추천 콘텐츠
무용한 분노
bkjn review
어쩌면 지금이 보안이라는 개념을 한국에서 다시 정의할 마지막 기회일지도 모릅니다.
무용한 분노
2025년 12월 4일
한국인 약 3300만 명의 개인정보가 다크웹에서 성황리에 거래되고 있습니다. 성인 대부분 피해를 보았다고 해도 과언이 아닙니다. 쿠팡에서 유출된 데이터입니다. 탈탈 털렸습니다. 유출 규모가 쿠팡의 실제 활성 사용자 수인 2470만 명을 훨씬 뛰어넘습니다. 게다가 유출 시점은 6월인데, 신고는 11월에야 됐습니다. 몰랐다면 무능합니다. 알았다면 불법입니다. 쿠팡은 몰랐다고 합니다.
정부에서 강경한 목소리가 나왔습니다. 이재명 대통령은 과징금을 올리고 징벌적 손해배상 제도를 재검토하라고 지시했습니다. 현행법상 매출의 3퍼센트까지 과징금을 부과할 수 있습니다. 2024년 쿠팡 매출 38.3조 원을 기준으로 하면 1조 원이 넘는 과징금이 부과될 가능성도 제기됩니다. 그런데 이걸로도 부족하다는 겁니다. 대통령의 문제 제기가 맞습니다. 이 사태는 언제든 터질 폭탄이었고, 쿠팡의 대응은 보는 이를 어리둥절하게 만듭니다. 그런데 진짜 문제는 이런 문제가 터질 때 한국 사회가 대응하는 방식입니다.
독보적인 성공 신화
쿠팡은 이미지가 안 좋습니다. 뉴스에 좋은 일로 언급되는 일이 별로 없죠. 특히 물류와 배송 쪽에서 사고가 많이 터졌습니다. 화재 사고나 노동자 사망 사건, 최근에는 새벽 배송 논란으로 입길에 오르내렸죠. 그런데 조금만 생각해 보면 이상한 점이 있습니다. 왜 쿠팡에서 이런 비극이 자꾸 일어나는 것일까요. 그리고 왜 이 비극은 빠르게 잊히고 무엇도 바꾸지 못하는 것일까요.
첫번째 질문의 답은 쿠팡이라는 기업의 정체성에서 찾아볼 수 있습니다. 스타트업으로 시작해 소프트뱅크 등으로부터 엄청난 투자를 받고, 이를 바탕으로 미국 주식시장에 상장까지 성공한 기업입니다. 혁신을 현실로 만들어 엄청난 이윤을 창출하고 있습니다. 운이 좋아서가 아닙니다. 비즈니스 모델이 천재적이었습니다. 한국사회는 속도 지향적입니다. 주거 지역은 엄청난 밀집도를 보이고요. 새벽 배송, 로켓배송은 한국 시장에서 성공할 수밖에 없는 아이템이었습니다. 투자도 과감했습니다. 유통 공룡들이 이커머스 시대로의 전환을 알면서도 몸을 사리는 동안, 쿠팡은 물류와 배송망 확보에 돈을 쏟아부었습니다. 투자는 성공적이었습니다. 그리고 그 결과 지금까지 보지 못했던 효율을 달성했습니다. 그 과정에서 현장에서 직접 몸을 쓰면서 일하는 사람들도 그 효율의 압착기에 함께 끌려 들어갑니다. 다른 곳에서는 경험해 본 적 없는 무리한 노동에 누군가는 쓰러집니다. 어디선가는 그 효율을 위해 창고의 안전을 소홀히 합니다.
그럼에도 한국인은 쿠팡에 기대어 살아갑니다. 그 의존도가 얼마나 절대적인지는 얼마 전의 새벽 배송 논쟁으로 증명되었습니다. 새벽 배송을 하는 사람도, 받는 사람도 쿠팡 없이는 못 산다고 합니다. 이렇게 돈 벌 수 있는 곳이 없다고, 이렇게 편리하게 살 수 있는 곳이 없다고 하죠. 쿠팡을 창업한 김범석 의장은 회사의 초창기부터 고객이 “쿠팡 없이 어떻게 살지?”라고 질문하는 세상을 만들겠다고 했습니다. 창업가의 꿈은 이루어졌습니다. 한국인은 쿠팡 없이 못 삽니다.
