쿠팡의 개인정보 유출 면책 조항…

미국이었다면 과연 통과됐을까?

최근 쿠팡의 개인정보 유출 사태를 둘러싸고 논란이 더 커지고 있습니다.
개인적으로는, 사건 자체보다 “쿠팡이 1년 전에 약관에 넣어둔 면책 조항”이 더 충격적으로 다가오더군요.

사람들이 자기 돈을 맡긴 은행에 문제가 생겼을 때
“우리 책임 아닙니다”라고 말하는 것과 크게 다르지 않은 느낌이 들었기 때문입니다.

이 부분을 조금 더 깊게 살펴보고,
“미국이라면 어떤 결과가 나왔을까?”라는 관점도 함께 정리해보려고 합니다.
관련 사례들도 찾아보면서 생각을 정리해봤어요.

 

---

쿠팡 약관의 문제 — 단순한 ‘방어용 문구’가 아니다

보도 내용을 보면, 쿠팡은 지난해 이용약관을 손보면서
“불법 침입으로 발생한 손해에 대해 회사는 책임지지 않는다”라는 조항을 조용히 추가했다고 합니다.

겉으로 보면 그럴싸해 보이지만, 저는 이 문구가 두 가지 점에서 문제가 있다고 생각합니다.

첫째, 소비자가 사실상 동의했다고 보기 어렵다
약관은 대부분 사람들이 그냥 넘겨버리는 영역이죠.
이런 중요한 조항을 넣었다면 최소한 적극적으로 고지했어야 한다고 봅니다.

둘째, 책임을 피해 가는 느낌을 지울 수 없다
개인정보를 맡기는 입장에서 “문제가 생기면 책임 없음”은 너무 일방적입니다.
이건 기업의 의무를 ‘약관 한 줄’로 가볍게 넘어가는 것처럼 보일 수밖에 없어요.

---

만약 미국에서 이런 일이 벌어졌다면?

제가 관련 사례들을 찾아봤는데, 미국에서는 이런 면책 조항이 그대로 통과되기 어렵습니다.
특히 개인정보·보안 문제는 대규모 집단소송(Class Action)으로 이어지기 때문에, 기업이 더 엄격한 기준을 적용받아요.

대표적인 사례들을 정리해보면 아래와 같습니다.

---

미국에서 실제로 ‘약관 면책’이 무효 혹은 무력화된 주요 사례

1) Douglas v. Talk America (2007, 9th Circuit)

기업이 약관을 “몰래” 바꿔서 웹사이트에만 올려둔 경우,
그 약관은 효력이 없다는 유명한 판결입니다.

핵심 메시지:
"계약 조건은 일방적으로 바꿀 수 없으며, 고객의 명확한 동의가 필요하다."

쿠팡처럼 소비자가 알아보기 어려운 방식으로 약관을 수정했다면
미국에서는 거의 100% 무효 처리될 가능성이 높습니다.

---

2) In re Yahoo! Data Breach Litigation (2016~2017)

야후는 개인정보 유출 소송에서 “우린 보안 책임을 보장하지 않는다는 약관이 있다”고 주장했지만,
법원이 받아들이지 않았던 유명한 사건입니다.

법원이 이렇게 판단한 이유는 세 가지입니다:

• 보안 관련 약속을 스스로 해놓고 지키지 않았고
• 약관의 면책 조항이 소비자에게 지나치게 불리하며
• 이용자의 명확한 동의가 입증되지 않음

즉, 약관이 있어도 “기업의 보안 의무”라는 더 큰 원칙을 무시할 수 없다는 판단입니다.

---

3) 최근 의료정보 유출 소송들 (2023~2025 흐름)

미국에서는 병원·보험사 등에서 유출이 발생할 때마다 회사들은
“약관에 책임 제한이 있다”고 주장하지만,
법원은 대부분 “보안 의무 위반”이라는 더 큰 틀에서 책임을 인정합니다.

특히 의료·금융 정보는 더 엄격하게 다뤄져요.

---

미국의 공통된 판단 기준 — 약관보다 ‘보안 의무’가 우선

제가 정리한 미국 법원의 공통된 메시지는 이렇습니다.

1. 약관을 숨기거나 조용히 바꾼 것은 효력 없음
2. 소비자에게 지나치게 불리한 조항은 무효
3. 보안 관련 약속을 지키지 않았다면 약관으로 면책 불가
4. 기업이 “최소한의 보안 조치”를 하지 않았다면 과실로 판단
5. 대규모 유출은 거의 대부분 집단소송으로 이어짐

따라서 미국에서 비슷한 사건이 벌어졌다면:

• 쿠팡 정도 규모라면 바로 집단소송
• 피해 규모에 따라 수백억~수천억 배상
• 감독 기관의 별도 제재 가능
• 약관 면책은 대부분 ‘효력 없음’으로 판단될 가능성 큼

저도 개인적으로는, 미국이라면 이 사건이 “기업 생존을 흔드는 수준의 위험”이 되었을 거라고 봅니다.

---

한국에서는 어떻게 볼 수 있을까?

한국도 “약관 규제법”, “전자상거래법”, “개인정보보호법” 등이 있어
해외와 크게 다르지 않은 기준을 가지고 있습니다.

특히 약관의 무효 판단 기준은 다음과 같습니다.

• 소비자에게 부당하게 불리하면 무효
• 명확한 고지가 없으면 무효
• 본질적 책임을 회피하는 조항은 무효

이 기준에 비추어 보면,
쿠팡의 이번 면책 조항은 법적으로도 그대로 인정되기 어려울 거라는 생각이 들어요.

---

 “약관으로 모든 걸 피해간다”는 시대는 끝났다

기업이 약관에 책임 제한 조항을 넣는 건 자연스러운 행위일 수 있습니다.
하지만 그 조항이 소비자에게 일방적이고,
실제 보안 의무를 충분히 이행하지 않은 상태에서
면책만 강조하는 건 시대에 맞지 않는다고 생각해요.

특히 개인정보처럼 한번 유출되면 되돌릴 수 없는 정보일수록
기업의 최소한의 의무는 훨씬 더 무겁게 다뤄져야 한다고 봅니다.

쿠팡 사례도 단순한 해킹 사고를 넘어서,

• 기업의 약관 운영 방식
• 소비자 고지 의무
• 실질적 보안 조치 이행 여부
• 유출 이후의 책임 태도

이 네 가지가 앞으로 중요한 판단 기준이 될 것 같습니다.