쿠팡 3,370만 고객정보 유출, 경영진이 자초한 참사이며, 예견된 인재(人災)
-폭증하는 매출에도 보안 투자 후퇴, 정보보호 인력 축소로 드러난 경영진 책임-
박순장
쿠팡의 3,370만 계정의 개인정보 대규모 유출 사태는 단순한 보안 실패가 아니다. 기업의 무책임과 구조적 방치가 초래한 명백한 인재(人災)이며, 플랫폼 산업 전반이 얼마나 허술한 기초 위에 올라서 있었는지를 드러낸 사건이다. 쿠팡은 사과문을 발표했지만, 정작 사과보다 먼저 돌아봐야 할 것은 붕괴된 내부통제 시스템과 지속적인 투자 축소다. 이번 사건은 한 직원의 일탈로 덮을 수 있는 ‘우연’이 아니라, 이미 수년 전부터 예고된 ‘필연’이었다.
쿠팡은 2021년 이후 폭발적으로 늘어난 고객 수와 매출을 자랑해 왔다. 활성 고객 수는 1,800만 명에서 올해 2,470만 명까지 급증했다. 이 수치는 플랫폼 기업에게는 성장의 증거이지만, 동시에 정보보호 책임이 동일한 속도로 확대됐다는 의미이기도 하다. 그러나 쿠팡은 이 책임을 감당하기 위한 최소한의 준비조차 하지 않았다. 매출 대비 보안 투자 비율은 0.2~0.3%에 머물렀고, 글로벌 기업들이 평균 1% 수준을 유지하는 것과 비교하면 사실상 ‘코스트 컷’을 위한 구조적 방치다. ‘투자를 늘렸다’는 쿠팡의 설명은 성장 속도를 전혀 따라가지 못한 채, 비율상 오히려 후퇴한 포장에 불과하다.
더 심각한 것은 전문인력의 축소다. 정보보호는 기술보다 사람이 더 중요하다는 것은 업계의 상식이다. 그럼에도 쿠팡은 IT 전체 인력 대비 정보보호 인력 비중을 2024년 7.5%에서 올해 6.9%로 축소했다. 수천만 명의 데이터를 관리하는 플랫폼에서 이 숫자는 사실상 ‘내부통제 포기 선언’에 가깝다. 성장 인프라는 확대하면서 정작 그 인프라를 지키는 인력은 줄였다는 점에서, 이번 사태가 내부자 접근으로 발생했다는 사실은 관리 책임을 스스로 저버린 결과임을 명확히 보여준다.
정보기술(IT) 대비 정보보호 투자 비율의 하락은 더욱 불길하다. 2022년 7.1%였던 비율은 올해 4.6%로 추락했다. 이는 공시 기업 평균에도 크게 미치지 못한다. 이는 쿠팡이 IT 인프라 확장에는 공격적으로 투자하면서도, 그 인프라를 지키는 보안에 대해서는 지속적으로 손을 놓고 있었다는 명확한 증거다. 이제 쿠팡에 필요한 진단은 ‘정보보호 실패’가 아니라 ‘정보보호 포기’에 가깝다.
또한 외국 국적의 일개 직원이 3,370만 명의 고객 계정에 접근할 수 있었다는 쿠팡의 해명은 상식적으로도 납득하기 어려운 변명이다. 사실이라면 쿠팡의 통제 체계는 이미 기능을 상실한 것이고, 사실이 아니라면 책임을 개인에게 전가하려는 전형적인 ‘꼬리 자르기’다. 어느 쪽이든 쿠팡이 책임에서 벗어날 여지는 없다. 단 한 명의 직원이 국내 이용자 전원의 정보를 열람·관리할 수 있는 구조 자체가 중대한 관리 부실을 스스로 입증하기 때문이다.
더욱 심각한 것은 개인정보 보호 예산을 줄이기 위해 비용이 저렴하다는 이유만으로 외국 국적 인력을 핵심 보안 업무에 투입한 결정이다. 이는 단순한 관리 소홀을 넘어, 국내 소비자의 민감한 정보를 비용 절감의 수단으로 취급한 것이다. 수천만 명의 개인정보를 다루는 기업이 보안 전문성과 책임성보다 ‘저임금 인력’을 우선한 사실만으로도 조직 전반의 인식 수준이 얼마나 안이했는지 적나라하게 드러난다. 이는 기업의 도덕적 책임은 물론 법적 책임까지도 피하기 어려운 중대한 과오다.
개인정보는 단순한 고객 데이터가 아니다. 기업의 성장을 가능하게 한 원천이며, 고객이 플랫폼에 자신을 맡긴다는 신뢰의 상징이다. 한 번 유출된 정보는 비가역적 피해를 남긴다. 이번 사태를 통해 쿠팡의 경영 철학이 개인정보를 ‘비용 관리의 항목’ 정도로 취급해 왔다는 사실이 분명히 드러났다. 고객의 신뢰를 기반으로 성장한 기업이 정작 그 신뢰를 지키는 데 인색했다는 점은 기업 윤리의 붕괴이자 소비자 기만이다.
이번 사태는 쿠팡만의 문제가 아니다. 플랫폼 산업 전반이 고객 데이터를 무한 성장의 연료로 사용하면서도 그 위험을 책임질 구조를 갖추지 않은 데서 비롯된 구조적 파국이다. 데이터로 수익을 창출하면서도 정보 보호 인력과 예산은 '가장 먼저 줄여도 되는 비용'으로 여겨 왔다. 이러한 인식이 바뀌지 않는다면 제2, 제3의 쿠팡 사태는 되풀이될 것이다.
쿠팡 사건은 우리에게 묻는다. 성장만 빠르면 모든 것이 면죄되는가? 고객 정보가 위험에 노출돼도 ‘사과’ 한마디면 끝나는가? 기업이 진정으로 지켜야 할 것은 눈앞의 매출 성장세가 아니라, 그 성장을 가능하게 한 고객의 신뢰다.
이번 사태는 기업들에게 분명한 경고다. 보안은 비용이 아니라 의무이며, 정보보호를 경시하는 기업에게 시장은 더 이상 변명을 허락하지 않을 것이다. 쿠팡은 이번 사태의 책임을 무겁게 받아들이고, 대책 발표를 넘어선 근본적 체질 개선으로 응답해야 한다. 그것만이 고객과 시장 앞에서 최소한으로 수행해야 할 의무다. -끝-
■ 박순장 세이프타임즈 수석 논설위원 겸 소비자안전안심센터장(전 소비자주권시민회의 사무처장)