쿠팡 김범석 의장 차등의결권은 더 큰 법적책임 부과 근거

최근 불거진 쿠팡 사태는 단순한 보안 사고가 아니라, 플랫폼 기업이 누적해 온 기술 부채와 지배구조의 균열이 맞물릴 때 어떠한 파급력이 현실화 되는지를 적나라하게 보여준 사례다.

특히 쿠팡처럼 이커머스를 필두로 결제-로지스틱스-푸드딜리버리 등 다수의 사업부와 계열사가 방대한 데이터를 실시간으로 공유하는 복합적 구조 하에서는 한 번의 보안 사고가 시장 신뢰의 하락을 넘어 규제 강화와 주주 가치 훼손으로 직결되는 연쇄 작용을 일으킨다.

이번 사건을 계기로 우리가 다시금 확인해야 할 핵심은 명확하다. 데이터 리스크는 기술적인 문제가 아니라 본질적으로 지배구조의 문제이며, 경영진이 자원을 어떻게 배분하느냐는 의사결정이 그 결과를 좌우한다는 사실이다.

거버넌스는 구호가 아니라 자원 배분의 문제다

쿠팡의 사업 모델을 들여다보면, '로켓배송'이라는 혁신적 서비스를 구현하기 위해 소비자의 로그 데이터, 위치 정보, 구매 패턴 등 고도의 개인정보가 일상적으로 처리되고 있음을 알 수 있다. 이처럼 기술 인프라에 대한 의존도가 절대적인 구조에서 보안 사고가 발생할 경우 그 피해 범위는 걷잡을 수 없이 커진다.

문제는 이러한 구조 속에서 보안 및 내부통제 조직이 수익을 내지 못하는 ‘비용 센터(Cost Center)’로 취급되기 쉽다는 점이다. 쿠팡 사태를 단순히 현장의 기술 인력 부족이나 시스템 오류로만 해석하는 것이 불충분한 이유다. 플랫폼 기업의 진정한 보안 수준을 결정하는 것은 기술력 자체가 아니라 이사회와 경영진이 보안 리스크를 단순한 비용으로 보았는지, 아니면 핵심 자산을 보호하기 위한 투자의 대상으로 보았는지에 달려 있다.

실제로 쿠팡은 지난 수년간 공격적인 투자를 감행하며 물류 인프라와 신규 사업 확장에 수십조 원을 쏟아부었으나, 정보보호 조직의 인력과 시스템 강화는 그 속도를 따라가지 못했다는 지적을 받아왔다. 이는 기술적 한계라기보다는 한정된 예산의 배분 우선순위에서 보안이 지속적으로 밀려났음을 보여주는 간접적 증거다.

결국 지배구조의 본질은 의사결정의 우선순위를 정하는 것이다. 보안 사고의 직접적 원인은 해커의 침입일지 모르나 그 침입을 가능하게 만든 구조적 배경은 경영진이 성장을 위해 기술 부채의 확대를 용인하도록 만든 자원 배분 체계에 있을지도 모른다.

이사회의 감시 의무, ‘몰랐다’는 말은 더 이상 안전망이 아니다

쿠팡이 미국 뉴욕증권거래소(NYSE)에 상장된 기업이라는 사실은 이 사태를 바라보는 법적 기준이 달라짐을 의미한다. 미국 법원은 이사회의 ‘감시 의무(Duty of Oversight)’를 매우 엄격하게 적용하는데, 이는 형식적인 보고 체계를 갖추는 것만으로는 면책되지 않으며 반복되는 위험 신호에 대해 실질적인 조치를 취했는지를 핵심 쟁점으로 삼는다.

쿠팡은 지난 몇 년간 내부 직원의 접근 권한 관리 미흡, 배송 기사의 데이터 처리 문제, 계열사 간 데이터 공유의 불투명성 등 개인정보와 관련된 논란이 끊이지 않았다. 이는 이사회가 충분히 위험을 인지할 수 있었던 경고음, 즉 ‘레드 플래그(Red Flag)’였다.

따라서 이번 사태의 관건은 두 가지 질문으로 귀결된다. 첫째, 보안 리스크가 CEO나 재무 라인의 필터링을 거치지 않고 이사회에 직접 보고될 수 있는 투명한 구조가 존재했는가. 둘째, 실무진이 제기한 시스템 노후화나 인력 부족 문제를 이사회가 어떻게 처리했는가이다.

만약 경영진이 단기적인 성과나 시장 점유율 확대를 우선시하여 보안 투자를 지속적으로 후순위로 미뤘다면, 이는 미국 법원에서 인정하는 ‘경영 판단의 원칙’의 보호 범위를 벗어난 것으로 해석될 여지가 크다. 이제 개인정보 보호는 기술 부서의 실무적 과제가 아니라, 이사회가 직접 챙겨야 할 최우선 리스크 관리 항목이 되었다.

