43페이지 분량의 이 소송장에 따르면, 삼성전자는 제품의 드라이버·업데이트와 기타 기능을 고객등록 후에 작동하도록 잠궈놓고 소비자들에게 △이름 △생년월일 △주소 △지리적 위치데이터 △이메일 △전화번호 등 제품 사용에 불필요한 필요 이상의 개인정보 데이터를 수집한다고 지적했으며 이를 제대로 보호하지 못해 두건의 데이터 유출을 통해 고객들에게 피해를 입혔다고 주장했다.
삼성전자는 지난 3월 엔비디아(Nvidia)를 해킹한 적이 있는 해킹그룹 랩서스(Lapsus$)로부터 해킹을 당해 갤럭시 스마트폰의 소프트웨어 소스와 부트로더 등 스마트폰 보안에 관련된 자료 189.93GB(기가바이트)의 자료가 유출되었다. 랩서스측은 추가 데이터유출을 원치 않는다면 우리에게 연락하라며 협상을 요구했으며 삼성전자 측은 임직원과 고객정보 유출은 없었다고 주장했다.
이러한 가운데 7월말 또다시 해킹피해를 당해 고객정보가 유출됐으며 8월에 조사를 진행하고 나서야 그 사실을 파악하고 고객들에게 데이터 유출 사실을 통보했다.
소송을 제기한 클락슨 로펌측은 3월 발생한 해킹크룹 랩서스 사건이후 삼성측이 제대로 보안 취약점을 개선하지 않았으며 이로 인해 7월 해킹으로 개인정보의 대량유출 사건이 발생했다고 지적했다. 아울러 필요이상의 개인정보를 수집, 삼성제품 사용자의 절반 이상의 개인정보가 유출됐으며 개인정보 유출사실을 고의적으로 은폐해 속이고 의도적으로 허위진술해 명시적·묵시적 보증을 위반했다고 덧붙였다. 이러한 삼성전자의 행위는 미시간과 캘리포니아 소비자 보호·경쟁법을 위반한 것이라고 주장하고 있다.
현재 원고측은 손해배상금 외에 외부 해킹방지를 위한 삼성측의 직원 교육등과 수집된 개인정보의 삭제를 요청하고 있다. 이 소송에 대해 삼성전자는 2주안에 대응 방침을 밝혀야 한다.
장용석 글로벌이코노믹 기자 jangys@g-enews.com