쿠팡 고객 3,370만명 개인정보 유출…ESG 시대 ‘데이터 인권’ 흔들렸다
국내 이커머스 1위 기업 쿠팡에서 고객 계정 약 3,370만 개의 개인정보가 유출된 사실이 드러나면서, 단순 해킹 사고를 넘어 기업의 ESG(환경·사회·지배구조) 책임과 ‘데이터 인권’ 문제가 정면으로 제기되고 있다. 규모상 사실상 전 회원이 피해 대상에 해당한다는 평가가 나온다.
이번 사고는 해외 서버를 통한 비정상 접속이 수개월간 이어진 끝에 뒤늦게 발견된 것으로 알려졌다. 유출 대상에는 고객 이름, 이메일 주소, 휴대전화 번호, 배송지 주소, 일부 주문 내역 등이 포함된 것으로 전해졌다. 쿠팡 측은 결제 정보나 로그인 비밀번호는 별도 시스템에서 관리돼 유출되지 않았다고 해명했다.
그러나 실명과 연락처, 주소, 구매 이력이 결합된 정보는 스미싱·보이스피싱, 스토킹, 가정폭력 피해자 추적 등 2차 피해로 이어질 수 있는 민감한 데이터다. 전문가들은 “이번 사태는 편의와 속도를 앞세운 디지털 플랫폼 모델이 시민의 안전과 권리를 충분히 고려해 왔는지 되묻는 사건”이라고 지적한다.
사고 원인을 둘러싸고는 내부 거버넌스의 허점이 도마에 올랐다. 인증 업무를 맡았던 전 직원에게 발급된 접속 권한과 인증키가 퇴사 이후에도 적절히 회수·폐기되지 않고 남아 있었고, 공격자가 이를 이용해 대규모 계정 정보에 접근했다는 의혹이 제기된 상태다. 퇴직자 계정·권한 관리는 정보보호의 가장 기본적인 절차라는 점에서 “쿠팡이 최소한의 내부 통제도 지키지 못했다”는 비판이 제기된다.
침해 사실을 인지하기까지 수개월이 걸린 점도 논란이다. 비정상적인 대량 조회가 장기간 계속됐음에도 모니터링과 경보 체계가 제때 작동하지 않았다는 의미이기 때문이다. 뒤늦게 사고를 알리는 과정에서 피해 규모가 단계적으로 확대 발표되면서, 회사가 위험을 축소하려 했던 것 아니냐는 의구심도 남았다.
ESG 관점에서 보면 이번 사태는 사회(S)와 지배구조(G)가 동시에 실패한 전형적 사례로 꼽힌다. 사회적 책임 측면에서 개인정보 보호는 이제 선택적 ‘서비스 품질’이 아니라, 시민의 기본권을 다루는 ‘데이터 인권’ 문제라는 인식이 확산되고 있다. 지배구조 측면에서는 이사회와 경영진이 사이버 보안과 데이터 거버넌스를 재무 리스크와 동급의 전략 의제로 다뤄왔는지에 대한 근본적인 질문이 제기된다.
투자자 관점에서도 이번 사건은 쿠팡의 비재무 리스크를 드러낸 신호로 받아들여지고 있다. 개인정보보호법상 과징금과 손해배상, 집단소송 가능성, 브랜드 신뢰도 하락은 중장기적인 수익성과 기업가치에 부담으로 작용할 수 있다. 해외에서는 이미 대형 플랫폼의 개인정보 유출에 대해 막대한 벌금과 공시 의무를 부과하는 사례가 늘고 있으며, 국내에서도 유사한 규제 강화 논의가 이어지고 있다.
전문가들은 이번 사태를 계기로 기업들이 개인정보 보호를 IT 부서의 기술적 과제가 아닌, 이사회가 직접 책임지는 ESG 핵심 아젠다로 격상해야 한다고 강조한다. 정기적인 보안·거버넌스 점검과 외부 검증, 사고 대응 및 재발 방지 계획의 투명한 공시 등을 통해 “데이터를 맡긴 고객의 신뢰를 어떻게 지킬 것인가”에 대한 진지한 답을 내놓아야 한다는 지적이다.
쿠팡 사태는 결국 데이터만이 아니라 신뢰가 함께 유출된 사건이다. 플랫폼이 생활 인프라가 된 시대, ESG 경영의 출발점은 화려한 친환경 캠페인이 아니라, 시민의 일상을 지키는 조용한 데이터 보호에서 시작된다는 사실을 이번 사건이 다시 상기시키고 있다.
;)
검색 결과가 없습니다.