쿠팡, 개인정보 3370만건 유출에...공들인 ‘로켓배송 신화’ 흔들[쿠팡 사태 100일, 이커머스 뉴노멀]

사건의 시작으로 거슬러 올라가봤다. 쿠팡의 개인정보 유출은 사태가 수면 위로 드러난 날보다 훨씬 일찍 시작됐다. 민관합동조사단이 10일 발표한 결과에 따르면 쿠팡 전 직원인 정보통신망 공격자는 사전 시험을 통해 이용자 계정에 접근이 가능한 사실을 확인한 이후 지난해 4월부터 약 8개월에 걸쳐 대규모 정보를 유출했다. 쿠팡이 이 사실을 공식적으로 개인정보보호위원회에 보고한 것은 11월 29일. 공격이 시작된 시점으로부터 7개월이 넘도록 유출 사실을 인지하지 못했다는 의미다.

쿠팡 개인정보 유출 사태는 그 규모와 내부자에 의한 유출이라는 점에서 전례가 없다는 평가를 받았다. 여기에 정부와의 엇박자가 논란을 키웠다. 쿠팡이 3370만 개 개인정보 유출을 발표한 다음 날인 11월 30일, 과학기술정보통신부(과기정통부)는 민간 전문가, 한국인터넷진흥원 등과 함께 민관합동조사단을 꾸리고 조사를 시작했다고 밝혔다. 그리고 한 달이 지나지 않은 12월 25일, 쿠팡은 갑작스럽게 자체 조사 결과를 발표했다. 유출자를 특정했으며 유출 정보가 외부로 전송된 정황이 없다는 내용이었다.

과기정통부는 곧바로 쿠팡이 주장한 사항은 확인되지 않은 사실이라며, 민관합동조사가 진행 중인데 일방적으로 대외에 알린 것에 대해 항의했다. 이에 쿠팡은 바로 정부의 지시에 따른 조사였다고 반박했고, 경찰·국가정보원 등은 “지시한 적 없다”며 이런 주장을 일축했다. 정부와 대립하며 사태의 파장은 커졌다.

이번 사태로 쿠팡이 쌓아온 신뢰도와 로열티에 금이 가고 있다. 그동안 쿠팡은 로켓배송과 멤버십 혜택이 강력한 록인(Lock-in) 효과를 내며 충성고객을 기반으로 성장해왔다. 쿠팡의 유료 멤버십 회원 수는 마지막으로 집계된 2023년 말 기준 1400만 명이 넘었다.

하지만 사고 발생 이후 ‘탈팡’(쿠팡 탈퇴) 움직임이 속출했다. 아이지에이웍스 모바일인덱스에 따르면 쿠팡의 월간활성이용자수(MAU)는 지난해 12월 3484만7887명에서 올해 1월 3401만1152명으로 감소했다. 한 달 새 83만6735명(2.4%)이 줄어든 것이다.

쿠팡 기업 가치도 흔들리는 모양새다. 쿠팡 모기업 쿠팡Inc는 미국 뉴욕증권거래소(NYSE)에 상장한 기업이다. 쿠팡의 미국 투자자들은 한국에서 자국 기업인 쿠팡이 차별적 대우를 받고 있다며 국제투자분쟁(ISDS) 중재의향서를 제출했다. 개인정보 유출 사태 파장으로 인한 쿠팡의 기업 가치 훼손으로 우려하는 것으로 풀이된다.

쿠팡 사태는 ‘성장 지상주의’가 남긴 보안 공백을 보여주는 사례로 지목되고 있다. 쿠팡은 지난 4년간 매출이 세 배 가까이 증가하는 등 ‘로켓성장’을 이뤘다. 인구 70% 이상이 거주하는 곳을 ‘쿠세권’(로켓배송 가능지역)으로 만들고, 멤버십 혜택을 늘려 대체가 어려운 유통사로 자리매김했다. 하지만 이런 쿠팡의 ‘해자’가 보안 불감증을 키웠다는 평가가 나온다. 빠른 성장에 집중하다 보니 정보 보안에 투자가 부족해 지금의 사태까지 이르렀다는 지적이 나오고 있다.

한국인터넷진흥원(KISA) 정보보호통계 등에 따르면 2024년 기준 쿠팡의 정보보안 투자액은 889억원으로 연매출의 0.2%에 불과하다. 2022년부터 2년간 관련 투자액 증가율은 39.2%로, 정보기술부문 전체 투자액 증가율(106.4%)에 한참 못 미친다. 같은 기간 정보기술부문 인력은 34.4% 늘었지만, 이 인력 내 정보보호 전담자 비중은 0.4%p 감소했다. 플랫폼 편의성 개발에 치중하면서 정보보호 투자에는 인색했던 것.

유출 사건과 그 조사 과정은 쿠팡의 거버넌스 위기로 번지고 있다는 점도 주목된다. 대규모 개인정보 유출과 관련해 한·미 양국에서 피해 소비자들이 소송을 제기하고 있다. 상대는 쿠팡Inc와 김범석 의장이다. 해롤드 로저스 한국 임시대표를 비롯한 쿠팡 전·현직 임원들은 국회에서 위증한 혐의로 경찰 조사를 받고 있다. 유출 사고가 공식화된 지 100일이 지났지만, 쿠팡 사태는 현재진행형이다.