융통성 있게 일하는 방법
그런 쿠팡이 이번에 아주 큰 실패를 경험했습니다. 사상 최대 규모의 개인정보 유출입니다. 누군가 문을 부수고 들어가 들고 나온 것이 아닙니다. 쿠팡에 근무하던 직원이 마치 자기 집인 양 열쇠로 문을 열고 들어가 꼼꼼히 챙겨 들고 나왔습니다. 쿠팡이라는 회사에 대한 보복이 목적이라는 얘기도 있고, 해당 직원의 국적이 중국이라는 점을 둘러싼 음모론도 돕니다. 그런데 정말 중요한 것은 그만둔 직원이 어떻게 열쇠를 반납하지 않을 수 있었는지, 그 열쇠의 효력을 왜 정지시키지 않았는지입니다. 보안 업무와 관련한 내부 거버넌스가 제대로 작동하지 않은 겁니다.
사실, 쿠팡 같은 회사에서 보안은 최우선 순위로 다루어지지 않는 경우가 많습니다. 장부상으로는 ‘수익 없는 비용’ 같은 항목이기 때문입니다. 개발자 직군 중에서 따져도, 적어도 쿠팡에서 보안 업무는 주인공이 아닙니다. 구시대적 용어로 이야기하자면, 백오피스에 가까운 분야입니다. 보안 담당자가 보안을 최우선으로 두고 업무를 해야 상식적이겠지만, 회사라는 게 많은 경우 상식적으로 돌아가지 않습니다. 매출과 더 직접적으로 관련 있는 부서가 회사의 중심이 되죠.
보안 프로토콜을 엄정히 관리한다면, 주력 부서에서 불편함을 이유로 컴플레인을 제기할 수도 있습니다. 엄정히 관리하기 위해 들어가는 인력과 시간, 비용 등이 비효율이라고 느껴질 수도 있겠고요. 자세한 내막은 아직 모릅니다. 쿠팡은 내심 특정하고 있는 전 직원이 있다지만, 언론에는 함구하고 있습니다. 다만, 그 전 직원에게 필요 이상의 권한이 주어졌던 것도, 그 권한이 퇴사 후에도 유지되었던 것도 모두 ‘융통성’이라는 말로 설명할 수 있습니다. 안전보다 속도와 효율을 중요시하면, 빠르게 가려고 신호도 좀 무시하고 일방통행 길에서 역주행도 하는 겁니다. 쿠팡 내부의 조직 문화가 보안을 최우선에 두지는 않았을 것이라고 쉬이 추정해 볼 수 있겠습니다.
리스크 관리 전략
힘을 뺀 곳이 있었다면, 힘을 준 곳도 있었겠죠. 쿠팡은 내부 보안 프로토콜에서 힘을 뺀 대신 ‘대관’에 힘을 줬습니다. 말 그대로 정부나 공공기‘관’을 상‘대’하는 업무입니다. 좋은 관계를 만들어 기업의 입장을 설명합니다. 미국에선 이 역할을 ‘로비스트’가 맡죠. 하지만 우리나라에서 로비는 불법입니다. 공직 사회의 부패로 쉬이 연결될 수 있다는 인식 때문에 금기시됩니다. 깊게 곪았던 정경유착의 시대를 청산하기 위한 면역 반응 같은 것입니다. 하지만, 이 업무의 수요는 여전히 존재합니다. 그래서 대부분의 기업은 ‘대외 협력’이나 ‘홍보’ 등의 이름으로 포장해 대관 업무를 하고 있습니다.