대형 플랫폼의 ‘단일 실패 지점’ 문제

쿠팡의 사례는 개별 기업의 통제 실패를 넘어, 한국 플랫폼 산업 전반의 구조적 취약성을 드러낸다. 현재 한국의 전자상거래 시장은 네이버, 쿠팡, 카카오 등 소수의 거대 기업에 소비자 데이터가 과도하게 집중된 고밀도 데이터 시장이다.

이러한 환경에서 발생하는 보안 사고는 전통적인 제조업 사고와 달리 국가적 파급력을 갖는다. 전 국민의 배송, 결제, 위치 데이터가 특정 플랫폼에 집중되어 있고, 쿠팡의 경우 물류, 배송, 결제, 배달 서비스가 하나의 ID 체계 아래 통합 운영되기 때문이다. 게다가 계열사 간 데이터 이동은 외부에서 추적하기 어려울 만큼 복잡하게 얽혀 있다.

즉 거대 플랫폼은 단순한 사기업을 넘어 사실상 국가의 민간 데이터 인프라 역할을 수행하고 있는 셈이다. 규제 당국이 이번 사태를 심각하게 받아들이는 이유도 여기에 있다. 이러한 독과점적 시장 구조는 필연적으로 새로운 제도적 논의를 불러올 것이다.

대형 플랫폼 내 계열사 간 데이터 장벽(Data Firewall)을 의무화하거나 데이터 이동의 투명성을 확보하는 방안, 그리고 플랫폼 기업이 기술 부채 수준을 의무적으로 공시하도록 하는 ‘데이터 ESG’ 도입 등이 그것이다. 이번 사건은 한국이 앞으로 어떤 플랫폼 규제 모델을 채택하여 데이터 인프라의 안정성을 확보할 것인지에 대한 중대한 방향성을 제시하고 있다.

해외 판례가 말해주는 것, 보안 실패는 곧 주주 가치의 하락이다

쿠팡과 유사하게 대규모 데이터 사고를 겪은 해외 기업들의 사례는 우리에게 시사하는 바가 크다. 야후(Yahoo)는 해킹 사실을 은폐하고 리스크를 과소평가했다는 이유로 주주들에게 약 2900만 달러의 합의금을 지급해야 했으며, 에퀴팩스(Equifax)는 보안 취약성 경고를 방치한 대가로 1억 4900만 달러라는 천문학적인 합의금을 부담했다. 타깃(Target)과 홈디포(Home Depot) 역시 이사회의 감독 실패 논란 속에서 막대한 비용을 치렀다.

이들 사례가 보여주는 공통된 교훈은 단 하나다. 선진 자본시장에서는 보안 실패를 단순한 기술적 손실이 아닌, 거버넌스의 실패로 규정한다는 점이다.

특히 쿠팡과 같은 해외 상장 플랫폼 기업의 경우 이사회와 임원을 상대로 한 주주대표소송의 리스크가 한국 내 어느 기업보다 실질적이고 위협적이다. 창업자 김범석 이사회 의장에게 의결권이 집중된 차등의결권(Class A/B) 구조는 경영권 방어에는 유리할지 모르나 위기 상황에서는 반대로 이사회에 더 무거운 감시 의무와 법적 책임을 부과하는 근거가 될 수 있다.

플랫폼 규제에 주는 시사점

결론적으로 쿠팡 사태는 한국이 플랫폼 데이터를 바라보는 규제의 틀을 근본적으로 재정립해야 한다는 강력한 신호다. 기업의 가치를 평가할 때 데이터 보호 역량을 핵심 지표로 포함시키고 대형 플랫폼의 기술 부채 수준을 투명하게 공시하도록 의무화해야 한다.

또한 이사회 내에 데이터 및 보안 전문위원회를 설치하고 계열사 간 무분별한 데이터 결합을 통제하며, AI 알고리즘의 공정성을 확보하는 등의 조치가 필요하다. 이는 기업 활동을 옥죄기 위함이 아니라, 플랫폼 산업이 지속 가능하고 안정적으로 성장하기 위해 필수적으로 갖춰야 할 인프라 규제다.

쿠팡 사태는 성장의 속도만으로 기업의 경쟁력을 설명하던 시대가 끝났음을 보여준다. 데이터는 자산이지만 동시에 리스크이며, 그 리스크의 크기는 기술이 아니라 지배구조가 결정한다. 플랫폼 기업이 앞으로 시장의 신뢰를 얻기 위해서는 기술의 진보보다 더 중요한 것이 있다. 바로 그 기술을 통제하는 '거버넌스의 깊이'다.

[송태원 ESG경제 칼럼니스트, 법무법인 해광 파트너 변호사]