.jpg)
[3줄 요약]
1. “연방법·주법 차이 이용해 교묘하게 중대성 희석”
2. 신고 의무 부여하는 주 많아... 유출만으로 문제되기도
3. “손배 소송 앞두고 별거 아니라는 인식 심으려는 전략”
[보안뉴스 강현주 기자] 쿠팡 대표가 3370만명의 개인정보 유출 사고를 당한 것을 두고 국회에서 “미국에서는 법 위반이 아니다”란 취지의 발언을 해 논란이 되고 있다. 국내외 손해배상 소송을 앞두고 글로벌 스탠다드로는 중대성이 낮다는 인식을 심기 위한 전략적 발언이라는 분석이 제기된다.
18일 법조계 및 보안 분야 전문가들은 해럴드 로저스 쿠팡 임시 대표의 발언에 대해 “마치 글로벌 스탠다드 상으로는 이번 사고가 중대하지 않은 것 같은 인식을 심으려는 전략적이고 교묘한 회피 발언”이라고 지적했다.
▲해럴드 로저스 쿠팡 임시 대표가 청문회 답변 중이다. [자료: 연합]
“미국법 위반 아냐” 틀린 말은 아니다
이번 쿠팡 사고로 이용자 3370만명의 이름과 이메일, 주소, 전화번호, 주문내역 등의 개인정보가 유출됐다.
이에 대해 로저스 쿠팡 임시 대표는 17일 국회 과학기술정보방송통신위원회 청문회에 출석해 “사실 미국에선 이런 종류의 데이터 유출이 프라이버시법 위반이 아니다. 미국증권거래위원회(SEC)는 어떤 정보 공유도 요구하지 않는다”(In fact, in the Unisted States, a leak of data of this kind is not a violation of privacy law, does not require any information sharing with the SEC)라고 말했다. 그는 “그렇다고 한국 사고를 가볍게 본다는 뜻은 아니”라며 “만일 비슷한 상황이 미국에서 벌어졌다면, 데이터 민감도를 고려했을 때 법 위반은 아니”라고 말했다.
미국 국민의 개인정보에 관한 연방 법으로는 ‘프라이버시법’(Privacy Act)이 있다. 하지만 이는 공공 분야에 적용되는 법이며 민간엔 해당되지 않는다.
민간 기업의 개인정보보호에 대해서는 ‘연방거래위원회법’이나 각 주의 관련 법을 적용받는다. 가령 캘리포니아주엔 ‘캘리포니아 프라이버시법’(CCRA)이 있다.
법조인이기도 한 로저스 대표의 “in the United States”, 즉 “미국 연방” 차원의 법 위반이 아니라는 발언이 틀린 말은 아닌 셈이다.
연방법과 주 법은 다르다... “유출만으로 문제되기도”
그의 발언은 마치 이번 쿠팡의 개인정보 유출이 글로벌 기준으로는 국내에 비해 법적으로 중대하지 않다는 인상을 준다.
가령, 국내 기업의 경우 한국 개인정보보호법에 따라 개인정보 유출 사고가 터졌을 때 당국에 고지 및 신고해야 할 의무가 있다. 반면 미국은 연방 차원에선 이에 해당하는 법이 없다.
하지만 각 주의 관련 법에 따라 고지와 신고 의무를 부과하는 주들이 많다. 미국이라고 이번 같은 사고가 법적으로 중대하지 않다는 것으로 이해해선 안된다는 지적이 나온다.
고학수 전 개인정보보호위원회 위원장은 소셜미디어를 통해 “미국에 ‘Privacy law’라는 이름의 법은 없고, 연방법 및 주법 형태로 다양한 이름의 법이 있다”며 “데이터 유출(Data breach)에 대해 신고나 고지 의무를 부과하는 것은 많은 주 법에서 볼 수 있다”고 했다.
이어 “다만 이런 의무가 부과되는 요건 중 하나로 해당 주 거주자가 영향을 받았을 것이 요구되는 경우가 많아 신고, 고지 의무가 발생하지 않았다고 판단했을 수 있다”며 “미국에선 이런 유형의 사건이 별로 중대하게 인식되지 않거나 신고 의무가 없는 것으로 오해하지 않길 바란다”고 밝혔다.
미국 게임 기업에서 보안 업무를 담당했던 강병탁 AI스페라 대표는 “미국 연방법에 따르면 카드정보나 비밀번호, SSN 같은 민감한 정보 유출에 대해선 신고 의무가 있는 반면, 쿠팡에서 유출된 유형의 정보는 신고 의무가 없는 건 맞다”며 “다만 주 법으로 봤을 때, 이번 사고로 유출된 것과 같은 정보도 신고 대상 개인정보로 규정하는 곳도 많다”고 말했다.