대관이 나쁜 것은 아닙니다. 실제로 필요한 일이죠. 정부도 언론도 각 기업의 사업에 관해 잘 모릅니다. 잘 모르는 상태에서 관련 정책을 정하거나 기사를 내는 일이 발생하면, 기업은 억울한 피해를 보게 될 수도 있습니다. 쿠팡처럼 지금까지 본 적 없는 비즈니스를 하려는 기업이라면 대관은 더욱 중요합니다. 법이 사회의 변화나 기술의 발전을 따라가지 못하는 경우가 많기 때문입니다. 그러니 법을 만드는 국회에, 정책을 펼치는 정부에 기업이 직접 설명하고자 하는 의도는 당연하다 할 수 있겠습니다.
문제는 쿠팡의 대관 조직이 이런 상황을 감안하더라도 너무 비대하다는 점입니다. 최근 6년간 52명의 정관계 인사를 영입했습니다. 국회에서 동료나 선후배 보좌관으로 ‘호형호제’하던 사람이, 얼마 전까지 규제 기관에서 함께 일하던 옆 부서 동료가 쿠팡의 직원이 되어 찾아오는 겁니다. 앉아서 얘기를 들어주게 됩니다. 일부러 편의를 봐주려 할 필요는 없습니다. 단, 일부러 불리한 결정을 내릴 이유도 없죠.
이번 개인 정보 유출 사태 이야기로 돌아와 볼까요. 보안은 ‘리스크 관리’에 해당하는 영역입니다. 그런데 쿠팡은 한국에서 비즈니스를 하면서 리스크 관리를 효과적으로 하려면 대관 조직을 키워야 한다고 판단한 것 같습니다.
인식을 바꾸는 사건
미국 시장이었다면 그런 판단을 하지 않았을 가능성이 큽니다. 레퍼런스가 있기 때문입니다. 2013년 미국 소매 업체 타깃(Target)에서 약 1억 1000만 명의 고객 정보가 유출된 적이 있습니다. 카드 정보는 물론이고, 주소나 이메일 등도 포함되어 있었죠. 해커는 협력 업체의 계정을 탈취해서 타깃의 내부망에 침투했고, 이후 계산대 단말기에 해당하는 포스(POS) 시스템에 악성 코드를 심어 정보를 빼냈습니다. 쿠팡처럼 내부 보안 거버넌스 부재가 문제였습니다. 시스템에서는 문제를 감지해 경보를 울렸지만, 보안팀은 이 경보를 무시했고 결국 최악의 보안 사고로 남게 되었죠.
타깃은 이 사태를 수습하기 위해 약 2억 9000만 달러 이상의 비용을 지출했습니다. 소비자 집단 소송이 이어졌고, 카드 재발급 비용 등을 이유로 비자, 마스터카드, 은행 등도 소송에 나섰습니다. 당연히 거액의 합의금을 물어줘야 했고요. 결국 2014년 5월, CEO가 사임하게 됩니다. 이사회는 데이터 유출과 대응 과정을 그 이유로 설명했고요.
돈도 돈이지만 줄줄이 이어지는 소송전을 감당하고 경영 수장까지 교체되면서 타깃은 회사의 존립을 위해 제대로 체질 개선을 하게 됩니다. 전담 최고정보보안책임자(CISO)를 영입하고, 보안을 우선으로 하는 경영 전략을 도입합니다.
무엇보다, 포스기를 통해 고객의 카드 정보를 훔칠 수 없도록, 긁는 방식의 마그네틱 카드 결제 방식에서 찍는 방식의 EMV 칩카드 방식으로 결제 인프라를 교체합니다. 원래 계획이 있었지만, 6개월 앞당겼죠. 그리고 이 변화는 미국 사회 전반으로 확산했습니다. 미국 전역에서 긁지 않고 찍는 카드 사용으로 결제 관련 패러다임이 업그레이드되었습니다. 국가적인 금융 보안 수준을 한 단계 끌어 올린 겁니다. 또한, 산업계 전반에 보안이 공중으로 사라져 버리는 비용이 아니라 리스크 관리라는 인식도 강해졌습니다.
