국회는 대형 유출 사고의 책임 소재를 따지기 위해 청문회를 열었지만, 쿠팡 창업주이자 이사회 의장인 김범석 의장(Bom Kim, 사진 가장 왼쪽)이 출석하지 않으면서 “책임 회피” 논란이 거세졌다. (사진: 쿠팡 본사 홈페이지 캡쳐

무려 3370만 계정의 개인정보가 유출된 쿠팡 사태.

만약 같은 규모의 사고가 미국에서 발생했다면 어떤 일이 벌어질까. 전문가들은 한국과 달리 미국에서는 연방정부, 주정부, 집단소송이 동시에 작동하는 '전면전' 구조로 전개됐을 것이라고 입을 모은다.

첫 24시간: 통지 시계가 돌기 시작한다

미국에서 대형 개인정보 유출 사고가 터지면 기업 내부에 '통지 시계'가 걸린다. 늦을수록 사고 자체에 더해 '대응 실패'가 별도 혐의로 붙는 식이다.

쿠팡의 경우 11월 17일 오후 4시 유출을 인지했지만 11월 19일 오후 9시 35분에야 당국에 신고했다. 한국 과학기술정보통신부는 24시간 신고(사이버 침해 사고 신고) 의무 위반(약 53시간 지연)으로 최대 3000만 원의 과태료를 부과할 방침이다.

그러나 미국이라면 이야기가 달라진다. 주마다 다르지만 대부분의 주에서 72시간 이내 통지를 요구하며, 위반 시 주정부 검찰총장이 직접 나서는 경우가 많다.

1주~1개월: 주 검찰총장들이 떼로 몰려든다

미국에서는 한 주가 아니라 여러 주가 동시에 움직인다. 주 검찰총장들이 주목하는 포인트는 비슷하다. 왜 퇴사한 직원이 그 정도 접근 권한을 유지했는지, 인증키를 왜 폐기하지 못했는지, 기록이 보존됐는지, 피해자에게 무엇을 언제 알렸는지 등이다.

쿠팡의 경우 퇴사한 직원이 접근 키를 보유한 채 6월 24일부터 11월까지 5개월간 해외 서버를 통해 무단 접근했다. 미국이었다면 "해커가 대단했다"가 아니라 "회사가 기본을 안 했다"로 프레임이 바뀌었을 것이다.

1~3개월: FTC 개입, 벌금보다 무서운 '장기 감시'

연방거래위원회(FTC)가 소비자 데이터 사고에 개입하면 '불공정·기만행위' 관점에서 기업의 보안·공지·내부통제를 압박한다.

2017년 이퀴팩스(Equifax) 사태 때 FTC는 소비자금융보호국(CFPB), 48개 주와 함께 최대 7억 달러(약 1조 원) 규모의 합의를 이끌어냈다. 이 중 최대 4억2500만 달러는 피해자 지원금으로 책정됐다.

더 무서운 건 그 이후다. 기업은 수년간 데이터 보안 프로그램 의무화, 외부감사, 장기 감독 대상이 된다. "한 번 맞고 끝"이 아니라 "몇 년 동안 감시받는 회사"가 되는 구조다.

동시 진행: 상장사면 SEC도 붙는다

쿠팡은 뉴욕증권거래소(NYSE) 상장사다. 미국 소비자 대상 사고였다면 증권거래위원회(SEC)가 '중대한 사이버 사고 공시' 문제를 별도 전선으로 열었을 가능성이 크다.

실제로 쿠팡은 11월 18일 유출을 인지했지만 12월 16일에야 SEC에 임시 보고서(Form 8-K)를 제출했다. 이 과정에서 투자자들이 제기한 증권 집단소송에서 쿠팡의 시가총액은 80억 달러(약 11조 원) 이상 증발했다.

집단소송 러시

미국에서는 대형 유출이 터지면 집단소송이 사실상 자동으로 붙는다. 쿠팡 역시 12월 27일 캘리포니아 북부 연방법원에 증권 집단소송이 제기됐다.

최근 10년간 주요 사례를 보면 집단소송의 규모를 짐작할 수 있다.