강 대표는 “특히 캘리포니아주에선 대규모 고객 데이터 유출 자체로 법적 문제가 될 수 있고 다른 주도 해석의 여지가 많다”며 “미국이 그렇게 (개인정보 유출에) 후한 나라가 아니”라고 말했다.
“소송 앞두고 법적 책임 없다는 이미지 확산 목적”
로저스 대표의 발언이 손해배상 소송을 염두에 둔 포석일 수 있다는 분석도 나온다.
미국의 경우 기업의 개인정보 유출 사안에 대해 프라이버시 법에 따른 행정제재보다 손해 배상 책임에 훨씬 더 큰 무게가 실린다는 게 법조계 전문가들의 설명이다. 배상 규모가 국내에 비해 훨씬 큰 수준이다. “미국은 해킹 사고 당하면 회사가 문 닫을 수준의 타격을 받는다”고 흔히 알려진 것은 이 때문이다.
국내의 경우 정부의 징벌적 과징금 등 행정처분은 있지만 손해배상 규모가 미국보다 크게 낮다는 차이가 있다.
현재 국내 일부 로펌은 미국 쿠팡 본사를 상대로 소비자 손해배상 소송을 한다는 계획을 밝혔다. 뉴욕 등에서 먼저 관할을 확보한 뒤, 추후 주주 피해까지 범위를 확장한다는 계획이다.
뉴욕주 변호사이기도 한 최경진 가천대학교 법학과 교수는 “미국의 기업 개인정보 유출의 경우 한국과 달리 행정제재보다 손해배상 소송에 큰 무게가 실리는데, 고의인지 과실인지에 따라 판결이 달라지며, 과실의 경우 피해 입증이 필요하다”며 “미국에선 피해 입증에 있어서 잠재적 피해나 공포심으로는 실질적·정신적 피해 인정에 한계가 있을 수 있고, (쿠팡) 이용자 대부분이 한국인이라는 면에서 미국 법원 관할임을 인정받지 못할 수도 있다”고 말했다.
이 같은 전후 상황을 미루어, 쿠팡 대표의 발언은 소송을 앞두고 유리한 여론을 확산하기 위한 전략적 포석일 수 있다는 분석이다.
최 교수는 “쿠팡은 소송을 앞두고 이 같은 미국과 한국의 차이를 조명함으로써, 이번 사고가 글로벌 스탠다드로 보면 별 일이 아니라는 인식을 심으려는 전략적 발언을 한 것으로 보인다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
1. “연방법·주법 차이 이용해 교묘하게 중대성 희석”
2. 신고 의무 부여하는 주 많아... 유출만으로 문제되기도
3. “손배 소송 앞두고 별거 아니라는 인식 심으려는 전략”
[보안뉴스 강현주 기자] 쿠팡 대표가 3370만명의 개인정보 유출 사고를 당한 것을 두고 국회에서 “미국에서는 법 위반이 아니다”란 취지의 발언을 해 논란이 되고 있다. 국내외 손해배상 소송을 앞두고 글로벌 스탠다드로는 중대성이 낮다는 인식을 심기 위한 전략적 발언이라는 분석이 제기된다.
18일 법조계 및 보안 분야 전문가들은 해럴드 로저스 쿠팡 임시 대표의 발언에 대해 “마치 글로벌 스탠다드 상으로는 이번 사고가 중대하지 않은 것 같은 인식을 심으려는 전략적이고 교묘한 회피 발언”이라고 지적했다.
▲해럴드 로저스 쿠팡 임시 대표가 청문회 답변 중이다. [자료: 연합]
“미국법 위반 아냐” 틀린 말은 아니다
이번 쿠팡 사고로 이용자 3370만명의 이름과 이메일, 주소, 전화번호, 주문내역 등의 개인정보가 유출됐다.
이에 대해 로저스 쿠팡 임시 대표는 17일 국회 과학기술정보방송통신위원회 청문회에 출석해 “사실 미국에선 이런 종류의 데이터 유출이 프라이버시법 위반이 아니다. 미국증권거래위원회(SEC)는 어떤 정보 공유도 요구하지 않는다”(In fact, in the Unisted States, a leak of data of this kind is not a violation of privacy law, does not require any information sharing with the SEC)라고 말했다. 그는 “그렇다고 한국 사고를 가볍게 본다는 뜻은 아니”라며 “만일 비슷한 상황이 미국에서 벌어졌다면, 데이터 민감도를 고려했을 때 법 위반은 아니”라고 말했다.
미국 국민의 개인정보에 관한 연방 법으로는 ‘프라이버시법’(Privacy Act)이 있다. 하지만 이는 공공 분야에 적용되는 법이며 민간엔 해당되지 않는다.
민간 기업의 개인정보보호에 대해서는 ‘연방거래위원회법’이나 각 주의 관련 법을 적용받는다. 가령 캘리포니아주엔 ‘캘리포니아 프라이버시법’(CCRA)이 있다.
