한국에서 일어난 개인정보 유출사건을 접하면서, 미국에 사는 한 사람으로 이 글을 쓰게 되었다. 한국 방문 시 쿠팡을 한번이라도 사용해보지 않았으면 혹은 미국에서 쿠팡 주식(NYSE: CPNG)에 투자를 하지 않는 한, 미국에 사는 우리와 관련 없는 사태로 여겨질 수 있을 것이다. 필자는 데이터를 매일같이 사용하고, 개인정보 보호법 준수를 통해 그러한 데이터의 합법적 사용, 연계 및 저장이 보장하고, 정보 유출 위험을 줄이고 신뢰성을 보호하며, 이를 통해 분석된 결과를 이해관계자의 신뢰를 유지하고 있기에, 개인정보의 보호에 대한 중요성과 법적인 장치들을 누구보다 잘 알고 있다. 이 사태를 통해서 미국에서 일어났던 비슷한 사건과 비교하여 개인정보에 대한 문제들을 알아보고자 한다.
2018년, 전 세계는 페이스북-케임브리지 애널리티카 스캔들(Facebook-Cambridge Analytica Data Breach)로 큰 충격을 받았다. 약 8,700만 명의 페이스북 사용자 데이터가 제3자 앱을 통해 수집되어 정치 컨설팅 회사에 무단으로 넘어간 사실이 드러났고, 이 데이터는 2016년 미국 대선등 정치 캠페인의 타깃 광고에 활용된 것으로 보고되었다. 마크 저커버그는 미국 의회 청문회에 소환되어 청문회에 증언해야 했고, 페이스북은 개인정보 보호 의무 위반등으로 미국 연방거래위원회(FTC)로부터 50억 달러(약 6조 원) 규모의 천문학적 과징금을 부과받았다. 이 사건은 전 세계적으로 데이터 프라이버시에 대한 인식을 크게 높였고, 준비 중이던 일반 개인 정보보호규정 (GDPR)의 시행과 이후 개인정보 보호 규제 강화 흐름에 추가적인 동력을 부여하는 계기가 되었다. 7년이 지난 2025년 12월, 한국은 그보다 더 직접적이고 충격적인 개인정보 유출 사태를 마주하고 있다. 국내 최대 이커머스 플랫폼 (eCommerce platform) 쿠팡에서3,370만 건의 고객 계정 정보가 유출된 것이다. 이는 대한민국 전체 인구의 65%에 해당하는 규모로, 실질적으로 국내 쿠팡을 이용한 상당수의 국민의 개인정보가 외부로 빠져나갔다고 해도 과언이 아닐 것이다.
시스템이 아닌 인재(人災)
케임브리지 애널리티카 사건과 쿠팡 사태는 표면적으로 유사해 보이지만, 발생방식과 책임 구조는 분명히 다르다. 페이스북 사건은 느슨하게 설계된 플랫폼 API 정책 때문에, 제3자 앱 개발자가 이용자와 그 친구들의 데이터를 대량으로 수집할 수 있었던 구조적 취약점에서 시작되었다. 이용자들이 단순한 성격 테스트 앱을 사용하면서, 자신의 데이터뿐 아니라 친구들의 정보까지 제공하도록 허용한 것이 문제의 시작이었다. 반면 쿠팡 사태는 장기간에 걸친 내부자 기반 공격이라는 점에서 훨씬 직접적인 형태의 보안 실패로 평가된다. 한국 정부와 수사기관 발표에 따르면, 2025년 6월 24일부터 11월 8일까지 약 5개월간, 퇴사한 중국인 전 쿠팡 직원으로 추정되는 용의자가 회수되지 않은 전자서명키, 인증키를 이용해 고객 데이터베이스에 비인가 접근을 시도한 것으로 조사되고 있다. 이 직원은 재직 당시 인증, 접근 관련 업무를 담당했던 것으로 알려져 있으며, 퇴사 후에도 쿠팡 측이 인증키를 폐기하지 않아 고객 개인정보에 자유롭게 접근할 수 있었던 것으로 드러났다. 여기서 보여지는 것은 단순한 보안 사고가 아니라 기업의 근본적인 보안 관리 체계의 부재다. 직원이 퇴사하면 접근 권한을 즉시 회수하는 것은 정보보안의 가장 기초적인 원칙이다. 그러나 쿠팡은 이 기본조차 지키지 않았다. 더욱 심각한 것은 5개월간 진행된 데이터 유출을 쿠팡이 자체적으로 감지하지 못했다는 점이다. 11월 6일 비정상적 접근이 발생했지만, 쿠팡이 이를 인지한 것은 12일이나 지난 11월 18일이었으며, 일부 기사에서는 그마저도 경찰이 고객의 신고를 받고 수사에 착수했다”거나, “11월 18일 고객 계정 일부의 이상 징후를 계기로 조사가 시작됐다고 서술했다고 한다.
