[기고] 소니 판례로 본 쿠팡 소송, 심판대 오른 '데이터 보안 거버넌스'

지난 2014년 캘리포니아 남부 연방법원은 '소니 게이밍 네트워크 데이터 보안 침해 소송(In re Sony Gaming Networks)'에서 데이터 유출 소송의 역사에 남을 만한 판결을 내렸다. 당시 법원이 어떤 법리적 주장이 살아남고 어떤 주장이 기각되는지를 명확히 판시하며 이후 유사 소송들이 참고해야 할 '기초 교과서'를 제시했기 때문이다. 현재 진행 중인 쿠팡(Coupang, Inc.) 집단 소송에서도 이러한 선례를 바탕으로 한 단계 더 치밀하고 고도화된 법적 공방이 전개될 것으로 예상된다.

소니와 쿠팡 사건의 가장 결정적인 차이는 사건을 정의하는 프레이밍에 있다. 소니 사건은 2011년 당시 플레이스테이션 네트워크(PSN)가 해킹당해 약 7,700만 명의 사용자 정보가 유출되고 서비스가 중단됐던 사태에서 비롯됐다. 당시 소송은 ‘데이터 유출’에 모든 초점이 맞춰져 있었다. 외부 침입 사실 자체가 존재했는지, 또 소니가 기술적으로 합리적인 보안조치(Reasonable security)를 이행했는지 여부가 주된 관심사였다.

반면 쿠팡 사건은 본질적으로 '거버넌스 실패(Governance failure)'를 핵심 의제로 삼고 있다. 외부 공격을 막지 못한 기술적 과실을 넘어, 미국 법인을 중심으로 한 글로벌 운영 체계 및 보안 관리 구조 전반의 실패를 다루는 것이다. 보안 의사결정 주체가 누구였는지, 구조적인 방치가 있었는지를 따지는 경영 책임의 영역으로 소송의 층위가 확장된 셈이다.

미국 연방법원에서 개인정보 유출 사건의 첫 관문은 헌법상 원고적격(Standing) 인정 여부다. 앞선 소니 사건에서 법원은 개인정보가 침해됐다는 객관적 사실을 중시해 원고적격의 문은 넓게 열어줬으나, 정작 배상 책임을 따지는 단계에서는 매우 엄격한 잣대를 들이댔다. 단순히 정보가 유출돼 불안하다는 추상적 위험만으로는 배상 요건을 충족하지 못한다고 본 것이다. 당시 법원은 실제 개인정보 오남용이나 사기 시도 및 구체적인 비용 지출과 시간적 손해 등 입증 가능한 '현실적 손해'가 결여된 다수의 청구를 기각했다. 즉, 개인정보 사건의 승부는 유출 사고의 발생 여부가 아니라 그로 인해 발생한 구체적 피해를 어떻게 구성하고 입증하느냐에 달려 있다는 것이 소니 판례가 주는 핵심 사안이다. 따라서 이번 쿠팡 소송의 성패 역시 신원 도용 관리 비용이나 실제 금전 손실 등 유출로 인한 피해 등 현실적인 손해를 얼마나 논리적으로 구체화하느냐에 달려 있다고 볼 수 있다.

법리적 접근 방식 또한 변화가 필요하다. 소니 관련 판결 당시 법원은 “원칙적으로 경제적 손해는 계약법의 영역”이라는 이유로 순수한 과실(Negligence) 청구를 대거 기각했다. 반면 캘리포니아 소비자보호법(UCL·FAL·CLRA)에 근거한 청구는 상당 부분 인정했다. 이는 소비자보호법이 기업의 기만적 행위 존재 여부에 주목하기 때문이다. 법원은 기업이 보안 수준에 대해 어떤 진술을 했는지, 그 진술이 당시 기업 내부에서 인지하고 있던 보안 상태나 위험 인식과 배치되는지, 그리고 그 결과 소비자가 합리적으로 오인됐는지를 중심으로 판단했다. 쿠팡 소송에서도 이러한 흐름은 유효할 것으로 분석된다. 승산이 낮은 과실 책임론보다는 기업이 '업계 표준 암호화'나 '합리적 보안'을 약속했음에도 이를 지키지 않고 소비자를 기만했는지 여부가 핵심 쟁점이 될 것이다. 즉, 소비자 기만과 보안 거버넌스의 실패를 연결하는 것이 이번 소송의 핵심 고리라고 볼 수 있다.

무엇보다 주목해야 할 점은 디스커버리의 질적 확장이다. 과거 소니 사건의 디스커버리가 기술적 보안 조치의 적정성 확인에 머물렀다면 쿠팡 사건은 그 범위를 이사회와 경영진으로 넓혀야 한다. 단순히 '보안 시스템이 마련돼 있었는가'를 넘어 '누가, 어떤 조직 구조 하에서 취약한 시스템을 방치했는가'를 규명해야 하기 때문이다. 미국 본사의 임원 보고 라인, 보안 예산 배정, 의사결정 구조 등을 면밀히 파악하는 것이 이번 소송의 관건이 될 것이다.

결국 쿠팡 소송은 소니 사건 판례라는 교과서를 답습하는 데 그치지 않고, 이를 발판 삼아 글로벌 기업의 본사 책임을 묻는 고도화된 법적 투쟁으로 번질 전망이다. 기술적 과실을 넘어 거버넌스의 책임을 묻는 이번 소송은 향후 글로벌 기업의 데이터 보안 책임 범위를 재정립하는 새로운 사법적 기준이 될 것이다.

● 외부 필진의 기고는 본지 편집 방향과 다를 수 있습니다.

김동식 기자 kds77@kyeonggi.com

[기사전문보기]
[기고] 소니 판례로 본 쿠팡 소송, 심판대 오른 '데이터 보안 거버넌스' (바로가기)