경쟁자가 없는 시장 지위
우리나라에서도 쿠팡 사태를 기점으로 이런 변화가 가능할까요? 안타깝게도 그렇지 않을 가능성이 더 커 보입니다. 우리 사회는 보안 문제가 터졌을 때 법정으로 가기보다는 화를 내기 때문입니다. 그리고 규제 기관으로부터 과징금을 부과받죠. 타깃이 겪었던 상황과는 좀 다릅니다. 소비자 보상이 아예 없진 않습니다. 그런데 아주 오랜 시간을 끈 다음 생색내기 수준으로 끝납니다. 최근 집단 소송이 활발하지만, 법정으로 간들 10만 원 내외입니다. 판결까지 너무 오래 걸리고, 승소한다는 보장도 없죠. 이번에도 크게 다르지 않을 것이라는 전망이 나옵니다.
소비자의 감정이 악화한다고 크게 타격을 받지도 않습니다. 개인정보 보안이 문제 되는 경우는 통신사와 같은 인프라 기업이거나 쿠팡 같은 플랫폼 기업인 경우가 많습니다. 우리나라 무선 통신은 통신 3사가 독점하고 있죠. 시장에 너무 많은 경쟁자가 참여하게 되면 중복 투자가 발생하기 때문입니다. 우리 동네 뒷산에 통신사 송신탑이 20개씩 있다면 낭비겠지요. 플랫폼 사업은 승자 독식입니다. 경쟁 끝에 1~2개 업체로 정리됩니다. 라면 한 박스를 살 때 쿠팡에서 사든 11번가에서 사든 라면 맛은 다르지 않습니다. 더 편리한 쿠팡은 살고 11번가는 도태됩니다. 결국, 이런 분야는 소비자에게 선택권이 많지 않습니다. 당장은 ‘탈팡’ 얘기가 나오지만, 쿠팡은 알고 있습니다. 고객에게 대안이 없다는 사실을 말입니다. JP모건의 분석대로, 쿠팡은 ‘경쟁자가 없는 시장 지위’를 누리고 있습니다.
그러니 쿠팡은 언론과 밀접하게 소통할 이유가 없습니다. 취재 기자들이 당황할 정도로 쿠팡은 언론과 거리를 둡니다. 고객을 상대로 설명할 이유가 없기 때문입니다. 대신 과징금을 부과하고 규제를 만들 정부 기관을 상대로는 열심히 설명해야 합니다. 대관 조직을 비대하게 꾸려 운영하는 이유입니다. 일각에서는 이 대관 조직도 법무팀의 전략에 따라 움직이는 장기판의 ‘말’이라는 분석도 나옵니다. 실제 쿠팡은 대관뿐만 아니라 법무팀에도 대형 로펌 출신을 꾸준히 영입해 왔습니다. 이것이 쿠팡이 판단한 한국에서 비즈니스를 벌이며 리스크를 관리하는 방법입니다.
쿠팡은 한국 기업이 아닙니다. 한국 소비자로부터 사랑받고, 정을 쌓고, 그 감정적 유대를 바탕으로 장사할 생각이 없습니다. 쿠팡의 경영진은 미국인이고 개발자는 중국인과 인도인이 대다수입니다. 물류, 배송 등은 현지인입니다. 한국인 말입니다. 우연히 창업자가 어린 시절 한국 거주 경험이 있어 한국 시장에 잘 맞는 비즈니스 모델을 고안했습니다. 그래서 한국에서 사업을 벌였습니다. 그뿐입니다. 쿠팡에 호통을 친다고, 화를 낸다고 쿠팡에 타격이 되지 않습니다. 한국에서 소송이 줄줄이 이어지고 시스템 보완에 막대한 투자를 하고, 그 과정이 낱낱이 감시되어 엄청난 비용을 지불해야 타격이 됩니다. 그런 시스템을 만들어야 합니다. 단순히 징벌적 손해배상, 집단 소송 제도 등과 같은 용어로만 정리할 수 있는 문제가 아닙니다.
