"우리 국민이 가장 많이 이용하는 쿠팡 고객정보가 통째로 중국에 넘어갈 위기입니다"

이번 쿠팡 개인정보 유출 사태를 두고 최근 정치권에서 나온 말처럼 들리지만, 사실 이 발언은 4년 전인 2021년 국회 국정감사에서 나온 경고다.

양정숙 당시 무소속 의원은 쿠팡의 개인정보 처리 구조를 문제 삼으며, "중국 법인 한림네트워크가 개인정보 모니터링 업무를 담당하는 과정에서 중국 정부가 데이터 접근을 요구할 수 있다"고 지적했다. 중국의 네트워크안전법과 개인정보보호법이 중국 내 저장·자료 제출 의무를 광범위하게 부과하고 있는 만큼, 쿠팡 고객정보가 사실상 중국 규제 체계에 편입되는 것 아니냐는 우려였다.

쿠팡의 반응은 단호했다. 고객정보는 전적으로 국내 서버에 저장돼 있고, 한림네트워크는 ‘IT 개발 지원’ 조직일 뿐 개인정보를 들여다보는 구조가 아니라는 점을 거듭 강조했다. 국감 당시에도 쿠팡 안팎에서는 "중국 개발 인력을 쓰는 IT 기업은 전 세계에 흔한데, 기술적 사실과 다른 정치적 공세"라는 취지의 불만이 적지 않았다.

하지만 정치권과 여론은 쉽게 수긍하지 않았다. 중국의 데이터 법제는 정부의 접근 가능성을 열어두고 있고, 개발 조직이 실제 어떤 권한을 갖는지는 외부에서 검증할 방법이 없다는 이유에서다. 결국 쿠팡은 논란을 최소화하는 길을 택했다. 중국 관계회사 위탁 구조를 정리하고, 관련 역할을 미국·일본·호주·싱가포르·인도 등으로 분산하는 쪽으로 재편했다. 겉으로 보기에는 '중국 리스크'를 털어낸 듯한 모양새였다.

그리고 4년 뒤, 쿠팡은 다시 한 번 국내를 발칵 뒤집어놓았다. 이번엔 단순한 우려가 아니라 현실이 됐다.

3370만건. 국내 온라인 서비스 역사상 유례를 찾기 어려운 규모의 개인정보가 유출됐다. 유출된 정보에는 고객의 이름, 이메일 주소, 배송지 주소, 휴대전화번호 등 핵심 식별 정보와 일부 주문 정보가 포함된 것으로 알려졌다. 유출 시점은 6월 24일 전후로 추정되는데, 쿠팡이 이를 인지한 것은 11월 중순이었다. 자체 보안 시스템이 위험 징후를 포착한 것이 아니라, 협박성 이메일을 받은 고객들이 항의하고 신고하면서야 사고 사실이 드러났다.

이번 사태에서 주목해야 할 대목은 유출 경로로 지목된 인물이다. 수사당국과 국회 보고에 따르면, 용의자는 쿠팡에서 보안·인증 관련 시스템을 담당했던 중국 국적의 전직 개발자로 파악되고 있다. 그는 지난해 12월 퇴사했지만, 서명 인증키와 토큰 관리 부실 탓에 퇴사 이후에도 내부 시스템 일부에 접근할 수 있었던 것으로 추정된다.

보안 전문가들의 지적도 비슷한 방향을 가리킨다. 전직자 계정과 인증키가 살아 있다는 것 자체가 내부통제 실패이며, 5개월에 걸친 해외 IP 기반 이상 접속을 관제 시스템이 한 번도 감지하지 못했다는 점은 '구조적 붕괴'에 가깝다는 평가다. 쿠팡이 지난해 정보보호에 투입했다는 890억원, 200명이 넘는 보안 인력은 이번 사태와 비교하면 숫자에 불과해진다.

이 지점에서 자연스럽게 떠오르는 질문이 있다. 4년 전 정치권이 지적한 '중국 리스크'는 정말 중국이라는 지리적·법적 위험만을 의미했던 걸까.

