[특별기고 이홍석] 데이터 유출 시대, 기업의 책임을 묻다: 쿠팡 사태를 보며
오늘날 우리는 손끝 하나로 쇼핑하고, 금융 서비스를 이용하며, 건강과 유전자 정보까지 디지털 공간에 맡긴다. 그만큼 개인정보는 단순한 데이터가 아니라 우리의 정체성, 삶의 이력, 그리고 강력한 신뢰를 바탕으로 한다. 그런데 대규모 데이터 유출 사고가 발생해도 기업이 제대로 사과하지 않거나 책임을 회피하는 태도를 반복한다면, 우리는 무엇을 생각하고 어떻게 행동해야 하는가?
국내에서 2025년 쿠팡의 개인정보 유출 사건이 대표적인 예로 남고 있다. 약 3,370만 건에 달하는 고객 정보가 유출됐다는 사실이 밝혀졌지만, 기업의 초기 대응은 투명성과 책임감에서 비판을 받고 있다. 정치권과 시민단체는 투명한 정보 공개와 책임 있는 조치를 요구하며 소비자 보호 제도 강화까지 촉구하고 있지만, 쿠팡 소유주는 교묘하게 법망을 회피하고 국회 출석 요구까지 온갖 이유로 거부하고 있는 것이 현실이다.
쿠팡은 약 3,370만 명(대한민국 인구의 87%)의 고객 정보가 유출됐다고 발표했다. 이러한 유출은 약 5개월 이상 지속된 것으로 밝혀져, 내부 보안 시스템과 모니터링의 부재가 드러났다. 초기에는 약 4,500건만 유출됐다고 해명하면서 실제 규모를 축소·지연 보고해 신뢰성과 투명성에 대한 문제도 제기됐다. 만일 대규모 유출을 조기에 인지하지 못했다면 기본적인 내부보안통제 실패를 의미한다.
어느 쪽도 가볍게 볼 사안은 아니다. 쿠팡은 유출 사실을 발표하면서 “한 직원이 데이터를 삭제했다”라고 주장했지만, 정부 당국은 이를 아직 검증되지 않은 일방적 정보라고 반박했으며, 이런 자체 해명과 정보 공개 방식은 오히려 상황을 혼란스럽게 만들고 정부 합동 조사와 충돌만 야기하고 있다.
기업의 위험에 대한 대처는 신속함·정확성·공동조사의 협력이 필수인데, 이 부분에서 많은 비판을 면하기 어렵다. 또한 고객 신뢰 훼손과 불충분한 사과·보상 조치도 불거진 문제다. 고객 불안감이 커지면서 계정탈퇴, 비밀번호 변경, 앱 재설치 등 이용자 행동이 급증했다. 그러나 쿠팡은 현재까지도 명확한 보상 체계나 사과의 구체성이 부족하다는 지적을 받고 있으며, 일부 이용자들이 이런 기업의 태도에 분노를 표하며 집단소송에 참여하는 움직임까지 나타나고 있다.
이번 사고는 퇴사한 직원의 접근권한이 그대로 유지된 점이 문제가 된 것으로 의심되는데 인증 키나 토큰 관리가 제대로 되지 않은 보안 체계의 취약점도 함께 노출되었다. 쿠팡은 2021년과 2024년 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 받았지만, 실제 운영상 보안 효력이 약했다는 평가와 함께 인증만 갖추는 형태적 보안이 아니라, 실시간 대응·모니터링과 같은 상시적 보안 역량이 무시된 것으로 보인다.
더군다나 사건을 더 복잡하게 키우며 창업자·실질적 소유주가 국회 청문회에 불참하거나 책임 논의에 적극적으로 참여하지 않아 경영 책임의 실종 또한 거센 비판을 받고 있다. 이런 모습은 리더십의 신뢰성 문제로 이어지며 위기 대응 능력 전체에 의문을 제기한다. 최고 경영층의 대응은 기업 위기 대응에서 신뢰의 기준점이 되는데, 이 부분이 쿠팡에선 현재까지의 대처에서 찾아보기 어렵다.
정부는 범부처 전담반(TF)을 구성해 철저한 조사와 책임 규명을 예고했다. 일부에서는 사업 정지, 과징금, 형사 책임까지 논의되고 있어 단순 사건이 아니라 규제·제도 변화의 계기가 될 조짐이다. 그러나 한 기업이 퇴출당한다는 것 또한 많은 노동자의 현실을 고려한다면 쉬운 일이 아니다.
니체는 “Whoever fights monsters should see to it that in the process he does not become a monster.”라고 경고했다. 이는 우리가 잘못을 바로잡으려 할 때 결코 같은 방식으로 타락하지 말라는 의미다. 기업과 소비자 모두에게 책임과 도덕성은 행동의 기준이 되어야 한다.
그림 기업의 성공은 미래 세대에까지 신뢰를 구축해야 한다. Generated Image, 2025, 이홍석
세계적으로 보면, 2017년 7월 미국의 신용평가사 에퀴팩스(Equifax)의 1억 4,700만 명 이상 데이터 유출 사건은 개인의 생년월일, 주소, 사회보장번호 등 가장 민감한 정보가 유출된 대표적 사례이다. 이 사건은 미국 연방거래위원회(FTC)와 50개 주 검찰, 집단소송 등과의 합의로 최소 5억 7,500만 달러, 최대 7억 달러(약 1조 90억 원)의 배상 판결이 내려졌다. 기업의 보안 부실과 대응 지연에 대한 비판이 사회적으로 거셌으며, 개인정보 보호의 중요성이 크게 부각되었던 사례다.
