국민 4명 중 3명 정보 털린 쿠팡, 'ESG 경영' 최대 시험대에

[ESG경제신문=김도산 기자] 쿠팡의 고객 정보 유출 사태가 이 회사의 ESG 지속가능성 경영에 치명타를 가하고 있다. 쿠팡도 ESG경영을 선언하고, 나름의 목표와 성과를 과시해 왔다. 하지만 탄소배출량이나 폐기물 관리 같은 환경(E) 중심의 ESG 이슈와 비교해, 소비자보호와 인권, 노동 안전 등 사회(S) 이슈 및 이와 관련한 리스크를 통합 관리하는 거버넌스(S) 체계가 얼마나 중요한지를 이번 사태는 확인시켜주고 있다.

이번 쿠팡 정보유출 사태는 국내 기업들의 ESG 경영 전반에 경종을 울리는 일대 사건이다.

고개 숙인 쿠팡, 창사 이래 최대 위기

"죄송하다"며 고개를 숙인 박대준 쿠팡 대표의 모습은 단순한 사과 이상의 무게감을 던졌다. 지난달 30일, 서울 세종로 정부서울청사에서 열린 긴급 대책회의 직전, 그는 침통한 표정으로 국민 앞에 섰다. 국내 이커머스 절대 강자, ‘쿠팡 공화국’이라는 말까지 만들어낸 이 거대 플랫폼이 창사 이래 최대 위기에 직면했다.

무려 3400만 명. 대한민국 성인 인구 4명 중 3명의 개인정보가 유출됐다. 단순한 사고가 아니다. 이는 대한민국 전자상거래 역사상 ‘초유의 사태’이자, 플랫폼 기업의 보안 불감증이 빚어낸 ‘예고된 참사’라는 지적이 나온다. 이번 사태는 기업의 지속가능한 생존 화두인 ESG 경영 관점에서 쿠팡이 직면한 치명적 리스크를 노출시켰다.

4500명에서 3370만 명으로… 신뢰 끊은 ‘고무줄 공지’

사건의 충격은 유출 규모뿐만 아니라 쿠팡의 대응 과정에서도 증폭됐다. 쿠팡은 지난 11월 20일, 피해 규모를 약 4500개 계정이라고 발표했다. 그러나 불과 9일 만인 29일, 그 숫자는 3370만 개로 정정됐다. 무려 7500배나 늘어난 수치다. 이는 사실상 쿠팡 모든 고객의 정보가 털렸다는 것을 의미한다.

더욱 뼈아픈 대목은 ‘5개월의 공백’이다. 유출은 올해 6월 24일부터 시작됐다. 쿠팡 측이 이를 인지하고 자진 신고를 하기까지 5개월여의 시간이 흘렀다. 해커 혹은 내부자가 반년 가까이 고객의 이름, 전화번호, 주소, 주문 내역을 들여다보고 있었음에도, 국내 최고의 IT 기술력을 자부하던 쿠팡의 보안 관제 시스템은 작동하지 않았다.

박 대표는 11월 30일 브리핑에서 인지 지연 이유에 대해 “기술적으로 긴 설명이 필요하다”며 구체적인 답변을 피했다. 그러나 보안 전문가들은 “반복적인 대규모 데이터 접근을 5개월간 탐지하지 못했다는 것은 기본 모니터링 시스템의 부재거나, 내부 통제 시스템의 총체적 실패”라고 입을 모은다.

사회 책임의 붕괴: ‘편리함’ 뒤에 밀린 ‘고객 보호'

이제 ESG 경영의 핵심 축인 ‘Social(사회)’ 영역에서 쿠팡은 낙제점을 받게 됐다. 이커머스 기업에게 고객 데이터 보호는 단순한 보안 유지가 아니라, 고객과의 가장 기본적인 신뢰 계약이다.

유출된 정보에는 이름, 이메일, 전화번호뿐만 아니라 ‘배송지 주소’와 ‘특정 주문 정보’가 포함됐다. 이는 개인의 라이프스타일, 거주 형태, 소비 성향 등 민감한 사생활이 고스란히 노출되었음을 뜻한다. 보이스피싱이나 스미싱 등 2차 범죄에 악용될 가능성도 농후하다.

쿠팡은 그동안 ‘로켓 배송’이라는 혁신적인 물류 시스템으로 소비자의 시간을 아껴주며 사회적 가치를 창출해왔다. 그러나 이번 사태는 그 편리함이 ‘개인정보의 무방비 노출’이라는 위태로운 기반 위에 서 있었음을 보여주었다.

