국내 개별 유통업체 최초로 연 매출 40조원을 넘어선 쿠팡의 개인정보 유출 사건을 둘러싸고, 쿠팡이 사세 확장에만 신경을 쓰다가 내부 통제에 실패한 것이라는 비판이 나오고 있다. 소비자 정보 유출 규모가 역대급으로 큰 탓이다.
1일 관련 업계에 따르면, 쿠팡의 소비자 계정 3370만개의 정보가 유출됐다. 이는 쿠팡이 3분기 실적 발표 당시 구매 이력이 있는 소비자(프로덕트 커머스 부분 활성 고객) 규모인 2470만명보다 많은 수치다. 사실상 쿠팡을 사용했던 소비자 전체의 정보가 유출됐다고 볼 수 있다. 이는 개인정보보호위원회로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤을 능가하는 규모다. SK텔레콤은 올해 가입자 2324만명의 개인정보가 유출된 바 있다.
◇ 테크로 무장한 유통 공룡 쿠팡, 개인정보 유출 사고는 반복
문제는 쿠팡이 이 사실을 5개월이나 몰랐다는 점이다. 개인정보 유출이 일어난 시점은 지난 6월 24일로 확인됐다. 이날부터 사고를 확인한 11월 18일까지 약 5개월간 정보 유출 사실에 대해 인지하지 못했다.
이는 초격차를 지향하는 '기술기업'이라는 그간 쿠팡의 슬로건과 배치되는 일이다. 쿠팡 창업자인 김범석 의장은 '쿠팡은 테크 컴퍼니'라고 강조해 왔다. 그런데 정작 테크기업의 기본 중 하나인 데이터 보안 문제에서 큰 구멍이 났다.
유통업계 관계자는 "쿠팡이 인공지능(AI) 물류 배차, 머신러닝 기반 수요 예측과 같은 혁신 기술로 무장한 회사라고 스스로 홍보했던 것이 겉치장이 아니었는지 되돌아봐야 한다"고 했다.
사내 보안 정책을 시험해야 한다는 신호도 여럿 있었다. 앞서 2020년 8월부터 2021년 11월까지 쿠팡이츠 배달 기사 13만5000명의 개인 정보가 외부로 빠져나간 사건이 있었던 탓이다. 2023년 12월엔 판매자 전용 시스템 '윙'에서 개인정보 유출 사건이 있었다. 주문자와 수취인 개인 정보가 다른 판매자에게 노출됐다.
보안업계 관계자는 "통상 문제가 생기면 전사적으로 보안 내부 시스템을 다시 정의하고 통제해 나가는데, 이번 사건까지 이어진 것을 보면 그런 움직임에 미진했던 것으로 보인다"고 했다.
◇ 외부 해커 아닌 내부 소행, 조직 문화가 문제일 수도
외부 소행이 아니라는 점에서 쿠팡의 조직문화에 따른 실패라고 보는 이들도 있다. 쿠팡의 조직 문화가 지나치게 경쟁적인 탓이라는 것이다. 한 개인의 일탈로 치부할 수도 있지만, 이번 사건을 계기로 조직 내부의 관리 체계와 문화가 어떤 식으로 취약점을 만들어냈는지를 짚어봐야 한다는 맥락에서 나오는 지적이다.
이번 소비자 정보 유출 사건은 외부 해커 소행이 아니라 쿠팡에서 퇴사한 직원의 소행으로 지목되고 있다. 이 직원은 쿠팡에서 인증 담당 업무를 했었고, 그 당시 획득한 데이터 접근 열쇠(토큰)를 활용해 개인정보를 빼낸 것으로 파악됐다.
유통업계에서는 쿠팡의 강도 높은 성과 중심 문화가 내부 통제의 사각지대를 만들었을 가능성을 지적한다. 빠른 실행과 성과를 중시하는 분위기 속에서 보안 체계 점검이나 권한 관리 절차가 후순위로 밀렸다는 것이다. 퇴사자 접근 권한 회수나 민감 데이터 접근 기록 모니터링, 토큰·API 키 관리 강화 등 기본적인 보안 거버넌스가 쿠팡에 자리 잡지 않은 이유다.
보안업계 관계자는 "보안은 성과를 숫자로 증명할 수 있는 업역이 아니다. 사고가 터지기 전에 방지하는 역할을 하기 때문"이라며 "반면 쇼핑 알고리즘 개발, 애드 분야는 다르다. 근로자라면 어떤 업역의 일을 하고 싶겠나"라고 했다.
근로자에게 쿠팡은 어떤 회사인가에 대한 문제도 다시 정립해야 한다는 지적도 있다. 한 전직 쿠팡 임원은 "숫자로 입증 가능한 성과를 강조하다 보니 조직이 시스템으로 개인을 쥐어짜는 문화가 발달했다. 동시에 직장에 대한 로열티나 공동체 의식은 촌스럽다고 치부되는 문화를 가지고 있다"고 했다.
그는 이어 "쿠팡 근로자가 쿠팡을 생각할 때 단기간에 본인 몸값을 올리는 직장으로 치부되는 경우가 많다"며 "결과적으로 조직문화와 내부 통제 시스템 전반이 총체적으로 흔들리고 있었다는 비판을 받을 수 있다"고 했다.