유출 규모와 영향의 비교
케임브리지 애널리티카 사건에서 직접 앱을 설치한 사용자는 약27만에서 30만 명에 불과했다. 그러나 이들의 페이스북 친구 정보까지 포함하면 약 8,700만 명의 데이터가 제3자에게 넘어간 것으로 페이스북이 인정했다. 한국에서는 184명에 그쳤으나, 이들의 친구 정보 85,709명이 영향을 받은 것으로 집계되었고, 이에 대해 한국 개인정보보호위원회(Personal Information Protection Commission, PIPC)는 페이스북에 63억8,000만 원 규모의 과징금을 부과했다. 이 벌금은 당시 국내 기준으로 사상 최대액이었으나, 미국 연방거래위원회(Federal Trade Commission, FTC)의 50억 달러에 비하면 여전히 미미한 수준이었다. 쿠팡 사태의 규모는 이와 비교할 수 없을 정도로 크다. 3,370만 건의 계정에서 이름, 전화번호, 이메일 주소, 배송 주소, 최근 5건등 실생활 추적이 가능한 정보가 노출됐기 때문이다. 이는 쿠팡의 2024년 3분기 기준 활성 고객 수 2,470만 명을 훨씬 넘어서는 규모로, 과거에 한 번이라도 쿠팡을 이용한 거의 모든 사람의 정보가 빠져나간 셈이다. 특히 배송 주소와 주문 이력은 개인의 실제 거주지와 소비 패턴을 드러내는 극히 민감한 정보로 지금 한국사회에 많은 문제로 부각이 되는 피싱, 스토킹, 금융사기 등 2차 피해의 위험성에 노출된 것이다. 2025년 4월 발생한 SK텔레콤 해킹 사건에서는 약 2,300만 명의 USIM 인증키, 전화번호 등 개인정보가 유출되며 한국 전국을 충격에 빠뜨렸다. 개인정보보호위원회(PIPC)는 이를 “극도로 중대한 과실”로 규정하며 역대 최대 1,348억 원의 과징금을 부과했다. 쿠팡 사태는 이보다 1,000만 명 이상 많은 피해 규모를 보이고 있으며, 외부 해킹이 아닌 내부 직원의 소행이라는 점에서 더욱 중대한 법 위반으로 판단될 가능성이 높다. 2023년 개정된 개인정보보호법에 따르면 위반 시 전체 매출액의 3%까지 과징금을 부과할 수 있으며, 쿠팡의 2024년 연결 매출액 38조 2,988억 원을 기준으로 하면 최대 1조 1,490억 원에 달하는 과징금이 가능하다.
