쿠팡은 국내 1위 이커머스, 연 매출 50조를 바라보는 유통 공룡 기업이라는 명성과 달리 열악한 노동환경과 최악의 리스크 관리로 ‘블랙 기업’이라는 오명을 자처하고 있죠.

 

쿠팡은 반복된 개인정보 유출 문제를 제대로 해결하지 않고 안이하게 방치하다 결국 이번에 3370만건에 달하는 고객 개인정보가 무단으로 유출되는 역대 최악의 사고가 발생한 것입니다.

 

사고의 구체적인 경위는 현재 수사당국이 조사 중이어서 단정 지을 수 없지만, 분명한 건 비슷한 문제가 발생해 정부당국으로부터 제재까지 받았음에도 쿠팡은 진정성을 가지고 개인정보 유출 문제를 해결하려는 노력을 하지 않았다는 것입니다.

 

이번 사고에 대한 늑장 대응도 도마 위에 올랐습니다. 해외 서버를 통해 지난 6월24일부터 무단으로 고객정보에 접근한 시도가 있었음에도 쿠팡은 5개월가량 사실을 인지조차 하지 못하고 피해를 키웠습니다.

 

쿠팡은 지난달 18일에서야 고객정보가 유출된 사실을 알고 당국에 신고했지만, 이때까지 4500개 계정의 개인정보가 새어 나간 정도로만 사고 규모를 파악하고 있었죠.

 

하지만 당국의 추가 조사 결과 처음 신고된 사고 규모의 무려 7500배 규모에 달하는 3370만건의 고객 개인정보가 빠져나갔습니다. 즉 쿠팡을 한 번이라도 이용한 고객을 뜻하는 활성 고객이 2470만명인 점을 감안하면 사실상 쿠팡에 가입한 모든 개인정보가 노출된 겁니다. 이는 국내 개인정보 유출 사고상 가장 큰 규모입니다. 노출된 고객 정보에는 이름과 전화번호는 물론 배송지 주소와 일부 주문 정보도 포함됐죠.

 

쿠팡의 해킹 피해는 처음이 아닙니다. 2021년부터 2023년까지 쿠팡이츠 배달원과 고객의 개인정보 15만여건을 유출한 쿠팡은 개인정보보호위원회로부터 약 16억원의 과징금 처분을 받았습니다.

 

계속되는 고객 개인정보 유출 사고에도 쿠팡은 정보보안 투자를 뒷전으로 하고 제대로 된 안전 관리를 하지 않아 이번 사고를 초래했다는 비판을 받고 있습니다. 쿠팡은 지난해 사상 처음으로 연매출 약 42조원를 기록했지만 매출 대비 보안 투자 비중은 약 0.2%에 불과했습니다.

 

기업의 보안관리를 단순한 비용이 아니라 리스크 완화와 신뢰 확보를 위한 투자로 인식해야 합니다. 올해 쿠팡은 연매출 매출 50조 달성을 바라보고 있습니다. 하지만 수십조의 매출액 중 고작 0.2% 수준의 보안 투자 기조를 유지한다면 대규모 유출 사고는 언제든 재발할 수 있다는 경각심을 가져야 할 것입니다.

 

이혜현 기자 hyun@etomato.com