또 야후는 2013~2014년 30억 개의 계정(지구촌 인구의 40%)이 넘는 유출로 역사상 최악의 사례로 기록되었고, 적절한 즉각적 대응과 사과가 이루어지지 않았다는 점도 논란이 되었다. 이후 피해자 집단소송에서 총 1억 1,750만 달러(약 2,524억 원)의 합의금을 지급했다. 다만, 실제 보상 대상은 약 1억 9,400만 명 규모로 추정됐고, 신청서를 제출한 이용자만 최대 358달러(약 51만 원) 한도 내에서 보상을 받은 것으로 알려졌다.
이런 일들은 한 회사만의 문제가 아니라, 21세기 데이터 경제가 가진 근본적 리스크를 보여준다. 앞에 열거된 사건들은 단순한 기술적 사고에 국한되는 것만이 아닌, 사회적 신뢰의 붕괴로 이어진다는데 그 심각성이 있다. 이를 통해 소비자에게 손해를 끼친 기업이 진심으로 사과하지 않거나 부적절하게 대응하면 신뢰는 회복 불가능한 상태로 치닫고 기업도 소비자도 모두 손실을 보게 된다. 그리고 그 피해는 사회 전체로 확산한다.
기업윤리에서 “Tell the truth, because sooner or later the public will find it out anyway”와 같은 원칙은, 정직과 투명성이 결국 신뢰를 쌓는 유일한 길임을 강조한다. 거짓이나 회피는 단기적 위기를 모면할 수 있어도 장기적 신뢰를 해체한다. 진실은 결국 드러나게 되어 있으니 정직하게 말하는 것이 중요하다. 윤리적 경영과 책임은 선택이 아닌 사회적 계약이다. 기업은 고객의 정보를 수탁하는 순간, 법적 책임을 넘어 도덕적 책임까지 지게 된다.
현명한 소비자로서 우리가 해야 할 생각과 행동
첫째, 개인정보를 ‘상품’ 이상의 것으로 인식해야 한다. 데이터 유출 규모는 단순 숫자가 아니다. 1인 정보가 수십 개의 서비스로 확산하고, 이 정보가 신원도용·금융사기·스팸 심지어 범죄에 악용될 수도 있다. 이는 피해자가 일회성이 아닌 평생 위험에 노출될 수 있음을 의미한다.
둘째, 기업의 대응 태도를 소비 선택에 반드시 반영해야 한다. 사과가 진정성 있는지, 피해 보상과 후속 조치가 구체적인지 검증해야 한다. 예를 들어 2022년 9,400만 명의 고객 개인정보가 유출되었던 옵터스(Optus, 호주 통신사) 사례에서, 기업은 최악의 유출 직후 피해 고객에게 신용 모니터링을 제공하고 문서 대체 비용까지 부담하는 선제적 조치를 실행했을 뿐만 아니라, 독립 전문가의 통보, 구제책 안내 등 실질적 지원을 제공했고, Optus는 정부 수사기관 협력 등 다각적 지원책을 마련했었다.
기업의 입장이 “규정에 따른 조치”로만 머물러서는 안 될 것이다. 이는 법률 준수 수준의 대응이지 사회적 책임의 완수가 아니기 때문이다. 진정성 있는 기업은 외부의 해킹 공격을 단지 방어의 위기가 아니라 소비자 신뢰 회복의 기회로 삼아야 한다. 그것이 일류 기업이다.
셋째, 제도적·집단적 행동을 조직해야 한다. ‘소비자 권익 3법’과 같은 실질적이고 즉각적인 법적 보호 장치가 조속히 강화되어야 한다. 집단소송 참여, 징벌적 손해배상제, 증거개시제도 등이 한국 소비자들의 당연한 권리가 되어야 한다. 이런 강력한 제도와 소비자 단체의 활동은 기업의 나태한 책임을 보다 더 소비자의 눈높이에 맞는 도덕적·법적 수준으로 끌어올리는 힘이 된다.
넷째, 개인 수준에서도 보안관리 습관을 강화해야 한다. 비밀번호 재사용을 피하고, 다중 인증(MFA)을 활성화하며, 데이터가 어디에 저장되는지 주기적으로 점검하는 습관은 필수다. 데이터 유출은 기업의 책임 문제이지만 동시에 디지털 시민으로서 자기방어의 문제이기도 하다.
신뢰란 무엇인가-기업과 소비자가 함께 쌓아야 할 자산
기업이 고객과의 관계에서 가장 소중히 여겨야 할 것은 신뢰다. 기업의 콘텐츠는 관계를 형성하고, 관계는 신뢰를 바탕으로 구축된다. 신뢰는 가장 기본적인 상거래 자산이다. 기업이 이를 무시하고 사과나 반성 없이 어물쩍 사태를 넘어가려 한다면, 결국 시장과 소비자는 다른 선택을 하게 될 것이다.
우리는 단순히 기술적 문제로 데이터가 유출되는 시대를 살고 있는 것이 아니다. 우리는 고도로 진보한 과학적 토대 위에 세워진 현재의 사회에서 새롭게 대두되는 ‘데이터 윤리’의 시대에 살고 있다. 기업이 정보 보안과 고객 신뢰를 기업의 전략적 핵심 의무로 삼지 않는다면, 그 기업은 단지 서비스 제공자가 아니라 잠재적 위험의 공급자가 될 것이다.
기업의 진정한 성장은 얼마나 많은 소비자 데이터를 모았는가가 아니라, 얼마나 많은 소비자와 신뢰를 쌓았는가에 달려 있지 않은지? 기업이 스스로 답해야 할 질문이다. 그리고 현명한 소비자는 이 질문을 끝까지 잊지 않아야 한다.
글·그림 이홍석