두 기업의 대응에서 보이는 극명하게 갈리는 책임 의식
2018년 페이스북 스캔들이 터졌을 때, 마크 저커버그는 5일간의 침묵 끝에 CNN과의 인터뷰를 통해 공개 사과했고, 이후 미국 상하원 청문회에 직접 출석해서 5시간에 걸친 집중 질의에 응답했다. 그는 이 사건을 이용자와의 신뢰 파괴라고 규정하며, 페이스북이 이용자 데이터 보호에 충분한 노력을 기울이지 않았음을 시인했다. 청문회 과정은 전 세계에 생중계되었으며, 이는 기술 기업의 책임자가 직접 대중 앞에 나서 책임을 지는 상징적인 순간으로 기록되었다. 쿠팡의 대응은 이와 극명한 대조를 이룬다. 창업자이자 최고경영자인 김범석 의장은 2015년 국정감사 이후 국회의 출석 요구에 단 한 번도 응하지 않았다. 이번 개인정보 유출 사태와 관련하여 12월 2일 긴급 현안질의, 12월 17일 청문회까지 총 다섯 차례에 걸쳐 출석을 거부했다. 그가 제출한 불출석 사유는 170여 국가에서 영업하는 글로벌 기업의 CEO로서 비즈니스 일정이 있다는 것이었다. 이에 대해 국회 과방위원장은 국회를 넘어 대한민국 국민을 무시하는 처사라고 규탄했다. 대신 청문회에 출석한 인물은 대규모 정보 유출 사태의 책임을 지고 박대준 대표가 사임한 직후 급히 선임된 해롤드 로저스 임시 대표였다. 미국인인 로저스 대표는 통역을 통해 답변했으며, 김범석 의장이 왜 출석하지 않았느냐는 질문에 제가 이 자리에 오게 되어 기쁘다(happy to be here)라고 답해 의원들의 강한 비판을 받았다. 최민희 위원장은 동문서답하기로 마음먹고 나온 것 같다며 해당 발언을 속기록에서 삭제하도록 지시했다. 여야 의원들의 질타는 당파를 초월했다. 개혁신당 이준석 의원은 아마존 제프 베이조스, 메타 마크 저커버그도 문제 시 의회에 직접 출석했다며 김범석의 태도는 국회를 무시하는 처사라고 비판했다. 민주당 이훈기 의원은 "쿠팡 매출의 90%가 한국 시장에서 이뤄지는데 존폐가 걸린 청문회에 출석을 안 한다는 건 대한민국에서 사업을 포기했다는 것 이라며 대한민국 국민이 호구인가 라고 목소리를 높였다.
법적 후폭풍, 국내외에서 밀려오는 파도
쿠팡은 현재 다중적인 법적 압박에 직면해 있다. 먼저 한국 국내에서는 개인정보보호위원회와 과학기술정보통신부가 민관합동조사단을 구성하여 사고 원인 분석과 법 위반 여부를 조사 중이다. 국회 과방위는 김범석 의장, 박대준, 강한승 전 대표를 국회증언감정법 위반 혐의로 고발하기로 의결했으며, 국정조사 실시도 예고했다. 이른바 김범석 입국금지법까지 발의된 상황이다. 시민사회의 움직임도 거세다. 네이버에 개설된 집단소송 준비 카페들의 가입자 총합은 이미 20만 명을 돌파했다. 법조계에서는 이번 사건이 국내 개인정보 유출 관련 집단소송 중 최대 규모가 될 수 있다는 전망이 나온다. 미국에서도 주주 집단소송이 제기되었다. 12월 18일 캘리포니아 북부연방법원에 접수된 소송에서 원고 측은 쿠팡이 2024년 연차보고서와 2025년 분기보고서에서 사이버보안 위험을 관리되고 있다고 반복 설명했지만, 실제로는 이미 침해가 진행 중이었다며 허위 공시를 주장했다. 정보 유출 공지 전날인 11월 28일 28.16달러였던 쿠팡 주가는 12월 19일 23.20달러로 약 18% 하락했다. 2017년 미국 신용평가기관 에퀴팩스는 1억 4,000만 명의 개인정보 유출 후 투자자들에게 충분히 알리지 않았다는 이유로 제기된 집단소송에서 약 1억 4,900만 달러(약 2,207억 원)의 합의금을 지불한 전례가 있다. 이는 별개의 소비자 클래스액션(최대 4억 2,500만 달러 무료 신용모니터링+현금 보상)와 FTC 벌금(1억 달러) 등 총 17억 달러 이상 비용을 초래했다. 쿠팡이 마주할 법적 비용은 이를 훨씬 넘어설 수 있다.
