'유통 공룡' 쿠팡 부실 노출...빠른배송·간편결제 고객 확장
국민 4명 중 3명 피해자인 셈...전사적 신뢰 회복 대응책 내놔야
쿠팡의 대규모 개인정보 유출 사태가 단일 사고가 아니라 기업 모델 자체의 ‘구조적 결함’에서 비롯된 것 아니냐는 근본적 의문이 커지고 있다. 국내 이커머스 시장을 재편한 ‘연 매출 42조 플랫폼’임에도 쿠팡의 정보보안 투자는 매출의 0.2% 수준에 불과한 것으로 확인되면서다. 기록적 성장률을 자랑해 온 쿠팡이 정작 소비자 신뢰를 지탱하는 가장 기초적인 ‘데이터 보안’에는 거의 투자하지 않았던 것이 드러난 셈이다.
1일 한국인터넷진흥원(KISA) 정보보호통계 및 쿠팡 실적보고서에 따르면 이 회사의 지난해 매출은 약 42조 원(317억 달러)이다. 그러나 이 기간 정보보안 투자액은 889억 원(0.2%)에 그쳤다.
쿠팡은 2021년 나스닥 상장 당시 연 매출 20조 원대(184억 달러)에서 불과 3년 만에 두 배 넘게 키웠다. 활성고객(구매 이력이 있는 고객)은 1794만 명에서 2500만 명 규모로 급증했다. 일명 ‘이마롯쿠(이마트, 롯데마트, 쿠팡)’란 신조어가 나올 정도로 온·오프라인 유통 시장의 절대 강자로 등극했다. 반면 정보보안 투자는 턱없이 빈약했다.
KISA에 따르면 쿠팡의 정보보안 투자 규모는 △2021년 534억 원 △2022년 639억 원 △2023년 659억 원 △2024년 889억 원에 머물렀다. 3년간 증가분이 300억 원대에 불과한 셈이다. 폭증한 고객 데이터와 거래 규모를 감당하기에는 턱없이 빈약한 수준이라는 지적이 나오는 배경이다.
이 같은 투자 기울기는 더 뚜렷한 수치에서도 드러난다. KISA 공시 분석 결과 쿠팡은 최근 3년간 정보·IT 부문 전체 투자액을 749억 원에서 1조9000억 원으로 2.5배 넘게 확대했다. 그러나 그중 정보보호 항목은 전체 IT 예산 대비 7.1%에서 4.6%로 오히려 감소했다. 빠른 배송·결제·상품 노출 등 ‘매출 확대 기능’에는 대규모 투자가 집중되는 동안 보안 분야는 성장의 그늘로 밀려난 구조였다는 비판이 나온다.
정보보호 전담 인력도 급증하는 고객 규모와 거래량 대비 턱없이 작다. 쿠팡의 보안 인력은 △2021년 170명 △2022년 167명 △2023년 190명 △2024년 211명에 불과하다. 연간 거래 규모를 고려하면 글로벌 이커머스 대비 3~5분의 1 수준이라는 평가다.
결국 이번 개인정보 유출 사태의 원인이 ‘내부자 공격’에서 시작됐다는 사실은 쿠팡의 접근권한 관리·로그 모니터링·서버 인증체계 등 정보보안 투자 부족에서 비롯됐다는 주장에 힘이 실린다. 한 보안 전문가는 “42조 매출 기업이 0.2%의 보안 투자로 수천만 명의 개인정보를 다룬다는 건 비정상적 구조”라며 “쿠팡식 ‘성장 중심 IT 모델’이 만든 원초적 리스크가 이번 사태로 폭발한 것”이라고 지적했다
![달러가 움직이면 닭이 화내는 이유?…계란값이 알려준 진실 [에그리씽]](https://img.etoday.co.kr/crop/320/200/2182675.jpg)