앞으로 더 많은 기업의 국적은 희미해질 겁니다. 현금은 사라지고 온라인상의 거래는 증가하겠죠. 어쩌면 지금이 보안이라는 개념을 한국에서 다시 정의할 마지막 기회일지도 모릅니다.
정부에서 강경한 목소리가 나왔습니다. 이재명 대통령은 과징금을 올리고 징벌적 손해배상 제도를 재검토하라고 지시했습니다. 현행법상 매출의 3퍼센트까지 과징금을 부과할 수 있습니다. 2024년 쿠팡 매출 38.3조 원을 기준으로 하면 1조 원이 넘는 과징금이 부과될 가능성도 제기됩니다. 그런데 이걸로도 부족하다는 겁니다. 대통령의 문제 제기가 맞습니다. 이 사태는 언제든 터질 폭탄이었고, 쿠팡의 대응은 보는 이를 어리둥절하게 만듭니다. 그런데 진짜 문제는 이런 문제가 터질 때 한국 사회가 대응하는 방식입니다.
독보적인 성공 신화
쿠팡은 이미지가 안 좋습니다. 뉴스에 좋은 일로 언급되는 일이 별로 없죠. 특히 물류와 배송 쪽에서 사고가 많이 터졌습니다. 화재 사고나 노동자 사망 사건, 최근에는 새벽 배송 논란으로 입길에 오르내렸죠. 그런데 조금만 생각해 보면 이상한 점이 있습니다. 왜 쿠팡에서 이런 비극이 자꾸 일어나는 것일까요. 그리고 왜 이 비극은 빠르게 잊히고 무엇도 바꾸지 못하는 것일까요.
첫번째 질문의 답은 쿠팡이라는 기업의 정체성에서 찾아볼 수 있습니다. 스타트업으로 시작해 소프트뱅크 등으로부터 엄청난 투자를 받고, 이를 바탕으로 미국 주식시장에 상장까지 성공한 기업입니다. 혁신을 현실로 만들어 엄청난 이윤을 창출하고 있습니다. 운이 좋아서가 아닙니다. 비즈니스 모델이 천재적이었습니다. 한국사회는 속도 지향적입니다. 주거 지역은 엄청난 밀집도를 보이고요. 새벽 배송, 로켓배송은 한국 시장에서 성공할 수밖에 없는 아이템이었습니다. 투자도 과감했습니다. 유통 공룡들이 이커머스 시대로의 전환을 알면서도 몸을 사리는 동안, 쿠팡은 물류와 배송망 확보에 돈을 쏟아부었습니다. 투자는 성공적이었습니다. 그리고 그 결과 지금까지 보지 못했던 효율을 달성했습니다. 그 과정에서 현장에서 직접 몸을 쓰면서 일하는 사람들도 그 효율의 압착기에 함께 끌려 들어갑니다. 다른 곳에서는 경험해 본 적 없는 무리한 노동에 누군가는 쓰러집니다. 어디선가는 그 효율을 위해 창고의 안전을 소홀히 합니다.
그럼에도 한국인은 쿠팡에 기대어 살아갑니다. 그 의존도가 얼마나 절대적인지는 얼마 전의 새벽 배송 논쟁으로 증명되었습니다. 새벽 배송을 하는 사람도, 받는 사람도 쿠팡 없이는 못 산다고 합니다. 이렇게 돈 벌 수 있는 곳이 없다고, 이렇게 편리하게 살 수 있는 곳이 없다고 하죠. 쿠팡을 창업한 김범석 의장은 회사의 초창기부터 고객이 “쿠팡 없이 어떻게 살지?”라고 질문하는 세상을 만들겠다고 했습니다. 창업가의 꿈은 이루어졌습니다. 한국인은 쿠팡 없이 못 삽니다.