제도적 변화의 기로에 선 한국
이번 사태를 계기로 한국의 개인정보 보호 법제에도 상당한 변화가 예고되고 있다. 국회 정무위원회는 대규모 개인정보 유출 시 과징금 상한을 기존 매출액의 3%에서 최대 10%까지 상향하는 개인정보보호법 개정안을 통과시켰다. 10%까지 부과할 수 있는 경우는 고의 또는 중대한 과실로 3년 이내 반복 법 위반이 있는 경우, 1,000만 명 이상 대규모 유출이 발생한 경우, 시정조치 명령 불이행으로 유출이 발생한 경우로 제한된다. 정부는 개인정보보호위원회에 특별사법경찰권을 부여하거나 집단소송 제도를 도입하는 방안도 검토 중이다. 이재명 대통령은 규정을 위반해 국민에게 피해를 주면 회사가 망한다는 생각이 들도록 해야 한다며 강력한 제재 의지를 표명했다. 그러나 시민사회는 이번 개정안이 여전히 미흡하다고 비판한다. 특히 개인정보 유출 피해자가 단체소송을 통해 손해배상을 받을 수 있도록 하는 조항이 제외된 점을 문제 삼는다. 현행 제도에서는 과징금이 아무리 높아도 정작 피해를 입은 이용자에게 돌아가는 보상은 없다. OECD 38개 국가 중 금전 손해배상을 포함한 집단구제 (collective redress/class action)제도를 도입하지 않은 국가는 한국을 포함해 스위스와 터키 세 나라 뿐이다.
한국 사회에 대한 근본적 질문
쿠팡 사태는 단순한 보안 사고를 넘어 한국 사회에 여러 근본적인 질문을 던진다. 첫째, 데이터 주권의 문제다. 쿠팡은 한국에서 매출의 90%를 올리지만, 미국에 상장된 기업이다. 한국 국민 3,370만 명의 개인정보가 유출되었지만, 최고 책임자는 글로벌 비즈니스 일정을 이유로 한국 국회 출석을 거부할 수 있다. 한국에서 사업을 영위하며 한국 국민의 데이터를 수집하는 기업이 한국의 법적·정치적 책임에서 벗어날 수 있다면, 이는 심각한 주권 침해의 문제로 이어진다. 둘째, 기업의 사회적 책임에 관한 것이다. 쿠팡은 쿠세권 (쿠팡 로켓배송 서비스가 가능한 지역)이라는 신조어가 생길 만큼 한국인의 일상에 깊숙이 침투해 있다. 로켓배송이 주는 편의 이면에는 3,370만 명의 이름, 주소, 전화번호, 소비 패턴이라는 방대한 데이터가 존재한다. 이 데이터를 보호할 책임은 그 데이터로 이익을 얻는 기업에 있다. 그러나 쿠팡은 퇴사자의 접근 권한조차 제때 회수하지 않는 기초적인 보안 관리에 실패했다. 이뿐만 아니라 쿠팡의 이슈된 다른 사건들로 동자 사망 및 안전 문제 그리고 코로나19 집단감염 은폐 시도 등이 있다. 최근에는 2020년 물류센터 노동자 사망 사고 당시 CEO 지키기 및 책임 회피 정황, 전 임원의 내부 고발로 드러난 과도한 노동 증거 인멸 지시 의혹과 언론 플레이 시도 등이 불거져 논란이 되고 있음에도 창업자 및 쿠팡 회사임원들의 사회적 책임은 회피해왔다. 셋째, 제재의 실효성 문제다. 2020년 한국 개인정보보호위원회가 페이스북에 부과한 과징금은 67억 4,800만 원이었다. 이는 미국 FTC가 부과한 50억 달러의 0.1%에도 미치지 못한다. 매출액의 3%라는 과징금 상한이 10%로 올라간다 해도, 기업들이 보안 투자보다 과징금을 감수하는 것이 이익이라고 판단한다면 유출 사고는 반복될 수밖에 없다.