당시 논쟁의 본질은 중국의 데이터법 자체가 아니었다. '쿠팡이라는 거대 플랫폼이 개인정보를 어떤 철학과 구조로 다루고 있느냐'는 문제의식에 가까웠다. 중국 관계회사 하나가 문제가 된 게 아니라, 개인정보 보호를 비즈니스의 핵심이 아니라 부수적 기능 정도로 취급하는 것 아니냐는 의심이었다.

그러나 쿠팡의 해법은 개인정보 처리 구조를 전면 재설계하는 것이 아니라, 위탁 업체의 국적을 바꾸는 방식에 머물렀다. 시스템과 문화는 그대로 둔 채 '중국'이라는 단어만 지우면 위기가 지나갈 것이라는 판단에 가까웠다. 정치적 민감도를 낮추는 데는 일정 정도 효과가 있었을지 몰라도, 국감이 요구했던 '내부 통제 체계 전면 점검'이라는 과제는 사실상 미뤄졌다.

사실 쿠팡의 개인정보 이슈는 이번이 처음이 아니다. 2021년에는 쿠팡이츠 배달원 약 13만5000명의 실명과 휴대전화번호가 음식점 등으로 그대로 노출된 사고가 발생했고, 2023년에는 판매자 전용 시스템에서 약 2만2000명의 주문자·수취인 정보가 다른 판매자들에게 노출되는 사고가 이어졌다. 개인정보보호위원회는 이 두 건을 묶어 지난해 약 15억9000만원 규모의 과징금·과태료를 부과했다.

쿠팡은 "수년 전 외부 업체 과실이나 소프트웨어의 일시적인 오류로 발생한 사건"이라며 "재발 방지를 위해 필요한 모든 조치를 끝냈다"고 해명했다. 그러나 1년 만에 역대 최대 규모의 유출 사고가 재발했고, 이번에는 '외부 협력사'가 아니라 쿠팡 내부의 계정·키 관리가 뚫렸다.

반대로, 사고가 날 때마다 눈에 띄게 커진 영역은 따로 있다. 바로 대관 조직이다. 강민국 국민의힘 의원이 국민건강보험공단에서 제출받은 자료에 따르면, 쿠팡은 올해에만 국회 및 해킹 대응 정부기관 퇴직 공무원 28명을 영입했다. 2020년 이후 6년간 누적 숫자는 62명으로, 국내 주요 e커머스 기업 가운데 단연 1위다.

국회 보좌진 출신이 상당수를 차지하고, 개인정보·사이버 침해 사고를 다뤄온 정부기관 출신도 적지 않다. 이미 국회 안팎에선 "쿠팡이 보좌진 출신을 가장 공격적으로 영입하는 기업"이란 말이 공공연하게 나온다. 쿠팡의 정책·노동·규제 대응 조직은 이제 국내 플랫폼 기업 중에서도 손꼽히는 규모로 평가된다. 규제 리스크와 정치적 압박이 커질수록, 쿠팡이 가장 먼저 확충해온 역량이 무엇인지 보여주는 대목이다.

문제는 이런 구조가 이번 사태와 겹쳐 보인다는 점이다. 개인정보 보호 체계는 본질적인 변화가 없는데, 규제를 상대하는 역량만 꾸준히 강화되면서 '겉은 커졌지만 속은 허약해진' 기업이 되어가고 있다는 비판이다. 개인정보가 유출될 때마다 쿠팡의 선택은 실질적인 보안 체계 개편보다는 대외 리스크 관리에 쏠려온 것 아니냐는 지적이 설득력을 얻는다.

이번 사고를 단순히 '중국 출신 전직 직원 한 명의 일탈'로 축소하기 어려운 이유도 여기 있다. 내부 접근권한 관리, 서명키·인증 토큰의 주기적 갱신·폐기, 해외 IP 기반 이상 징후 탐지 같은 '보안의 기본 중 기본'이 오랜 기간 방치돼 있었다는 점에서, 이번 유출은 쿠팡이 지난 수년간 선택해온 의사결정 구조가 빚어낸 결과에 가깝다.

4년 전 국감장에서 나온 "통째로 넘어갈 위기"라는 표현은 당시엔 중국을 향해 있었지만, 지금 돌아보면 쿠팡 내부의 보안·통제 시스템을 향한 말이기도 했다는 생각을 떨치기 어렵다.