
- 이상 탐지 시스템
- 정기적 모의 해킹 테스트
마치며: 대표가 바뀌어도 책임은 남는다
박대준 대표는 물러났다. 해롤드 로저가 임시 대표가 됐다.
그러나 책임은 사라지지 않는다.
- 한국 경찰은 계속 수사한다
- 국회 청문회는 예정대로 열린다
- 미국 집단소송은 이제 시작이다
그리고 디스커버리는 기다리고 있다.
쿠팡의 내부 문서들이, 이메일들이, 회의록들이 법정에 제출되는 날.
우리는 알게 될 것이다.
이 사고가 정말 예방 불가능했는지, 아니면 충분히 막을 수 있었는지를.
3,370만 명의 개인정보 유출.
대표 한 명의 사임으로 끝날 일이 아니다.
참고자료
- 서울경찰청 쿠팡 압수수색 관련 발표 (2025.12.9-10)
- 법무법인 대륜 SJKP 미국 소송 제기 발표 (2025.12.10)
- 국회 과방위 청문회 의결 (2025.12.9)
- Federal Rules of Civil Procedure (FRCP) - Discovery 규정
- Equifax Data Breach Settlement (FTC, 2019)
- Yahoo Data Breach Settlement (2018)
업데이트
- 2025.12.10: 박대준 대표 사임, 해롤드 로저 임시 대표 선임
- 2025.12.10: SJKP 미국 집단소송 제기 발표
- 2025.12.9-10: 경찰 이틀 연속 압수수색
- 2025.12.17: 국회 청문회 예정