호주 정부는 왜 3M을 제소했는가

PFAS 소송이 던지는 컴플라이언스의 질문

---

1. 호주 정부는 왜 3M을 상대로 소송을 제기했는가

2026년 5월, 호주 정부는 미국의 소재·화학 기업 3M을 상대로 약 14억 달러(A$2조) 규모의 손해배상 소송을 제기했다. 소송의 핵심은 PFAS, 이른바 '영원한 화학물질(forever chemicals)'이다.

PFAS는 열·오염·물에 강한 특성 때문에 수십 년간 소방용 폼을 비롯한 수많은 산업 제품에 광범위하게 사용되었다. 그러나 이 물질은 자연 환경에서 분해되지 않고 축적되며, 간 손상, 저체중 출산, 고환암 등 심각한 건강 문제와의 연관성이 여러 연구에서 지속적으로 보고되어 왔다.

호주 정부의 주장은 명확하다. 3M은 자사 소방용 폼 제품을 판매하면서 해당 물질이 "안전하고, 생분해 가능하며, 무독성"이라고 보증했다. 그러나 실제로 3M은 PFAS의 유해성을 확인한 자체 시험 결과를 보유하고 있었음에도 이를 공개하지 않았다는 것이다. 호주 국방부는 수십 년간 이 폼을 군 기지에서 사용했고, 결과적으로 토양과 수계가 심각하게 오염되었다. 지금까지 오염 대응에만 A$13억이 투입되었고, 피해 지역 주민들과의 합의금으로 A$4억 이상이 지급되었다. 20만 톤 이상의 오염 토양이 처리되었고, 130억 리터가 넘는 물이 정화 작업을 거쳤다.

3M의 반박도 단순하지 않다. 자사는 호주에서 PFAS를 제조한 적이 없고, 문제의 제품 판매를 20년 전에 이미 중단했다고 주장한다. 또한 호주 국방부가 판매 중단 이후에도 20년 가까이 해당 폼을 계속 사용해왔다고 지적한다. 책임의 경계를 둘러싼 법적 공방이 불가피한 이유다.

---

2. 3M의 컴플라이언스, 제대로 작동했는가

이 소송이 단순한 배상 분쟁을 넘어 산업계 전반에 중요한 이유는, 기업 내부 컴플라이언스 체계의 실패를 적나라하게 드러내고 있기 때문이다.

컴플라이언스는 법을 지키는 것 이상을 의미한다. 기업이 제품과 서비스로 인해 발생할 수 있는 위험을 사전에 식별하고, 이를 이해관계자에게 투명하게 공개하며, 적절한 조치를 취하는 일련의 거버넌스 과정이다. 이 사건에서 3M의 컴플라이언스는 세 가지 차원에서 근본적으로 실패했다고 볼 수 있다.

첫째, 내부 정보의 비공개 문제다. 호주 정부의 주장이 사실이라면, 3M은 PFAS의 유해성을 스스로 파악하고 있었음에도 이를 고객과 사회에 공개하지 않았다. 이는 단순한 과실이 아니라, 리스크 정보를 의도적으로 은폐한 기만적 행위에 해당할 수 있다. 기업이 자체 시험을 통해 유해성을 인지한 시점부터, 그 정보는 더 이상 내부 자산이 아니다. 공중보건과 환경에 직결되는 정보를 기업 비밀로 다루는 순간, 컴플라이언스는 이미 무너진 것이다.

둘째, 제품 안전 보증의 허위성 문제다. "안전하고 생분해 가능하며 무독성"이라는 주장이 자체 시험 결과와 배치된다면, 이는 소비자에게 잘못된 신뢰를 형성하게 만든 허위 보증이다. 글로벌 규제 환경에서 이 같은 제품 안전 주장은 단순한 마케팅 문구가 아니라 법적 책임의 기반이 된다.

셋째, 장기적 리스크 관리의 부재다. 판매 중단이 책임의 종료를 의미하지 않는다. PFAS는 환경에서 수십 년간 잔류한다. 제품의 수명주기는 판매 종료 시점이 아니라, 그 제품이 환경과 인체에 미치는 영향이 소멸하는 시점까지 지속된다. 3M이 판매를 중단한 것은 사실이지만, 이미 판매된 제품이 수십 년간 어떻게 사용될지, 그리고 그 잔류 영향에 대해 어떤 사후 관리가 필요한지를 설계하지 않은 것은 리스크 관리의 공백이다.

결국 이 사건은 컴플라이언스가 단순히 법령 준수 체크리스트로 운용될 때 어떤 결과를 초래하는지를 보여주는 전형적인 사례다. 내부적으로 리스크를 인식했음에도 외부에 공개하지 않는 구조, 단기 판매 이익과 장기 환경 책임 사이의 균형을 상실한 의사결정이 수십 년 후 수조 원대 소송으로 귀결되는 것이다.

