이번 사건은 외부 해커의 공격이 아닌, 중국 국적의 전직 직원이 저지른 내부 범죄로 알려졌다. 퇴사 이후에도 내부 서버 접근 권한이 회수되지 않았다는 점에서 인력 관리와 접근 권한 통제의 총체적 부실을 드러낸다. 더 큰 문제는 쿠팡이 장기간 유출 사실 자체를 인지하지 못했다는 점이다. 실제로 이번 사고는 개인정보 유출 협박 메일을 받은 한 고객이 지난 11월 16일 쿠팡에 직접 신고하면서 수면 위로 떠올랐다. 쿠팡은 나흘 뒤인 11월 20일에야 개인정보보호위원회에 이를 신고했다. 전문가들은 “보안 기술의 취약성 이전에 이상 징후를 감지하고 차단하는 내부 통제 시스템이 사실상 작동하지 않았다는 점이 더 근본적인 문제”라고 지적한다.
사고 이후 쿠팡의 대응 방식 역시 거센 비판을 받고 있다. 초기 고객 통지 과정에서 쿠팡은 ‘개인정보 유출’이라는 표현 대신 ‘정보 노출’이라는 모호한 용어를 사용해 사건의 심각성을 축소하려 했다. 여기에 쿠팡이 2024년 11월 이용약관에 “서버에 대한 제3자의 모든 불법적 접속으로 인한 손해에 대해 책임지지 않는다”는 면책 조항을 넣은 사실이 알려지면서 논란은 더욱 확산됐다. 개인정보보호위원회는 해당 조항이 개인정보보호법 취지에 반한다며 개선을 요구했다.
김범석 의장, 국정감사와 청문회 증인 단 한 번도 출석 안 해
쿠팡은 앞서 2021년 쿠팡이츠 배달노동자 3만5000여 명, 2023년에는 약 2만2000여 명의 개인정보가 유출됐지만 과징금은 2억7000만 원, 13억1000만 원에 그쳤다. 반복되는 사고에도 실효성 있는 제재가 이뤄지지 않으면서 근본적인 보안 체계 개선이 미뤄졌고, 이번 대규모 유출은 사실상 ‘예고된 참사’였다는 지적이 나온다.사태가 알려진 이후 이용자들 사이에서는 이른바 ‘탈팡(쿠팡 탈퇴)’ 움직임이 확산하고 있다. 이 과정에서 회원 탈퇴와 와우 멤버십 해지 절차가 지나치게 복잡하게 설계돼 있다는 사실이 드러나 또 다른 논란이 불거졌다. 이는 ‘개인정보보호법상 개인정보 처리 정지 및 동의 철회 요구는 수집 절차보다 어렵지 않아야 한다’는 규정 위반 소지가 있다는 지적이다.
이번 사태로 쿠팡을 향한 국민감정도 악화 일로로 향하고 있다. 쿠팡은 2010년 자본금 30억 원으로 출발해 ‘로켓배송’을 앞세워 공격적인 물류 투자를 이어왔다. 그 결과 2015년 매출 1조 원을 돌파하며 가파른 성장세를 보였다. 2021년 매출 20조 원, 2024년에는 41조 원을 기록했다. 이는 이마트·홈플러스·롯데마트 등 대형마트 3사의 매출 합계(37조 원)를 웃도는 수준이자, 국내 백화점 전체 소매판매액(40조 원)을 넘어선 수치다. 쿠팡 매출의 약 90%는 한국 법인에서 발생하지만, 미국 기업 쿠팡Inc가 한국 법인의 지분을 100% 소유하고 있으며 주식도 미국 뉴욕증권거래소에 상장돼 있다.
쿠팡은 판매업체에 부과하는 수수료가 높고 대금 정산은 업계에서 가장 늦은 편이다. 또 물류센터와 배송 노동환경 악화, 과로사 문제 등으로 지속적인 사회적 비판을 받아왔으며, 실제로 2025년에만 택배·물류 노동자 8명이 숨졌다. 보안 실패, 개인정보 관리 부실, 노동 안전 문제는 각각 분리된 사건이 아니라 ‘속도와 효율을 최우선시한 경영 구조’에서 비롯된 결과라는 지적도 나온다.
개인정보 유출 사태 이후 쿠팡은 비정상적인 접근 경로 차단과 내부 모니터링 강화 등 재발 방지책을 내놓았지만, 시장과 이용자들의 시선은 냉담하다. 징벌적손해배상제의 도입 요구가 커지는 가운데, 일부 로펌은 쿠팡Inc 본사가 있는 미국 법원에 집단소송 제기를 준비 중이다.
이번 개인정보 유출 사태는 쿠팡의 성장 신화 이면에 가려졌던 구조적 한계가 적나라하게 드러난 사건이다. 쿠팡은 막대한 시장 지배력에 걸맞은 경영 책임과 투명한 의사결정 구조, 그리고 이용자와 노동자를 향한 신뢰 회복 대책이 필요해 보인다.
#쿠팡 #김범석 #여성동아
사진 뉴스1 게티이미지
-
추천 0
-
댓글 0
- 목차
- 공유