결론: 신뢰 회복의 조건
페이스북은 케임브리지 애널리티카 스캔들 이후 50억 달러의 벌금을 내고, 제3자 API 접근을 대폭 제한하며, 개인정보 보호를 위한 대대적인 체제 개편을 단행했다. 물론 이 과정이 순탄했던 것만은 아니며, 여전히 메타(Meta)에 대한 비판은 계속되고 있다. 그러나 적어도 마크 저커버그는 의회 청문회에 직접 출석하여 질문에 답하고, 실수를 인정하고, 재발 방지를 약속했다. 쿠팡의 김범석 의장에게는 같은 수준의 책임 의식을 기대하기 어려워 보인다. 한국 국민 3,370만 명의 개인정보가 유출된 사태에 대해 그는 한 번도 직접 얼굴을 보이며 사과하지 않았다. 대신 한국어를 하지 못하는 미국인 임시 대표를 청문회에 보내 동문서답으로 시간을 버텼다. 오직 미국에서 로비를 하는 모양세만 보이고 있는 것 같다. 그리고 미국 정관계 인사들과 보수 매체들이 쿠팡 보호를 위해 동시다발적으로 한국을 비난하는 기이한 움직임을 보이고 있다는 의혹이 제기되고 있다는 뉴스가 있었다. 뉴스에선 이들은 이재명 대통령의 법 위반 기업에 대한 경고를 쿠팡 파산 지시로 왜곡하거나, 쿠팡의 대규모 개인정보 유출 사고를 가볍게 축소하는 등의 사실 왜곡을 하고 있다고 한다. 쿠팡은 워싱턴 사무실을 대미 로비의 전초 기지로 활용하며 상장 후 지난 4년간 약 160억 원에 달하는 막대한 로비 자금을 미국에 쏟아부은 것으로 나타났다. 이러한 여론 왜곡 전략이 실제 로비 활동과 맞물린 것이라면 한미 통상 관계의 신뢰까지 흔들 수 있다는 우려가 있다고 한다. 신뢰는 한순간에 무너지지만 회복에는 오랜 시간이 걸린다. 쿠팡이 이 신뢰를 회복하려면 최소한 다음의 조건이 충족되어야 할 것이다. 최고 책임자의 직접 사과와 설명, 피해자들에 대한 실질적인 보상, 재발 방지를 위한 구체적이고 검증 가능한 보안 강화 조치, 그리고 한국 법과 제도에 대한 존중이다. 이 중 어느 하나도 충족되지 않는다면, 로켓배송의 편리함을 포기하고 탈팡을 선택하는 소비자들의 움직임은 더욱 거세질 것이다. 이미 유명인들 사이에서 시작된 탈퇴 릴레이는 단순한 유행이 아니라, 데이터 주권에 대한 시민의식의 각성을 보여주는 신호다. 2018년 페이스북 스캔들은 전 세계적으로 데이터 프라이버시에 대한 인식을 바꾸어 놓았다. 2025년 쿠팡 사태가 한국에서 같은 역할을 할 수 있을지는 한국 사회의 대응에 달려 있다. 이 사태가 단순히 한 기업의 스캔들로 끝나지 않고, 한국의 개인정보 보호 체계를 근본적으로 강화하는 계기가 되기를 바란다. 그것 만이 3,370만 명의 피해가 헛되지 않게 하는 길이다.
