[2025 유통 결산 ②] 로켓의 그늘…쿠팡을 멈춰 세운 '보안 리스크'

[프라임경제] '로켓배송'으로 국내 유통 지형을 바꿔온 쿠팡의 성장 가도에 급제동이 걸렸다. 단순한 시스템 오류를 넘어선 구조적 보안 관리 부실이 드러나면서다. 혁신이라는 화려한 이름 뒤에 가려져 있던 '보안 불감증'은 결국 3370만명 규모의 개인정보 노출 사태로 이어졌다.

◆"장기간 뚫려 있었다"…내부 보안 취약점 드러나

이번 사태의 본질은 기술적 한계를 넘어선 관리 실패에 가까운 인재(人災)라는 평가가 지배적이다. 수사당국과 국회 조사에 따르면, 중국 국적의 내부 직원(퇴사자)이 핵심 인증 수단인 서명 키(Signing Key)를 확보한 뒤 장기간 무단 접근을 이어간 정황이 확인됐다.

서울 시내의 한 쿠팡 물류센터 모습. ⓒ 연합뉴스

문제는 쿠팡이 이 기간 동안 이를 전혀 인지하지 못했다는 점이다. 현대 IT 보안의 기본으로 꼽히는 퇴사자 접근 권한 회수와 인증키 폐기가 이뤄지지 않았고, 인증키 유효기간도 5~10년 수준으로 방치돼 있었다. 글로벌 보안 표준으로 자리 잡은 패스키(passkey) 도입 역시 전무했다.

더욱 충격적인 대목은 쿠팡의 사태 인지 경로다. 내부 모니터링이나 보안 탐지 시스템이 아닌, 범죄자로부터 전달된 협박성 메일을 통해서야 개인정보 접근 사실을 인지했다. 

이는 최근 외부 해커의 공격에 대응이 미흡했던 SK텔레콤(017670) 사례와도 결이 다르다. SK텔레콤이 외부 침입 방어에 실패했다면, 쿠팡은 '집 열쇠를 도둑맞고도 장기간 문을 열어둔 셈'이라는 비판이 나온다.

◆3370만명 정보 '노출'…축소 인식 논란이 키운 불신

사태 이후 쿠팡의 대응 방식 역시 논란을 키웠다. 초기 공지에서 피해 규모를 4500명으로 안내했지만, 이후 정밀 조사 결과 영향을 받은 계정 수가 3370만개에 달하는 것으로 확인됐다. 결과적으로 7500배에 달하는 수치 차이가 발생하면서, 사태를 둘러싼 정보 축소 인식 논란이 불거졌다.

용어 선택에서도 책임 회피 논란이 제기됐다. 쿠팡은 제삼자에게 정보가 넘어갔음을 내포하는 '유출' 대신, 내부 관리 문제를 강조하는 '노출'이라는 표현을 일관되게 사용했다. 

여기에 사과문이 공지사항 상단에서 내려가거나 삭제된 정황까지 더해지며, 소비자와의 소통 방식 자체가 신뢰를 훼손했다는 지적이 이어졌다.

◆"한국서 돈 벌고 책임은 미국서?"…리더십 공백의 후폭풍

사태가 확산되면서 리더십 부재 논란도 불거졌다. 실질적 책임자로 지목된 김범석 쿠팡Inc 의장은 국회 국정감사와 청문회 출석 요구에 잇따라 불응했다. 대신 전면에 나선 해롤드 쿠팡 로저스 임시 대표는 "미국 기준으로는 관련법 위반이 아니다"라는 취지의 발언을 내놓으며 논란이 가중됐다.

특히 과거 대규모 개인정보 유출 사고 당시 국내 대기업 경영진이 직접 사과하고 재발 방지를 약속했던 모습과 대비된다는 지적이다. 

한국 소비자들 사이에서는 "한국에서 돈을 벌면서 책임은 미국 기업이라는 논리로 피한다"는 비판이 확산됐고, 일각에서는 멤버십 해지 인증이 이어지는 '탈팡' 움직임이 가시화되고 있다는 의견까지 나왔다.

◆영업정지 가능성까지…'로켓배송' 흔드는 실존적 리스크

이번 사태는 단순 과징금으로 끝나지 않을 가능성이 크다. 정부는 범부처 태스크포스(TF)를 구성해 쿠팡의 개인정보 보호 체계 전반을 들여다보고 있으며, 영업정지 등 행정처분 가능성도 공개적으로 거론되고 있다.

특히 국토교통부가 택배운송사업자 인허가 관련 법률 검토에 착수하면서, 쿠팡의 핵심 경쟁력인 '로켓배송' 자체가 흔들릴 수 있다는 위기감이 커지고 있다. 

아울러 국내외에서 동시다발적으로 제기된 징벌적 손해배상 소송은 쿠팡의 재무 구조에 중장기 부담으로 작용할 수 있는 변수로 꼽힌다.

◆특검까지 번진 '쿠팡 리스크'…퇴직금 미지급·수사 무마 의혹도 수면 위

쿠팡을 둘러싼 사법 리스크는 개인정보 유출 사태에 그치지 않고 노동·사법 영역으로까지 확산되는 양상이다. 

안권섭 특별검사팀은 최근 쿠팡풀필먼트서비스(CFS) 본사에 대한 압수수색을 단행하며 쿠팡에 대한 첫 강제수사에 착수했다. CFS는 국내 물류 전반을 총괄하는 쿠팡의 핵심 계열사다.

특검은 이번 압수수색을 통해 급여·퇴직금 지급 관련 내부 문서와 인사 자료 등을 확보한 것으로 알려졌다. 쿠팡 측은 영장에 근로자퇴직급여 보장법 위반 피의자로 적시됐으며, 2023년 5월 취업규칙을 변경해 퇴직금 성격의 임금을 지급하지 않았다는 의혹을 받고 있다.

해당 사안은 앞서 노동 당국이 기소 의견으로 검찰에 송치했지만, 검찰은 올해 4월 불기소 처분을 내렸다. 이후 이 사건을 담당했던 문지석 부장검사가 국회 국정감사에서 "윗선의 무혐의 압박이 있었다"고 폭로하면서 파장이 커졌다. 문 검사는 상급자인 엄희준 부천지청장과 김동희 차장검사의 외압을 주장했고, 최근 특검 조사를 받았다.

이른바 '쿠팡 외압 의혹' 사건은 정성호 법무부 장관 지시로 상설특검 수사로까지 확대됐다. 특검은 압수물 분석이 마무리되는 대로 쿠팡 인사·노무 관련 임직원 소환 조사에 나설 방침이다.

업계에서는 개인정보 유출 사건을 수사 중인 경찰과 이번 특검 수사가 동시에 진행되는 상황을 두고, 쿠팡이 창사 이래 가장 광범위한 사법 리스크에 직면했다는 평가가 나온다.