융통성 있게 일하는 방법
그런 쿠팡이 이번에 아주 큰 실패를 경험했습니다. 사상 최대 규모의 개인정보 유출입니다. 누군가 문을 부수고 들어가 들고 나온 것이 아닙니다. 쿠팡에 근무하던 직원이 마치 자기 집인 양 열쇠로 문을 열고 들어가 꼼꼼히 챙겨 들고 나왔습니다. 쿠팡이라는 회사에 대한 보복이 목적이라는 얘기도 있고, 해당 직원의 국적이 중국이라는 점을 둘러싼 음모론도 돕니다. 그런데 정말 중요한 것은 그만둔 직원이 어떻게 열쇠를 반납하지 않을 수 있었는지, 그 열쇠의 효력을 왜 정지시키지 않았는지입니다. 보안 업무와 관련한 내부 거버넌스가 제대로 작동하지 않은 겁니다.
사실, 쿠팡 같은 회사에서 보안은 최우선 순위로 다루어지지 않는 경우가 많습니다. 장부상으로는 ‘수익 없는 비용’ 같은 항목이기 때문입니다. 개발자 직군 중에서 따져도, 적어도 쿠팡에서 보안 업무는 주인공이 아닙니다. 구시대적 용어로 이야기하자면, 백오피스에 가까운 분야입니다. 보안 담당자가 보안을 최우선으로 두고 업무를 해야 상식적이겠지만, 회사라는 게 많은 경우 상식적으로 돌아가지 않습니다. 매출과 더 직접적으로 관련 있는 부서가 회사의 중심이 되죠.
보안 프로토콜을 엄정히 관리한다면, 주력 부서에서 불편함을 이유로 컴플레인을 제기할 수도 있습니다. 엄정히 관리하기 위해 들어가는 인력과 시간, 비용 등이 비효율이라고 느껴질 수도 있겠고요. 자세한 내막은 아직 모릅니다. 쿠팡은 내심 특정하고 있는 전 직원이 있다지만, 언론에는 함구하고 있습니다. 다만, 그 전 직원에게 필요 이상의 권한이 주어졌던 것도, 그 권한이 퇴사 후에도 유지되었던 것도 모두 ‘융통성’이라는 말로 설명할 수 있습니다. 안전보다 속도와 효율을 중요시하면, 빠르게 가려고 신호도 좀 무시하고 일방통행 길에서 역주행도 하는 겁니다. 쿠팡 내부의 조직 문화가 보안을 최우선에 두지는 않았을 것이라고 쉬이 추정해 볼 수 있겠습니다.
리스크 관리 전략
힘을 뺀 곳이 있었다면, 힘을 준 곳도 있었겠죠. 쿠팡은 내부 보안 프로토콜에서 힘을 뺀 대신 ‘대관’에 힘을 줬습니다. 말 그대로 정부나 공공기‘관’을 상‘대’하는 업무입니다. 좋은 관계를 만들어 기업의 입장을 설명합니다. 미국에선 이 역할을 ‘로비스트’가 맡죠. 하지만 우리나라에서 로비는 불법입니다. 공직 사회의 부패로 쉬이 연결될 수 있다는 인식 때문에 금기시됩니다. 깊게 곪았던 정경유착의 시대를 청산하기 위한 면역 반응 같은 것입니다. 하지만, 이 업무의 수요는 여전히 존재합니다. 그래서 대부분의 기업은 ‘대외 협력’이나 ‘홍보’ 등의 이름으로 포장해 대관 업무를 하고 있습니다.
대관이 나쁜 것은 아닙니다. 실제로 필요한 일이죠. 정부도 언론도 각 기업의 사업에 관해 잘 모릅니다. 잘 모르는 상태에서 관련 정책을 정하거나 기사를 내는 일이 발생하면, 기업은 억울한 피해를 보게 될 수도 있습니다. 쿠팡처럼 지금까지 본 적 없는 비즈니스를 하려는 기업이라면 대관은 더욱 중요합니다. 법이 사회의 변화나 기술의 발전을 따라가지 못하는 경우가 많기 때문입니다. 그러니 법을 만드는 국회에, 정책을 펼치는 정부에 기업이 직접 설명하고자 하는 의도는 당연하다 할 수 있겠습니다.
