[기자의 눈] 쿠팡, ‘최선의 노력’이 무엇인지 증명하라

▲조하니 유통중기부 기자

쿠팡에서 또 개인정보 유출 사고가 발생했다. 올 5월 SK텔레콤 사태를 넘어 피해 규모만 약 3400만건에 이르는 초유의 보안 참사 소리마저 듣는다. 유출 사고 후 SKT의 대응 과정에서 여론의 비판이 쏟아졌듯 쿠팡도 허술하고 안일한 대처로 도마에 올랐다.

올 6월부터 5개월 동안 고객정보 탈취 시도가 이어졌지만 쿠팡은 알아차리지 못했다. 몇 개월간 일언반구 없던 쿠팡은 결국 박대준 대표이사 명의의 사과문 한 장을 띄웠으나 '정보 유출' 대신 '무단 접근'이라는 단어로 본질을 흐렸다는 평가를 받는다.

이름·이메일·전화번호·거주지 주소·일부 주문 정보 등 생활과 직결된 항목이 새어나갔지만 “결제·신용카드·로그인 정보는 포함되지 않았다"며 민감 정보는 아니라는 식의 해명만 남겼다.

사과문 말미에 적힌 말마따나 쿠팡은 “앞으로도 고객 정보의 안전과 보안을 최우선으로 생각하겠다"고 다짐한 말이 무색하게 어떤 구제책도 알린 것이 없다. 카드 삭제·탈퇴 등 후속 조치도 결국 고객의 몫이다.

유출 원인과 범행 동기, 보상안마저 구체화된 것이 없다. 그나마 '누가'·'어떻게'까지는 희미한 윤곽이 그려졌다. 업계 추측컨대 외국 국적의 전직 개발자가 퇴사 후 인증키를 활용해 범행을 벌였다는 가능성에 무게가 실린다.

이 불확실한 추정이 사실이든 아니든 당초 “쿠팡의 내부 관리 시스템이 제대로 작동했는가"라는 본질적 질문만 남는다. 147일간 3370만명의 고객 데이터가 빠져 나간 사이 쿠팡은 무엇을 했는가. 이미 2020년 이후 세 번의 정보유출 사고를 겪으며 소 잃고 외양간 고칠 기회는 차고 넘쳤다.

대관·로비에 공들이고 보안 투자에 소홀했다는 정황 등이 드러나며 더 큰 공분도 사고 있다. 쿠팡은 올해만 정부·국회 출신의 퇴직 공직자 18명을 채용했다. 업계 추정대로라면 쿠팡은 많게는 100명에 육박하는 대규모 대관 인력을 갖춘 것으로 짐작된다.

반면 정보보호 투자에는 다소 소극적이었다. 한국인터넷진흥원(KISA)에 따르면, 쿠팡의 올해 IT예산은 약 1조9171억원으로 이 가운데 890억원을 정보보호 목적으로 투자했다. 적지 않은 비용이지만 IT 전체 예산의 4.6% 수준이다. 쿠팡의 정보보호 예산 비중은 2022년 7.1%, 2023년 6.9%, 지난해 5.6%로 감소세다.

지금 쿠팡이 필요한 것은 환골탈태다. 보안 투자와 내부 관리 강화는 당연하다. IT 기업으로서 정체성을 강조하고 있지만, 동시에 소비재를 취급하는 유통업체인 점도 간과하면 안 된다. 매출과 직결되는 소비자 신뢰를 저버린 기업을 대신할 라이벌은 많다. 창업주 김범석 쿠팡Inc 의장이 침묵하는 사이, 최전선에 선 박대준 대표가 약속한 “최선의 노력"이 무엇인지 답해야 할 때다.

조하니 기자 inahohc@ekn.kr