---

3. 무엇을 배울 것인가

3M의 PFAS 소송은 이미 미국에서도 전례를 남겼다. 2023년, 3M은 미국 공공 수도 시스템의 PFAS 오염과 관련해 103억 달러 규모의 합의를 체결했다. 전 세계적으로 수천 건의 유사 소송이 진행 중이다. 그리고 이제 호주 정부가 14억 달러를 청구하며 그 대열에 합류했다.

이 일련의 사태가 기업 경영과 컴플라이언스에 주는 교훈은 세 가지로 압축된다.

내부 리스크 정보는 반드시 외부화되어야 한다. 기업이 자체 연구를 통해 제품의 잠재적 위해성을 인지하는 순간, 그 정보를 내부에만 보유하는 것은 도덕적으로도, 법적으로도 정당화되기 어렵다. 리스크의 내부 인식과 외부 공개 사이의 간극이 클수록, 훗날 법적 책임의 크기도 커진다.

제품 수명주기 전체를 책임 범위로 설정해야 한다. 판매 이후에도 제품이 환경과 인체에 미치는 영향을 모니터링하고, 필요시 선제적으로 대응하는 체계가 필요하다. '팔았으니 끝'이라는 관점은 오늘날의 규제 환경에서 더 이상 통용되지 않는다.

컴플라이언스는 법무팀의 업무가 아니라 경영 전략의 핵심이다. 리스크가 인지된 시점부터 그것을 어떻게 다룰지는 단순한 법적 판단이 아니라 경영 판단이다. PFAS 사태에서 3M이 부담하게 된 천문학적 비용은, 수십 년 전 리스크 정보를 투명하게 공개하고 제품 전략을 수정했다면 상당 부분 예방 가능했을 것이다.

기업의 지속가능성은 당장의 수익이 아니라, 내부에서 포착된 리스크를 어떻게 다루는가에 달려 있다. 3M의 사례는 그 명제를 가장 값비싼 방식으로 증명하고 있다.

---

참고: Australia Sues 3M For $1.4B Over PFAS 'Forever Chemicals' Contamination, Claims Journal, May 29, 2026

하트퍼드 리스크 모니터가 말하는 것들

기업이 직면한 복합 위기의 시대, 2026년 미국의 경영자들

---

보험사는 왜 리스크 보고서를 내는가

하트퍼드(The Hartford)는 미국에서 200년 넘게 운영된 상업 보험사다. 산재 보상, 재산, 일반 책임, 상업용 자동차 등 기업 운영 전반을 커버하는 상품군을 가진 곳이다. 그런 회사가 매년 '리스크 모니터(Risk Monitor)'라는 이름의 보고서를 발행한다. 단순한 마케팅 자료가 아니다. 500명 이상의 미국 중대형 기업 리더를 직접 설문해, 지금 이 시점에 기업을 실제로 위협하는 것이 무엇인지 데이터로 정리한 문서다.

왜 보험사가 이 일을 하는가. 이유는 단순하다. 리스크를 가장 정밀하게 이해하는 집단이 보험사이기 때문이다. 손실이 현실화될 때마다 그 청구서를 받는 주체가 바로 이들이다. 따라서 하트퍼드의 시선은 이론이 아니라 손해율, 청구 패턴, 시장 변화에 기반한다. 그 관점에서 읽어야 이 보고서가 제대로 보인다.

---

2026년 리스크 환경: 개별 위협이 아닌 복합 연쇄

2026 리스크 모니터가 가장 먼저 강조하는 것은 리스크의 성격 변화다. 과거의 리스크는 개별 사건이었다. 공장 화재, 사고, 소송. 각각이 독립적으로 발생하고 독립적으로 처리됐다. 지금은 다르다.

보고서는 현재의 위협을 "복합적이고 빠르게 확산되는 힘"으로 정의한다. 사이버 침해 하나가 운영 중단을 낳고, 운영 중단이 공급망 지연으로 번지며, 거기에 규제 조사까지 겹친다. 경제 변동성은 비용 구조를 흔들고, 그 압박이 근로자 안전 투자를 줄이는 방향으로 작용한다. 리스크가 서로를 먹이는 구조다.

이 연결성이 2026년 리스크 환경의 핵심이다.

---

미국 경영자들이 실제로 두려워하는 것

설문에 응한 리더들의 발언은 보고서의 가장 생생한 부분이다. 수치 뒤에 있는 불안의 질감이 드러난다.