문제는 쿠팡의 대관 조직이 이런 상황을 감안하더라도 너무 비대하다는 점입니다. 최근 6년간 52명의 정관계 인사를 영입했습니다. 국회에서 동료나 선후배 보좌관으로 ‘호형호제’하던 사람이, 얼마 전까지 규제 기관에서 함께 일하던 옆 부서 동료가 쿠팡의 직원이 되어 찾아오는 겁니다. 앉아서 얘기를 들어주게 됩니다. 일부러 편의를 봐주려 할 필요는 없습니다. 단, 일부러 불리한 결정을 내릴 이유도 없죠.
이번 개인 정보 유출 사태 이야기로 돌아와 볼까요. 보안은 ‘리스크 관리’에 해당하는 영역입니다. 그런데 쿠팡은 한국에서 비즈니스를 하면서 리스크 관리를 효과적으로 하려면 대관 조직을 키워야 한다고 판단한 것 같습니다.
인식을 바꾸는 사건
미국 시장이었다면 그런 판단을 하지 않았을 가능성이 큽니다. 레퍼런스가 있기 때문입니다. 2013년 미국 소매 업체 타깃(Target)에서 약 1억 1000만 명의 고객 정보가 유출된 적이 있습니다. 카드 정보는 물론이고, 주소나 이메일 등도 포함되어 있었죠. 해커는 협력 업체의 계정을 탈취해서 타깃의 내부망에 침투했고, 이후 계산대 단말기에 해당하는 포스(POS) 시스템에 악성 코드를 심어 정보를 빼냈습니다. 쿠팡처럼 내부 보안 거버넌스 부재가 문제였습니다. 시스템에서는 문제를 감지해 경보를 울렸지만, 보안팀은 이 경보를 무시했고 결국 최악의 보안 사고로 남게 되었죠.
타깃은 이 사태를 수습하기 위해 약 2억 9000만 달러 이상의 비용을 지출했습니다. 소비자 집단 소송이 이어졌고, 카드 재발급 비용 등을 이유로 비자, 마스터카드, 은행 등도 소송에 나섰습니다. 당연히 거액의 합의금을 물어줘야 했고요. 결국 2014년 5월, CEO가 사임하게 됩니다. 이사회는 데이터 유출과 대응 과정을 그 이유로 설명했고요.
돈도 돈이지만 줄줄이 이어지는 소송전을 감당하고 경영 수장까지 교체되면서 타깃은 회사의 존립을 위해 제대로 체질 개선을 하게 됩니다. 전담 최고정보보안책임자(CISO)를 영입하고, 보안을 우선으로 하는 경영 전략을 도입합니다.
무엇보다, 포스기를 통해 고객의 카드 정보를 훔칠 수 없도록, 긁는 방식의 마그네틱 카드 결제 방식에서 찍는 방식의 EMV 칩카드 방식으로 결제 인프라를 교체합니다. 원래 계획이 있었지만, 6개월 앞당겼죠. 그리고 이 변화는 미국 사회 전반으로 확산했습니다. 미국 전역에서 긁지 않고 찍는 카드 사용으로 결제 관련 패러다임이 업그레이드되었습니다. 국가적인 금융 보안 수준을 한 단계 끌어 올린 겁니다. 또한, 산업계 전반에 보안이 공중으로 사라져 버리는 비용이 아니라 리스크 관리라는 인식도 강해졌습니다.
경쟁자가 없는 시장 지위
우리나라에서도 쿠팡 사태를 기점으로 이런 변화가 가능할까요? 안타깝게도 그렇지 않을 가능성이 더 커 보입니다. 우리 사회는 보안 문제가 터졌을 때 법정으로 가기보다는 화를 내기 때문입니다. 그리고 규제 기관으로부터 과징금을 부과받죠. 타깃이 겪었던 상황과는 좀 다릅니다. 소비자 보상이 아예 없진 않습니다. 그런데 아주 오랜 시간을 끈 다음 생색내기 수준으로 끝납니다. 최근 집단 소송이 활발하지만, 법정으로 간들 10만 원 내외입니다. 판결까지 너무 오래 걸리고, 승소한다는 보장도 없죠. 이번에도 크게 다르지 않을 것이라는 전망이 나옵니다.
