정치장슬기

[단독] 쿠팡, 청문회 전날 미 증권거래위원회에 "쿠팡 운영 중대한 차질 없어"

입력 | 2025-12-17 10:35   수정 | 2025-12-17 11:04
오늘 국회 청문회를 앞둔 쿠팡이 미국 현지시각 16일, 미국 증권거래위원회(SEC)에 보낸 보고서입니다.

미국 모회사 쿠팡의 법무총괄이자 최고 행정책임자이자 지난 10일 한국 쿠팡 대표가 된 ′해롤드 로저스′ 명의로 돼 있습니다.

보고서는 최근의 정보유출 사건을 두고 <b style=″font-family:none;″>″이번 사건으로 쿠팡의 사업 운영에 중대한 차질은 발생하지 않았다″</b>고 진단하는데, 하나씩 살펴보시죠.
보고서에는 지난달 18일 ″고객 계정에 대한 무단 접근이 발생한 사이버 보안 사고를 인지했다″며 이를 <b style=″font-family:none;″>′중대한 사이버보안 사고(Material Cybersecurity Incidents)′</b>라고 규정했습니다.

이어 ″전직 직원 한 명이 최대 3천300만 개에 달하는 고객 계정과 관련된 이름, 전화번호, 배송지 주소, 이메일 주소를 취득했을 가능성이 있다″면서도 ″은행 정보, 결제 카드 정보, 로그인 자격 증명은 유출되지 않았다″고 유출 사고의 범위를 설명합니다.

보고서에서 눈에 띄는 부분은 ″한국의 규제 당국이 조사를 개시했고, 쿠팡은 이에 전면 협조하고 있다″는 부분입니다.

<b style=″font-family:none;″>하지만 쿠팡은 국회가 오늘 청문회를 앞두고 요청한 자료는 절반 넘게 제출을 거부한 상태입니다.</b>

<div class=″ab_sub_heading″ style=″position:relative;margin-top:17px;padding-top:15px;padding-bottom:14px;border-top:1px solid #444446;border-bottom:1px solid #ebebeb;color:#3e3e40;font-size:20px;line-height:1.5;″><div class=″dim″ style=″display: none;″><br> </div><div class=″dim″ style=″display: none;″>━<br> </div><div class=″ab_sub_headingline″ style=″font-weight:bold;″> ■ 쿠팡, 美 징벌적 손해배상 대상 되나? </div><div class=″dim″ style=″display: none;″><br></div></div>
대한민국 국회가 요구하는 자료는 무시하고 있는 쿠팡은 왜 갑자기 미국 증권거래위원회에 보고서를 제출한 걸까요?

SEC 규정에 따르면 중대한 사이버 보안사고가 발생했을 경우 4영업일 안에 공시를 해야 합니다. 하지만 유출 인지 시점이라고 언급한 지난달 18일 이후 이미 한 달이 흘렀죠.

게다가 쿠팡이 지난 2월 제출한 SEC 보고서에는 ′사이버보안 위협이 기업에 앞으로 중대한 영향을 미칠 가능성이 있는지′라는 항목에 ′그렇지 않다(false)′라고 답했는데, 해당 시점에 이미 고객들의 개인정보가 줄줄 새고 있었던 겁니다.

SEC는 이번 개인정보 유출사고와 같이 ▲중대한 사고를 인지하고도 제때 공시하지 않거나, ▲공시 내용이 허위 또는 불충분해 기업의 평판·신뢰 훼손된 경우에는 과징금을 부과할 수 있습니다.

실제 지난 2014년 수억 명의 개인정보가 유출되고도 외부에 알리지 않은 야후의 경우 SEC로부터 공시의무를 위반했다는 이유로 3천5백만 달러의 과징금을 부과받았죠.

또 한국 법인의 지분을 100% 소유한 미국 법인 쿠팡Inc.를 대상으로 하는 집단 소송을 대비한 움직임이란 평가도 있습니다.

미국에선 중대한 관리·감독 부실이 있었거나 고의적으로 방치를 한 경우 ′징벌적 손해배상′ 대상이 될 수 있는데, 천문학적인 금액을 부담해야할 수 있기 때문입니다.

<div class=″ab_sub_heading″ style=″position:relative;margin-top:17px;padding-top:15px;padding-bottom:14px;border-top:1px solid #444446;border-bottom:1px solid #ebebeb;color:#3e3e40;font-size:20px;line-height:1.5;″><div class=″dim″ style=″display: none;″><br> </div><div class=″dim″ style=″display: none;″>━<br> </div><div class=″ab_sub_headingline″ style=″font-weight:bold;″> ■ 개인정보 유출 처벌 강화, 쿠팡은 제외 </div><div class=″dim″ style=″display: none;″><br></div></div>
현행 우리나라 개인정보보호법은 개인정보 유출 시 기업에 직전 3개월 평균매출의 최대 3배까지 과징금을 부과할 수 있습니다.

지난해 매출 41조 원인 쿠팡은 최대 1조 원대의 과징금이 부과될 수 있는데요, 너무 적은 것 아니냐는 비판이 있습니다.

이에 국회 정무위는 지난 15일 개인정보 유출 시 매출의 10%에 달하는 과징금을 부과할 수 있도록 개인정보보호법 개정안을 통과시켰는데요, 이번 사례에 소급 적용되지는 않습니다.

한국 국회가 요구하는 자료엔 소극적이면서 미국 SEC엔 보고서를 제출한 이유.
각 나라에서 쿠팡이 감수해야 할 불이익의 규모가 다른 데에서 찾을 수 있지 않을까요?