“국민의 삶을 책임진다”던 플랫폼이, 역설적으로 국민의 안전을 위협하는 트리거가 된 셈이다. 사회적 신뢰 자본(Social Capital)이 훼손된 상황에서, 쿠팡이 자랑하던 고객 락인(Lock-in) 효과가 유지될 수 있을지는 미지수다.

거버넌스 리스크: 내부 통제 실패와 의혹의 시선

이번 사태는 기업 거버넌스의 핵심인 내부 통제 시스템(Governance)의 취약성을 적나라하게 드러냈다. 특히 일각에서 제기된 ‘중국 국적 직원에 의한 정보 유출’ 의혹은 사안의 폭발력을 더하고 있다. 박 대표는 이에 대해 “수사 영역”이라며 말을 아꼈지만, 만약 이것이 사실로 밝혀질 경우 파장은 걷잡을 수 없이 커질 것이다.

이는 단순한 외부 해킹 방어 실패와는 차원이 다른 문제다. 글로벌 소싱과 개발 인력을 운용하는 과정에서 데이터 접근 권한(Access Control) 관리가 제대로 이뤄지지 않았다는 것을 의미하기 때문이다. 이사회와 경영진이 보안 리스크를 핵심 경영 과제로 다루지 않고, 성장에만 매몰되어 리스크 관리를 소홀히 했다는 비판을 피하기 어렵다.

투명성 문제도 도마 위에 올랐다. 초기 축소 발표 논란은 쿠팡의 위기 관리 커뮤니케이션 시스템이 불투명하게 작동하고 있음을 시사한다. ESG 평가 기관들은 통상적으로 정보 공개의 투명성을 거버넌스 등급 산정의 핵심 지표로 삼는다. 이번 ‘고무줄 공지’ 사태는 쿠팡의 거버넌스 등급에 치명적인 하향 요인으로 작용할 전망이다.

‘쿠팡 공화국’의 딜레마와 위기 탈출 과제

이제 공은 정부와 사법 당국, 그리고 쿠팡 이사회와 경영진으로 넘어갔다. 민관합동조사단의 조사 결과에 따라 과징금 규모는 수천억 원대에 달할 수 있으며, 집단 소송이 이어질 경우 배상액은 천문학적으로 불어날 것이다. 박 대표는 “재발 방지 대책이 확정되면 합리적 보상 방안을 수행하겠다”고 했지만, 이미 엎질러진 물을 담기엔 역부족이라는 여론이 지배적이다.

이번 사고는 한국 사회에 ‘플랫폼 독과점의 위험성’을 다시금 일깨웠다. 1위 사업자의 보안 실패가 곧장 국가적 재난으로 이어지는 구조적 취약성이 확인된 것이다.

쿠팡이 진정한 지속가능기업으로 거듭나기 위해서는 단순히 보안 서버를 증설하는 수준의 대책으로는 부족하다.

첫째, 데이터 거버넌스의 전면 재구축이 필요하다. 고객 정보 접근 권한을 제로 트러스트(Zero Trust) 원칙에 기반해 재설계하고, 내부자 위협을 실시간으로 감시할 수 있는 시스템을 갖춰야 한다.

둘째, 이사회 중심의 리스크 관리 강화다. 보안 전문가를 이사회 내에 배치하고, 보안 이슈를 경영진의 핵심성과지표(KPI)와 연동시켜야 한다.

셋째, 피해 구제의 진정성이다. 법적 책임을 따지기 전에 선제적이고 구체적인 보상안을 제시함으로써 무너진 사회적 신뢰를 회복하려는 의지를 보여야 한다.

쿠팡은 그동안 적자를 감수하며 물류 인프라에 천문학적인 돈을 쏟아부어 ‘계획된 적자’ 끝에 흑자 전환에 성공했다. 하지만 이제는 ‘보안 인프라’에 그 이상의 자원을 투입해야 할 때다. ‘빠른 배송’보다 ‘안전한 배송’이 더 중요한 시대적 가치가 되었다.

이번 3400만 명 정보 유출 사태는, 쿠팡이 ‘덩치만 큰 유통 공룡’으로 남을지, 아니면 ‘지속가능한 기업’으로 거듭날지를 결정하는, 창사 이래 가장 혹독한 ‘ESG 모의고사’가 될 것이다.