한국 우습게 보는 쿠팡…‘국민 피해 주면 망한다’ 규율 각인시켜야 [전문가 리포트]

서울 시내 쿠팡 배송차량 모습. 연합뉴스

쿠팡에서 발생한 3370만 건의 개인정보 유출 사태는 우리 사회에 중요한 질문을 던졌다. 유출 사실을 인지하는 데만 5개월이 걸린 기업의 대응을 두고 이재명 대통령은 국무회의에서 “참으로 놀랍다”며 질타했다. 이 대통령은 “잘못하면 회사가 망할 수 있다는 인식을 심어줘야 한다”며 과징금 산정 기준 강화와 집단소송제 도입 등 실효적인 징벌적 제재를 주문했다.

이번 사태의 교훈은 ‘코스피 5000시대’를 위한 자본시장 활성화 과제가 상법 개정 같은 사전적 규율에만 머물러선 안 된다는 점이다. 사전적 규율이 사고 전 의사결정의 공정성을 법으로 규정하는 ‘예방책’이라면, 시장 선진화를 위해서는 “국민에게 피해를 주면 회사가 망한다”는 사실을 각인시키는 강력한 사후적 규율이 병행되어야 한다. 결국 잘못이 벌어진 뒤 기업에 가해지는 ‘엄중한 사후 책임’을 어떻게 현실화할 것이냐는 질문에 답하는 것이 자본시장 선진화의 다음 과제다.

플랫폼 ‘록인’ 효과에 사라져버린 시장 자발적 제재

본래 쿠팡 사태와 같은 일이 발생하면 시장의 자발적 제재가 뒤따라야 한다. 최종생산물 시장에서는 불매운동으로 매출에 타격이 가해지고, 자본시장에서는 리스크 증가에 따른 주가 하락과 자본조달비용 상승이 나타나는 것이 정상이다. 독일 폴크스바겐이 ‘디젤 게이트’로 전 세계적 불매운동을 겪으며 시가총액이 반 토막 났던 사례가 대표적이다. 그러나 한국에서 이러한 시장 규율은 무력했다. 과거 재벌 총수들의 수천억대 배임·횡령 사건 때도 기업 매출은 견고했고 자본조달비용은 상승하지 않았다. 일종의 한국적 시장 실패다.

이러한 시장 실패는 쿠팡 같은 플랫폼 기업에서 더 두드러진다. 플랫폼 특유의 ‘양면 시장’ 구조와 강력한 록인(Lock-in, 가두기) 효과 때문이다. 공급자와 수요자를 연결해 일상을 장악한 플랫폼은 소비자에게 편리함이라는 족쇄를 채운다. 카카오 데이터센터 화재로 서비스가 중단됐을 때도 이용자 이탈이 불가능했던 이유는 메신저를 넘어 택시, 결제, 인증 등 생활 인프라가 그 안에 묶여 있었기 때문이다. 쿠팡 역시 로켓배송과 멤버십 생태계가 제공하는 편리함으로 소비자를 붙들어 맬 것이다. 대체재를 찾기 힘든 록인 구조에서 불매운동 같은 시장의 자정 작용은 작동하기 어렵다. 결과적으로 기업의 위법 행위는 실질적인 재무적 손실로 이어지지 않는다.

정부가 공정한 심판이자 규율 설계자 나서야

시장의 자정 작용이 마비된 상황에서 정부는 공정한 심판이자 규율의 설계자로 나설 수밖에 없다. “국민에게 피해를 주면 회사가 망한다”는 경고가 실효를 거두려면 기업의 위법 행위에 따른 비용을 대폭 높여야 한다. 정부의 과제는 명확하다. 집단소송과 주주대표소송의 실효적 활성화다. 현재 한국의 사후 규율 체계에는 허점이 많다. 민사 및 증권 집단소송은 경제적 유인이 부족하다. 개인투자자의 피해액은 소액이지만 대기업을 상대로 한 소송비용은 막대하다. 소송을 주도하는 당사자와 변호사가 시간과 비용을 투입해도 승소에 따른 보상이 노력에 미치지 못한다.

무엇보다 위법 행위 증명 책임을 피해자가 떠안아야 하는 것이 가장 큰 장벽이다. 이를 해결하기 위해 실제 손해액을 훨씬 상회하는 배상을 부과하는 징벌적 손해배상, 기업이 스스로 결백함을 증명하게 하는 증명책임의 전환, 재판 전 상대방의 증거를 강제로 공개하게 하는 디스커버리(증거개시) 제도 도입이 시급하다. 19년간 12건에 불과한 실적이 증명하듯, 까다로운 소송 허가 요건과 증거 확보의 어려움은 시장의 징벌 기능을 마비시키고 있다. 주주대표소송 역시 구조적 한계가 뚜렷하다. 승소하더라도 배상금은 주주 개인이 아닌 회사로 귀속된다. 주주는 주가 상승이라는 간접적 이익만 얻을 뿐이다. 반면 소송을 이끈 주주는 패소 시 상대방의 변호사 비용까지 전액 부담해야 하는 리스크를 안고 있으며, 승소하더라도 자신의 노력과 비용을 충분히 보상받기 어렵다. 이러한 구조를 타파하기 위해서는 국민연금의 주주대표소송이 활성화되어야 한다. 공공성을 갖춘 국민연금이 경영진의 부정을 감시하고 책임을 물을 때, 일반 주주들의 권익 보호와 기업 가치 제고라는 선순환이 가능해진다.