소비자의 감정이 악화한다고 크게 타격을 받지도 않습니다. 개인정보 보안이 문제 되는 경우는 통신사와 같은 인프라 기업이거나 쿠팡 같은 플랫폼 기업인 경우가 많습니다. 우리나라 무선 통신은 통신 3사가 독점하고 있죠. 시장에 너무 많은 경쟁자가 참여하게 되면 중복 투자가 발생하기 때문입니다. 우리 동네 뒷산에 통신사 송신탑이 20개씩 있다면 낭비겠지요. 플랫폼 사업은 승자 독식입니다. 경쟁 끝에 1~2개 업체로 정리됩니다. 라면 한 박스를 살 때 쿠팡에서 사든 11번가에서 사든 라면 맛은 다르지 않습니다. 더 편리한 쿠팡은 살고 11번가는 도태됩니다. 결국, 이런 분야는 소비자에게 선택권이 많지 않습니다. 당장은 ‘탈팡’ 얘기가 나오지만, 쿠팡은 알고 있습니다. 고객에게 대안이 없다는 사실을 말입니다. JP모건의 분석대로, 쿠팡은 ‘경쟁자가 없는 시장 지위’를 누리고 있습니다.
그러니 쿠팡은 언론과 밀접하게 소통할 이유가 없습니다. 취재 기자들이 당황할 정도로 쿠팡은 언론과 거리를 둡니다. 고객을 상대로 설명할 이유가 없기 때문입니다. 대신 과징금을 부과하고 규제를 만들 정부 기관을 상대로는 열심히 설명해야 합니다. 대관 조직을 비대하게 꾸려 운영하는 이유입니다. 일각에서는 이 대관 조직도 법무팀의 전략에 따라 움직이는 장기판의 ‘말’이라는 분석도 나옵니다. 실제 쿠팡은 대관뿐만 아니라 법무팀에도 대형 로펌 출신을 꾸준히 영입해 왔습니다. 이것이 쿠팡이 판단한 한국에서 비즈니스를 벌이며 리스크를 관리하는 방법입니다.
쿠팡은 한국 기업이 아닙니다. 한국 소비자로부터 사랑받고, 정을 쌓고, 그 감정적 유대를 바탕으로 장사할 생각이 없습니다. 쿠팡의 경영진은 미국인이고 개발자는 중국인과 인도인이 대다수입니다. 물류, 배송 등은 현지인입니다. 한국인 말입니다. 우연히 창업자가 어린 시절 한국 거주 경험이 있어 한국 시장에 잘 맞는 비즈니스 모델을 고안했습니다. 그래서 한국에서 사업을 벌였습니다. 그뿐입니다. 쿠팡에 호통을 친다고, 화를 낸다고 쿠팡에 타격이 되지 않습니다. 한국에서 소송이 줄줄이 이어지고 시스템 보완에 막대한 투자를 하고, 그 과정이 낱낱이 감시되어 엄청난 비용을 지불해야 타격이 됩니다. 그런 시스템을 만들어야 합니다. 단순히 징벌적 손해배상, 집단 소송 제도 등과 같은 용어로만 정리할 수 있는 문제가 아닙니다.
앞으로 더 많은 기업의 국적은 희미해질 겁니다. 현금은 사라지고 온라인상의 거래는 증가하겠죠. 어쩌면 지금이 보안이라는 개념을 한국에서 다시 정의할 마지막 기회일지도 모릅니다.
* bkjn review 시리즈는 월~목 오후 5시에 발행됩니다. 테크와 컬처, 국제 정치를 새로운 시각으로 이야기합니다.
Close