사이버와 데이터 보안에 대해 한 리더는 이렇게 말했다. "데이터 유출, 랜섬웨어, 민감 정보에 대한 무단 접근 가능성이 걱정된다." 또 다른 리더는 "침해 사고 하나가 명성 훼손과 규제 벌금으로 직결된다"고 했다. 사이버 리스크는 더 이상 IT 부서의 문제가 아니다. 최고경영진의 의제가 됐다.

AI에 대한 반응은 흥미롭다. 기대와 불안이 뒤섞여 있다. "데이터 프라이버시, 규제 불확실성, 편향, AI 오용이 우려된다"는 발언이 있는가 하면, "AI가 회사에 미칠 영향이 불확실해서 천천히 시험 운전 중"이라는 솔직한 고백도 있다. 도입을 서두르지 못하는 이유가 단순한 기술 이해 부족이 아니라, 거버넌스와 책임 구조의 불명확함에서 온다는 것을 보여준다.

공급망과 관세 문제에 대해서는 "매우 불안정한 주제"라는 표현이 나왔다. 안정화됐다 싶으면 다시 흔들리는 지형. 전략을 세우기가 어렵다는 뜻이다.

---

6대 리스크 카테고리: 지금 주목해야 할 영역

보고서는 2026년 기업이 직면한 주요 리스크를 여섯 가지로 정리한다.

첫째, 사이버 리스크. 위협의 정교함이 매년 높아지고 있다. 랜섬웨어, 피싱, 제3자 공급업체를 통한 간접 침해까지. 방어선이 넓어질수록 취약점도 늘어난다.

둘째, 경제 동향. 인플레이션, 금리, 관세. 세 가지 변수가 동시에 기업 비용 구조를 압박하고 있다. 예측 가능성이 낮아진 환경에서 투자 결정을 내려야 하는 부담이 가중된다.

셋째, 법률 시스템 남용과 사회적 인플레이션. 배심원 평결 규모가 커지고, 소송 자금 조달(litigation funding) 산업이 성장하면서 기업의 법적 노출이 구조적으로 확대되고 있다. 이른바 '핵 평결(nuclear verdict)' 현상이다.

넷째, 공급망 혼란. 지정학적 긴장, 기상 이변, 단일 공급처 의존이라는 세 가지 취약성이 결합된 상태다. 회복탄력성 확보 없이는 사업 연속성이 보장되지 않는다.

다섯째, 근로자 안전. 비용 압박이 심화될수록 안전 투자가 가장 먼저 줄어드는 경향이 있다. 그 결과는 사고율 상승과 산재 비용 증가로 돌아온다.

여섯째, 인공지능. 기회이자 위험이다. 책임 있는 AI 거버넌스 없이 도입하면, 편향, 오류, 규제 위반이라는 새로운 리스크를 떠안게 된다.

---

경영자에게 전하는 메시지

하트퍼드가 이 보고서를 통해 전달하려는 메시지는 하나다. 리스크를 아는 것과 대비하는 것은 다르다.

많은 기업이 리스크 목록을 갖고 있다. 그러나 실제 보장 전략, 위기 대응 계획, 내부 역량이 그 목록과 정렬되어 있는 경우는 드물다. 보고서는 이 간극을 직시하라고 촉구한다.

구체적으로 세 가지를 권고한다.

리스크 인텔리전스를 조직의 역량으로 내재화할 것. 연간 보고서 한 번 읽는 것으로는 부족하다. 리스크 환경은 분기마다, 때로는 월마다 바뀐다. 지속적인 학습과 정보 갱신이 필요하다.

보장 전략을 현재 리스크 지형과 재정렬할 것. 3년 전 설계한 보험 포트폴리오가 지금의 사이버·AI 위험을 충분히 커버하는지 검토해야 한다. 보장의 공백은 사고가 난 후에야 발견된다.

기술 변화에 대한 대응력을 미리 확보할 것. AI를 도입하든 도입하지 않든, AI가 만들어내는 리스크 환경 변화는 피할 수 없다. 경쟁사가 AI로 효율화하는 동안 규제 대응에서 뒤처지는 역설을 피하려면 지금부터 준비가 필요하다.

---

마무리: 복잡성이 곧 기회이기도 하다

리스크가 복잡해졌다는 것은 곧 잘 대비한 기업과 그렇지 못한 기업 사이의 격차가 커진다는 뜻이기도 하다. 위기가 왔을 때 회복하는 속도, 소송에서 버티는 체력, 사이버 침해 이후 신뢰를 회복하는 능력. 이 모든 것이 경쟁 우위가 된다.

하트퍼드 2026 리스크 모니터는 단순한 위협 목록이 아니다. 지금 어디에 집중해야 하는지를 알려주는 나침반이다. 방향을 먼저 아는 쪽이 유리하다.

---

본 포스트는 하트퍼드(The Hartford) 2026 리스크 모니터 보고서를 기반으로 작성한 분석 에세이입니다.