[Biz&Law] 현대오토에버, 美 임직원 개인정보 유출… 집단소송 직면

[편집자주] 서울와이어는 비즈앤로(Biz&Law) 코너를 통해 한국 기업이 전 세계를 누비면서 벌어지는 각종 비즈니스 소송을 심도 깊은 취재를 통해 독자들에게 알려드리고자 합니다. 생소한 해외 법적 용어와 재판 과정을 알기 쉽게 풀어내 국내 산업계가 마주한 글로벌 법적 리스크를 분석하고, 향후 전망까지 예측하고자 합니다.

[서울와이어=천성윤 기자] 현대차그룹 정보기술(IT) 계열사 현대오토에버가 대규모 개인정보 유출 사고와 관련해 미국에서 집단소송(Class Action)에 휘말렸다. 원고는 현대오토에버 측이 해킹을 당하고도 늑장 통보 했다며 10년 이상의 무상 신용·신원 모니터링 서비스 제공과 함께 손해배상을 요구했다.

◆운전면허·사회보장번호 등 민감 정보 유출 정황

12일(현지시간) 캘리포니아주(州) 중부 연방지방법원에 접수된 소장에 따르면, 플로리다주 주민 크리스타일 브라운(Christyle Brown)과 조지프 브라운(Joseph Brown) 부부는 자신과 동일하거나 유사한 피해를 입은 모든 사람을 대신해 현대오토에버 아메리카(아메리카(Hyundai AutoEver America, LLC)를 상대로 집단소송을 제기했다. 소장에 따르면, 이번 사건의 핵심 쟁점은 ▲고도의 민감 정보를 담은 서버가 해킹됐다는 점 ▲회사가 이를 알고도 수개월 동안 고객에게 알리지 않았다는 점 두 가지다.

원고 측은 올해 2월 22일에서 3월 2일까지 해커가 현대오토에버의 서버에 침입, 각종 개인정보 데이터를 외부 유출했다고 주장한다. 사측은 3월 1일경 이에 대한 이상 징후를 인지했다. 하지만 고객 측에 보낸 개별 통지서는 10월 30일 전후에 발송됐다. 메사추세츠주, 메인주 등 당국에 대한 보고는 11월 초에 이뤄졌다고 소장에 적었다.

브라운은 “개인정보 유출 피해자들은 수개월 동안 아무것도 모른 채 일상생활을 했고, 그 사이 해커들은 이미 이름·운전면허번호·사회보장번호(Social Security Number) 등 핵심 신원 정보를 탈취했을 가능성이 크다”고 지적했다. 현대오토에버가 메인주 검찰총장실 등에 제출한 서류를 인용하면서, 이번 유출로 영향을 받은 사람이 약 200만명에 달한다고 강조했다.

원고는 이번 유출로 노출된 정보는 단순 연락처 수준이 아니라 고위험 민감 개인식별정보라며 “신용카드와 달리 사회보장번호는 간단히 바꿀 수 없고, 설령 바꾸더라도 각종 정부·민간 기록과 연결돼 있어 새 번호로 모두 교체해야 하는 불편과 리스크를 발생시킨다”고 강조했다.

또 미국 사회보장국(SSA) 가이드라인을 인용해 “번호를 바꾼다고 문제가 깨끗이 초기화되는 것이 아니며, 기존 번호와 얽힌 신용·행정 기록 때문에 오히려 금융 거래가 더 어려워질 수 있다”고 말했다. 

원고 측은 “유출된 정보는 신용카드 발급, 대출, 모기지, 정부 지원금 신청 등 금융 활동에 반드시 필요하고, 해커들이 이를 이용해 처방약 부정 수급 등 의료 서비스 악용도 가능하다”며 “다크웹에서는 이른바 ‘풀즈(fullz)’라 불리는 완전 신원 패키지가 활발히 거래 중이다”고 덧붙였다.

그러면서 “데이터 유출 피해자의 약 28%가 실제 신분 도용을 겪었다는 통계도 있어 피해는 일시적이 아니라 장기·상시적이다”며 “현대오토에버의 보안 부실과 늑장 대응으로 인해, 피해자들은 평생 동안 사기·신분 도용 위험에 노출됐다”고 호소했다.

◆“현대차그룹, 유럽서 연속 유출 겪고도 교훈 못 얻었다” 주장

원고는 이번 사건이 단일 사고가 아니라고 지적한다. 브라운은 자동차 전문 매체 보도를 인용해 현대차그룹이 2023년과 2024년 유럽에서 잇따라 고객 데이터 유출 사고를 겪었다는 점을 언급했다. 그럼에도 현대오토에버는 적절한 보안 강화 조치를 취하지 않았다는 것이다. 

여기에 현대오토에버의 행위를 단순한 실수가 아니라 연방거래위원회(FTC) 지침을 위반한 ‘부당·불공정 관행’으로 규정했다. 원고는 “민감 개인 정보를 합리적인 수준으로 보호하지 않는 것은 FTC법 5조가 금지하는 ‘불공정 관행(unfair practice)’에 해당한다”며 “현대오토에버의 행위는 연방법상 ‘과실(neglicence)’이자 ‘과실추정(negligence per se)’”이라고 주장했다. 

브라운은 ▲캘리포니아 고객기록법(California Customer Records Act, CCRA) ▲캘리포니아 소비자 프라이버시법(CCPA) 위반을 청구 사유로 들었다. 소장에 따르면 현대오토에버는 유출 통지서에서 피해자들에게 2년짜리 신용·신원 모니터링 서비스를 제안한 것으로 알려졌다. 하지만 원고는 현대오토에버가 모든 피해자를 자동 등록 방식으로, 최소 10년 이상 보호 서비스를 제공해야 보호해야 한다고 요구했다.

원고는 법원에 ▲집단 소송 인증 ▲과실·신의성실 의무 위반 판결 ▲부당이들 판결 ▲청구사유 인정 ▲최소 10년이상 무료 신용·신원 모니터링 서비스 제공 명령 ▲보안 감사 명령 ▲손해배상 등을 요청했다.

현대오토에버 관계자는 “확인 결과 소송을 제기한 두 인물은 개인정보 침해 통지를 받지 않은 인물이며, 통지를 받은 대상자는 고객이 아닌 일부 임직원”이라고 입장을 밝혔다.