과징금, 집단소송, 형사처벌이라는 미국의 사후 책임 체계

미국 시장의 징벌적 사후 책임 사례는 시사하는 바가 크다. 특히 야후(Yahoo)의 사례는 정보 유출에 따른 응징을 단적으로 보여준다. 야후는 2013년과 2014년에 발생한 30억개의 계정 유출 사실을 2016년에야 공개하며 은폐를 시도했다. 이에 미국 증권거래위원회(SEC)는 공시 의무 위반을 근거로 3500만달러의 과징금을 부과했다. 이와 별도로 주주들이 제기한 증권 집단소송으로 1억1750만달러를 합의금으로 지불해야 했으며, 결정적으로 핵심 사업부 매각 가격이 약 3억5000만달러(5100억원가량) 삭감되는 대가를 치렀다. 2017년 1억4700만명의 개인정보를 유출한 신용평가사 에퀴팩스(Equifax) 역시 7억달러에 달하는 징벌적 과징금 외에 주주들의 강력한 법적 대응에 직면했다. 주주들은 경영진이 보안 경고를 방치해 기업 가치를 훼손했다며 주주대표소송과 증권 집단소송을 동시에 제기했다. 에퀴팩스는 주주들과의 합의를 통해 막대한 보상금을 지급했을 뿐만 아니라, 이사회 내 보안 전담 위원회 설치와 독립적 감사 도입 등 지배구조 자체를 개편해야 했다.

미국에서 사후 책임은 민사적 배상에만 머물지 않는다. 기업의 위법 행위가 고의적이거나 기만적일 경우 강력한 형사처벌이 병행된다. 미국이 기업 범죄를 민사로만 해결한다는 일각의 주장은 사실과 다르다. 2016년 발생한 우버(Uber)의 개인정보 유출 은폐 사건이 대표적이다. 당시 우버는 약 5700만명의 고객과 기사 정보 유출 사고를 겪었으나, 최고보안책임자(CISO) 조 설리번은 규제 당국에 알리는 대신 해커들에게 10만달러 상당의 비트코인을 지급하며 사건을 무마하려 했다. 그는 이 비용을 해킹 사고 대응이 아닌 ‘버그 바운티(보안 취약점 신고 포상금)’로 위장해 회계 처리하는 치밀함을 보였다. 미 연방검찰은 이를 단순한 실수가 아닌 연방기관의 조사를 방해한 사법 방해(Obstruction of Justice)와 중대 범죄 은닉(Misprision of a Felony) 혐의로 기소했다. 2023년 미 연방법원은 그에게 유죄를 선고하고 보호관찰 3년과 사회봉사 200시간을 명령했다. 재판부는 보안 책임자에게 형사 책임을 물은 최초의 사례임을 고려해 실형은 면해주면서도, “다음 보안 책임자가 똑같은 짓을 한다면 그때는 감옥에 가게 될 것”이라는 강력한 경고를 남겼다. 기업의 보안 실패가 경영진 개인의 인신 구속으로 이어질 수 있다는 엄중한 선례를 남긴 것이다.

‘톱니바퀴 책임 체계’ 구축이 ‘코스피5000’ 위한 과제

사법적 단죄 외에 주주들이 직접 경영에 개입해 기업 체질을 바꾸는 주주제안 또한 사후 규율의 핵심이다. 2021년 미국 통신사 T-모바일(T-Mobile)이 반복적인 데이터 유출 사고를 일으키자, 주주들은 이사회 내 사이버 보안 전담 위원회 설치와 감독 결과의 정기 공시를 요구하는 주주제안을 제기했다. 아마존(Amazon) 주주들 역시 안면 인식 기술 오남용에 따른 프라이버시 침해 리스크를 독립적으로 조사해 보고하라는 제안을 지속하며 기업의 책임을 압박하고 있다. 반면 한국에서 보안 관련 주주제안은 사실상 불가능하다. 현행 상법과 판례가 주주제안 범위를 ‘주주총회 목적 사항’으로 좁게 제한하기 때문이다. 이사회의 고유 권한인 구체적인 경영 사안은 주주제안 대상에서 제외되는 경우가 많다. 기업이 정보를 소홀히 다뤄 주주 가치를 훼손해도 이를 바로잡을 제도적 통로가 막혀 있는 셈이다. 이를 보완하기 위해 ‘권고적 주주제안 제도’ 도입이 시급하다. 이는 주주총회에서 법적 구속력은 없더라도 경영 방향이나 사회적 책임에 대해 주주들이 의견을 모아 권고할 수 있도록 하는 장치다. 제안이 가결되지 않더라도 주주의 집단적 목소리는 기업이 보안 투자를 비용이 아닌 생존을 위한 필수 과제로 인식하게 하는 압박 기제로 작용한다.

결국 자본시장의 진정한 힘은 규율 당국의 징벌적 과징금, 사법부의 단호한 형사처벌, 그리고 주주들의 징벌적 손해배상제가 적용된 집단소송과 주주제안이 톱니바퀴처럼 맞물려 돌아가는 데서 나온다. 이 대통령이 강조한 “회사가 망할 정도의 책임”이 수사에 그치지 않으려면 행정적 제재를 넘어, 시장 참여자들이 직접 기업의 책임을 현실화할 수 있는 다각적인 사후 규율 체계가 구축되어야 한다. 위법한 기업이 시장에서 도태되거나 뼈를 깎는 쇄신을 강요받는 구조가 정착될 때, 비로소 ‘코리아 디스카운트’의 핵심인 불투명한 경영 관행도 뿌리 뽑힐 수 있다. 주주의 권리가 구호가 아닌 소송과 제안이라는 무기로 작동하는 것, 이것이 코스피 5000시대를 향한 자본시장 선진화의 다음 라운드이다.

이창민 한양대 교수(경영학)