법조인이기도 한 로저스 대표의 “in the United States”, 즉 “미국 연방” 차원의 법 위반이 아니라는 발언이 틀린 말은 아닌 셈이다.
연방법과 주 법은 다르다... “유출만으로 문제되기도”
그의 발언은 마치 이번 쿠팡의 개인정보 유출이 글로벌 기준으로는 국내에 비해 법적으로 중대하지 않다는 인상을 준다.
가령, 국내 기업의 경우 한국 개인정보보호법에 따라 개인정보 유출 사고가 터졌을 때 당국에 고지 및 신고해야 할 의무가 있다. 반면 미국은 연방 차원에선 이에 해당하는 법이 없다.
하지만 각 주의 관련 법에 따라 고지와 신고 의무를 부과하는 주들이 많다. 미국이라고 이번 같은 사고가 법적으로 중대하지 않다는 것으로 이해해선 안된다는 지적이 나온다.
고학수 전 개인정보보호위원회 위원장은 소셜미디어를 통해 “미국에 ‘Privacy law’라는 이름의 법은 없고, 연방법 및 주법 형태로 다양한 이름의 법이 있다”며 “데이터 유출(Data breach)에 대해 신고나 고지 의무를 부과하는 것은 많은 주 법에서 볼 수 있다”고 했다.
이어 “다만 이런 의무가 부과되는 요건 중 하나로 해당 주 거주자가 영향을 받았을 것이 요구되는 경우가 많아 신고, 고지 의무가 발생하지 않았다고 판단했을 수 있다”며 “미국에선 이런 유형의 사건이 별로 중대하게 인식되지 않거나 신고 의무가 없는 것으로 오해하지 않길 바란다”고 밝혔다.
미국 게임 기업에서 보안 업무를 담당했던 강병탁 AI스페라 대표는 “미국 연방법에 따르면 카드정보나 비밀번호, SSN 같은 민감한 정보 유출에 대해선 신고 의무가 있는 반면, 쿠팡에서 유출된 유형의 정보는 신고 의무가 없는 건 맞다”며 “다만 주 법으로 봤을 때, 이번 사고로 유출된 것과 같은 정보도 신고 대상 개인정보로 규정하는 곳도 많다”고 말했다.
강 대표는 “특히 캘리포니아주에선 대규모 고객 데이터 유출 자체로 법적 문제가 될 수 있고 다른 주도 해석의 여지가 많다”며 “미국이 그렇게 (개인정보 유출에) 후한 나라가 아니”라고 말했다.
“소송 앞두고 법적 책임 없다는 이미지 확산 목적”
로저스 대표의 발언이 손해배상 소송을 염두에 둔 포석일 수 있다는 분석도 나온다.
미국의 경우 기업의 개인정보 유출 사안에 대해 프라이버시 법에 따른 행정제재보다 손해 배상 책임에 훨씬 더 큰 무게가 실린다는 게 법조계 전문가들의 설명이다. 배상 규모가 국내에 비해 훨씬 큰 수준이다. “미국은 해킹 사고 당하면 회사가 문 닫을 수준의 타격을 받는다”고 흔히 알려진 것은 이 때문이다.
국내의 경우 정부의 징벌적 과징금 등 행정처분은 있지만 손해배상 규모가 미국보다 크게 낮다는 차이가 있다.
현재 국내 일부 로펌은 미국 쿠팡 본사를 상대로 소비자 손해배상 소송을 한다는 계획을 밝혔다. 뉴욕 등에서 먼저 관할을 확보한 뒤, 추후 주주 피해까지 범위를 확장한다는 계획이다.
뉴욕주 변호사이기도 한 최경진 가천대학교 법학과 교수는 “미국의 기업 개인정보 유출의 경우 한국과 달리 행정제재보다 손해배상 소송에 큰 무게가 실리는데, 고의인지 과실인지에 따라 판결이 달라지며, 과실의 경우 피해 입증이 필요하다”며 “미국에선 피해 입증에 있어서 잠재적 피해나 공포심으로는 실질적·정신적 피해 인정에 한계가 있을 수 있고, (쿠팡) 이용자 대부분이 한국인이라는 면에서 미국 법원 관할임을 인정받지 못할 수도 있다”고 말했다.
이 같은 전후 상황을 미루어, 쿠팡 대표의 발언은 소송을 앞두고 유리한 여론을 확산하기 위한 전략적 포석일 수 있다는 분석이다.
최 교수는 “쿠팡은 소송을 앞두고 이 같은 미국과 한국의 차이를 조명함으로써, 이번 사고가 글로벌 스탠다드로 보면 별 일이 아니라는 인식을 심으려는 전략적 발언을 한 것으로 보인다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
