[박순장 칼럼] 개인정보 유출 쿠팡 3240만 고객을 배신했다
쿠팡은 국내 이커머스 시장의 절대강자다. 월간 이용자 3240만 명, 쇼핑 업종 점유율 80% 이상. 국민 두 명 중 한 명이 쿠팡을 이용한다는 의미다. 올해 1분기 매출 11조4876억원, 영업이익은 전년 대비 340% 폭증했다.
그러나 화려한 숫자 뒤에 가려진 진실이 있다. 쿠팡은 소비자의 개인정보를 지킬 의지도, 능력도 없다는 사실이다.
지난 20일 쿠팡에서 또다시 개인정보 유출 사고가 발생했다. 4536명의 주문 내역, 이름, 전화번호, 배송지 주소가 외부에 노출됐다. 더 충격적인 것은 최초 침해 시각이다.
한국인터넷진흥원(KISA) 자료에 따르면, 비정상 접속은 지난 6일 오후 6시 38분에 발생했다. 그런데 쿠팡이 이를 인지한 시점은 12일이 지난 18일 밤이었다. 12일간 해커에게 고객 정보를 내어주는 동안 쿠팡은 아무것도 몰랐다.
이것이 우리나라 최대 플랫폼 기업의 보안 수준이다. 연간 수백만건의 거래가 이루어지는 시스템에서 비인가 접근 경로가 열흘 넘게 방치됐다. 이는 기술적 실수가 아니라 방치다. 의도적 무관심이다.
■ 쿠팡 국내 이커머스 점유매출, 영업이익 증가율(2024~2025)
|
구분 |
수치 |
출처 |
|
월간 이용자(MAU) |
3240만명, 쇼핑 업종 내 점유율(80%) 이상 |
2024년 12월 기준 |
|
온라인쇼핑몰 거래액 기준 |
22.7~24.5% |
통계청 및 공정거래위원회 |
|
순결제추정금액 기준 |
37.7%~ 39.7% |
와이즈앱·리테일 및 리서치앤드마켓 |
|
1분기 매출 |
11조4876억원 |
2025년1분기 |
|
영업이익 |
2337억원 |
2025년1분기 |
|
영업이익 증가율 |
전년비 340% |
2025년1분기 |
더욱 분노스러운 사실은 이것이 처음이 아니라 반복적으로 유출되고 있다는 점이다.
불과 1년 전인 2024년 11월, 쿠팡은 15만건이 넘는 개인정보 유출로 16억원의 과징금을 부과받았다.
그리고 1년 뒤 똑같은 보안 허점이 또다시 드러났다. 16억원의 과징금은 쿠팡에게 아무런 교훈도 주지 못했다. 연간 영업이익이 조 단위로 늘어나는 기업에게 16억원은 그저 영업비용일 뿐이다.
쿠팡은 계산했을 것이다. 보안 시스템을 근본적으로 개선하는 데 수백억원을 투자하느니, 사고가 날 때마다 10억원 단위의 과징금을 내는 편이 더 싸다는 변하지 않는 안일함이다. 이것이 쿠팡의 경영 철학이다. 소비자의 안전보다 비용 절감이 우선이다.
쿠팡의 개인정보 유출은 고립된 사건이 아니고 총체적 안전 불감증의 발현이다. 이는 쿠팡이라는 조직 전반에 만연한 안전 불감증의 또 다른 표현이다. 그동안 쿠팡은 라이더 과로사, 열악한 노동 환경, 물류센터 화재 등 크고 작은 안전사고로 끊임없이 비판받아왔다.
■ 쿠팡의 노동, 안전, 정보 불감증
|
문제영역 |
그동안의 문제점 |
이번 유출 사고와의 연결고리 |
|
노동 환경 |
라이더 과로사, 열악한 노동 조건 지속 |
인력 투자를 비용으로만 보는 철학이 보안 인력에도 동일 적용 |
|
안전관리 |
물류센터 화재 등 초동 대응 미흡 |
12일간 비인가 접근 방치 - 상시 관리 체계 부재 입증 |
|
정보 보안 |
반복되는 유출에도 솜방망이 처벌 의존 |
1년 전 16억 과징금 후에도 근본적 개선 없음 |
인력과 시스템에 대한 투자를 '비용'으로만 보는 시각, 규제를 피하는 것이 곧 이익이라는 안일한 인식이 배달 시스템뿐 아니라 정보 보안 영역에도 그대로 적용되고 있는 것이다.
속도와 효율만을 추구하는 과정에서, 안전과 책임은 최소화됐다. 로켓배송의 신화 뒤에는 과로에 시달리는 노동자들이 있었고, 폭발적 성장의 그늘에는 방치된 보안 시스템이 있었다. 쿠팡은 성장했지만, 성숙하지 못했다.
이번 사태에 대한 소비자들의 요구는 명확하다.
첫째, 개인정보보호위원회는 쿠팡의 반복된 보안 실패에 대해 최고 수위의 과징금을 부과해야 한다. 16억원이 아니라 160억원, 나아가 매출의 일정 비율을 과징금으로 부과해야 한다.
기업이 진짜 아파하는 수준의 처벌만이 변화를 이끌어낼 수 있다. 동시에 전사적 보안 시스템 개선에 대한 강제적 시정 명령을 내려야 한다.
둘째, 기업의 운영에 치명적인 영향을 줄 수 있는 징벌적 손해배상 제도를 즉각 도입해야 한다.
유출된 정보로 인한 스미싱, 보이스피싱 피해가 발생하면, 쿠팡이 피해액 전액을 배상하도록 해야 한다. 기업이 실질적인 경제적 책임을 지지 않는 한, 개인정보 보호는 공염불에 불과하다.
셋째, 정부는 KISA와 개인정보위 간의 권한 불균형을 해소하고, 유출 사고 시 신속하고 전문적인 공동 대응 체계를 구축해야 한다. 현재의 이원화된 시스템은 기업에게 시간을 벌어주는 구조적 허점이 되고 있다.
3240만명의 소비자가 쿠팡을 믿고 개인정보를 맡겼다. 그 신뢰를 쿠팡은 두 번이나 배신했다. 배송이 빠르다고, 가격이 싸다고 해서 소비자의 안전을 담보로 삼아도 되는가? 편의를 제공하는 기업이라면, 배송의 속도만큼이나 정보의 안전을 보장하는 것이 최소한의 윤리다.
소비자들의 편의를 제공하는 기업이라면, 배송의 속도만큼이나 소비자들의 개인정보를 안전하게 보호하고 보장하는 것이 윤리적, 법적 의무이다. 쿠팡은 지금 당장 '로켓 배송'을 잠시 멈추고, 보안 시스템을 원점에서 재정비함으로써 국민의 생명과 정보를 지키는 기본적 책임을 다해야 한다.
이용자들의 개인정보를 소흘히 하는 이커머스 기업이 계속해 국내 시장에서 소비자의 가격대비 찾을 거라는 환상은 버려야 할 것이다. 이제 소비자들은 자신의 정보를 보호하며 보호해주는 기업의 상품을 선택할 것이다.
■ 박순장 세이프타임즈 수석 논설위원 겸 소비자안전안심센터장(전 소비자주권시민회의 사무처장)