이퀴팩스(2017): FTC·CFPB·주정부가 함께 최대 7억 달러 합의, 피해자 지원 재원 최대 4억2500만 달러

T-Mobile(2021): 대형 유출 소송 3억5000만 달러 합의, 추가로 1억5000만 달러 보안 강화 투자

캐피털원(2019): 집단소송 합의금 1억9000만 달러, 2022년 법원 승인 후 2023년부터 지급 시작

기업들이 거액 합의로 가는 이유는 간단하다. 재판이 길어질수록 규제 대응 비용과 평판·주가 리스크가 눈덩이처럼 커지기 때문이다. 미국식 합의는 보통 이런 형태다. 현금 환급, 일정 기간 신원보호·모니터링 서비스 제공, 보안 투자 확대 약정.

한국은 무엇이 다를까

한국은 개인정보보호법상 유출 인지 시 72시간 내 신고(개인정보 유출을 개인정보보호위원회에 신고) 및 통지(개인정보 유출 시 정보 주체에게 통지) 의무가 있고, 위반 시 과징금·시정명령 등 행정 제재가 중심축이다.

과기정통부는 쿠팡이 신고를 지연했고 2024년 5개월치 웹 접근 기록과 2025년 5~6월 초 애플리케이션 접근 기록을 보존하지 못했다며 별도 조사를 예고했다.

다만 많은 소비자가 체감하는 차이는 보상 문제다. 미국은 집단소송이 현금 합의금 규모로 직결되는 경우가 많지만, 한국은 보상이 가능하더라도 피해 입증·절차 진행의 부담이 상대적으로 크다.

쿠팡은 1조6900억 원(11억7000만 달러) 규모의 5만 원 바우처 보상안을 발표했지만, 이는 쿠팡 플랫폼 내에서만 사용 가능한 형태다.

쿠팡이 보상안으로 제시한 바우처는 쿠팡 플랫폼 내에서만 사용이 가능하다. (사진: 쿠팡 홈페이지)

미국이었으면 더 큰 부담, 한국 소비자의 신뢰 상실

만약 같은 규모의 개인정보 유출과 지연 통지 사고가 미국에서 벌어졌다면 기업은 주정부 조사 + FTC의 장기 감독 + 상장사 공시 리스크 + 집단소송 합의금이 동시에 겹치며 '현금'과 '시간' 양쪽에서 훨씬 큰 부담을 떠안았을 가능성이 높다. 반면 한국에서는 제재와 보상 구조가 미국처럼 대형 소송과 현금 합의로 직결되는 방식이 상대적으로 약해, 소비자들 사이에서는 "기업이 한국의 법과 소비자를 더 가볍게 본 것 아니냐"는 인식이 확산되고 있다. 

특히 한국에서 성장해 한국 소비자의 신뢰로 시장을 장악한 기업의 최고 책임자가 대면 설명과 책임 있는 메시지, 납득할 만한 재발 방지 조치를 충분히 제시하지 않으면서, 이번 사건은 단순한 보안 사고를 넘어 "한국에서만 덜 엄격하게 넘어가려 한다"는 불신으로 굳어지고 있다. 결국 '탈팡'이라는 말이 확산된 것도 단지 분노의 구호가 아니라 "불안하니 멀어진다"는 소비자의 합리적 · 선택적 거리두기라고 봐야 한다. 실제로 한 집계에 따르면 개인정보 유출 여파가 이어진 2026년 1월 쿠팡 월간 활성 이용자 수(MAU)는 전월 대비 3.2% 줄어 약 110만 명 감소한 3,318만 명을 기록했다. 이는 쿠팡 정보 유출 사건이 '법적 처벌'만의 문제가 아니라 기업과 소비자 사이의 신뢰의 문제라는 것을 보여주는 한 일면이다.

쿠팡 주가는 2월 13일 종가 기준 17.13달러를 기록하며 52주 최고가(34.08달러) 대비 49.7% 하락, 거의 절반 수준으로 급락했다. (이미지 출처: 네이버페이 증권, 2026.02.13 기준)