쿠팡 3370만 개인정보 유출 후…경영진 책임과 미국 본사의 수습 ‘외부화’

3370만 명의 개인정보가 유출된 초유의 사태 이후 박대준 쿠팡 대표이사가 전격적으로 사임했다. 2025년 11월 대형 유출사고가 알려진 직후 박 대표는 서울 청사에서 공개 사과했지만, 그 책임은 결국 보직 사퇴라는 형태로 마무리됐다. 공식 입장에서는 ‘책임 통감’과 ‘모든 직위에서 물러남’을 내세웠으나, 실질적 수습의 주체가 더 이상 한국 경영이 아니라 미국 본사 쿠팡 Inc.로 넘어갔다는 점이 더 크고 묵직한 신호다. 미국 본사의 해롤드 로저스 법무총괄이 임시 대표로 지정돼, 위기 관리의 핵심이 한미 간 지배구조 구조조정과 신뢰 회복 작업이란 사실이 드러난다. 3370만 명. 대한민국 국민 절반이 넘는 인구의 개인정보가 노출된 이 사고는 기존 IT·유통기업들의 보안 사각지대 문제, 그리고 대규모 플랫폼의 개인정보 관리 실상에 적나라한 경종을 울린다. 기술·관리·감독 어디서 구멍이 났는지, 내부 감시 기능이 정상 작동했는지에 대한 사회적 질타가 거세다. 지난해, 네이버, 카카오, 여러 금융기관 등 국내 굴지의 IT기업마저 반복된 개인정보 유출을 겪으며, ‘플랫폼 기업의 내부 보안 인식’이란 본질적 문제에 대한 비판이 지속되고 있다. 쿠팡 사례는 거대한 데이터 자원의 중앙집중, 그리고 최고경영진의 대응과 허점에서 비롯된 일련의 사회적 책임 실패상을 드러낸다.

경찰청과 방송통신위원회의 조사 결과, 수백만 건에 달하는 고객·파트너사·직원 보관정보가 단순 해킹을 넘어 내부 접근 권한의 관리 허점에서 비롯된 것으로 추정된다. 사고 직후 쿠팡 측은 경영진 사퇴, 전면적인 보안 투자 확대, 내부 프로세스 개선을 약속했다. 과연 이러한 ‘사후약방문’식 조치가 실질적으로 시스템 구조를 바꿀지, 형식적 ‘꼬리 자르기’ 이상의 의미가 있는지 따져볼 필요가 있다. 2021년 상장 이후 쿠팡은 초대형 플랫폼으로 성장해왔지만, IT기업임을 강조하면서도 실제 개인정보보호 의식은 현실의 법제와 감독을 수시로 상회하지 못했다. 현행 정보통신망법, 개인정보보호법의 ‘기술적·관리적 보호조치’ 규정에도 불구하고, 대규모 플랫폼들은 여전히 실무진에 경계 책임을 떠넘기는 일이 흔하다. 결과적으로 박대준 대표의 사임은 ‘책임’이라는 이름을 달았지만, 실질적 지배권자는 미국 본사였다는 점을 절묘하게 드러낸다. 자회사의 명목상 책임자가 물러나도, 쿠팡의 위험관리 구조는 국내 소비자와 시장 보호보다 해외 투자자 및 본사의 리스크관리 전략이 먼저라는 현실이 적나라하다. 최근 쿠팡은 미국 나스닥 상장 직후 유연한 글로벌 전략을 표방하지만, 보안 위기 시 책임 소재와 피해 복구 프로세스에서 ‘한국 고객 우선’이라는 가치가 기능하는지 현장은 의문투성이다.

쿠팡 Inc.가 직접 임시 대표를 투입해 위기 수습을 주도한다는 이번 결정은 여러 측면에서 중대한 전환을 시사한다. 우선, 이는 국내 대기업 내부 통제와 재해대응 체계가 글로벌 투자지상주의, 외국인 지배구조에 의해 평면화되고 있음을 의미한다. 재발 방지 약속, 보안팀 예산 확대, 전사적 위기 위원회 구성 등의 언어는 이미 2020년대 IT 보안사고 때마다 반복된 ‘관성적 사과문’의 범주에 머무는 실정이다. 박대준 대표의 사임이라는 카드는 일종의 ‘상징적 처방’에 가깝다. 실질적으로 남게 될 피해 구제, 개인정보 무단 활용에 대한 재발 방지, 고객 신뢰 회복의 과정에서 본사의 자본력 혹은 미국 현지 준법 전략이 국내 피해자 구조와 얼마나 조응할지 의문이 남는다. 이외에도 업계와 사회는 반복적으로 제기한다. 개인정보 유출의 책임은 단순히 최고경영진 혹은 IT보안팀 구성원의 해임에 국한되지 않는다. 실질적인 구조적 점검, 권한 분산 통제 이행, 데이터 최소수집 원칙과 현장 실천은 여전히 부족하다. 또한, 법적 처벌이 경영진에게 실효적으로 미치는 사례가 드물다는 점은 대기업 ‘내부자 책임’ 회피의 고질병이다.

플랫폼 경제가 급속히 성장한 지난 10년, 유통·택배·IT 거대화와 함께 개인정보는 기업자산화됐다. 데이터 자본주의, 온라인 거래 폭증 속에 ‘셀프책임’ 없이 수집-관리-유출 위험까지 모두 소비자에 전가하는 관행이 고착된다. 박대준 대표의 사임, 그리고 미국 로저스 신임 대표의 임시 체제 전환은 ‘책임의 승인’인가 ‘위기의 수출’인가, 사회적 논의거리가 남는다. 수많은 내부고발자 증언과 개인정보위, 방통위 감사 자료가 시사하듯 문제의 근본은 ‘이익집중-분산책임’의 틀 안에서 제대로 된 감시와 상벌, 그리고 소비자 설명의무가 실종된 현재 쿠팡형 경영 시스템에 있다. 사후 대책으로는 진정한 변화가 이뤄지지 않는다. 궁극적으로 플랫폼 기업의 법제 강화, 실효적 민관 감독, 내부자 고발자 보호시스템의 확립이 동반될 때만이 신뢰 회복과 ‘재발 방지’가 가능할 것이다. 쿠팡 본사의 적극적 수습은 상징적 해프닝이 아니라 업계 구조 변화를 동반한 책임 이행이어야 한다. 피해고객의 권리 보상, 내부통제 공개, 사회에 대한 투명한 보고가 우선이다. 책임은 자리에 있지 않고, 시스템에 남는다는 사실을 기억해야 한다.

— 송예준 ([email protected])