[뉴스스페이스=김희선 기자] 국내 최대 전자상거래 플랫폼 쿠팡이 3,370만명 이상의 고객 개인정보가 유출된 대규모 데이터 유출 사고로 인해 정부의 영업정지 및 천억원대 과징금 처분을 받을 위기에 처했다.
이번 사고는 6월 24일 시작된 것으로 확인됐으나, 무려 5개월간 탐지되지 않았으며, 고객 이름, 전화번호, 이메일, 배송지, 구매 이력 등 민감 정보가 해외 서버를 통해 무단 접근당했다는 점에서 국내 역대 최대 규모의 데이터 유출 사고로 기록되고 있다.
피해 규모와 정부 대응
쿠팡은 11월 18일에야 무단 접근을 확인했으며, 최초에는 4,500건의 계정만 영향을 받았다고 발표했으나, 이후 3,370만건으로 대폭 증가했다. 이는 국내 전체 인구의 약 65%에 해당하는 수치로, 사실상 대부분의 쿠팡 이용자 개인정보가 노출된 셈이다.
과학기술정보통신부는 공정거래위원회와 함께 쿠팡의 영업정지 가능성을 검토하고 있으며, 10년 만에 최악의 데이터 유출 사고에 대응하기 위해 범부처 태스크포스도 구성했다.
영업정지 및 과징금 수위
정부와 법조계에서는 쿠팡에 최대 1조원(약 7억7000만 달러)에 달하는 과징금이 부과될 수 있다고 보고 있다. 이는 개인정보보호법상 매출액의 3%까지 부과될 수 있으며, 쿠팡의 2025년 국내 매출액(41조원)을 기준으로 계산하면 약 1.2조원의 과징금이 가능하다는 분석도 나온다.
또한, 법적 책임을 회피할 수 있는 구조적 문제가 드러나면서, 영업 전부 또는 일부를 일시적으로 정지시킬 가능성도 제기되고 있다.
창업자 김범석, 법적 책임 회피 구조 드러나
쿠팡 내부 문서와 법원에 제출된 자료에 따르면, 창업자 김범석은 수년간 한국 법적 책임을 회피하기 위해 미국 본사와 한국 자회사를 분리하고, 창업자 역할만 유지하는 구조를 고안했다. 2021년 뉴욕증권거래소 상장 이후 김범석은 한국 자회사의 모든 직책에서 물러났으며, 한국인 대표를 CEO로 내세워 법적 책임을 분산시켰다. 내부 이메일과 메신저 기록에서는 김범석의 대외 노출을 최소화하려는 노력도 확인됐다.
경찰 수사 및 추가 제재 가능성
경찰은 폐기되지 않은 인증 키를 악용해 원격으로 고객 데이터에 접근한 혐의로 전직 중국인 직원에 대한 압수수색영장을 발부했다. 해당 용의자는 쿠팡 인증 시스템 담당자로 근무하다가 중국으로 귀국한 뒤, 보안 프로토콜을 우회하는 부정 접근 토큰을 생성한 것으로 알려졌다.
공정거래위원회는 쿠팡이 계정 탈퇴를 어렵게 만드는 ‘다크 패턴’을 사용했는지, 그리고 서비스 약관이 데이터 유출에 대한 회사의 책임을 부당하게 제한하고 있는지 별도로 조사 중이다. 전자상거래 등에서의 소비자보호에 관한 법률에 따라, 규제당국은 쿠팡의 영업 전부 또는 일부를 일시적으로 정지시킬 수 있다.
전문가 평가
한국기업지배구조포럼 김규식 연구위원은 “한국 자회사가 한국 규제를, 미국 본사가 미국 규제를 회피할 수 있도록 설계된 구조”라고 지적하며, 글로벌 기업의 법적 책임 회피 문제에 대한 경계를 촉구했다. 정부와 법조계는 이번 사태를 계기로 기업의 법적 책임 회피 구조에 대한 강력한 규제 방안을 마련할 전망이다.
이번 쿠팡 데이터 유출 사태는 국내 기업의 법적 책임 회피, 개인정보 보호, 그리고 글로벌 기업의 규제 문제를 다시금 부각시키고 있다. 정부의 대응과 향후 법적 제재가 어떻게 이루어질지 주목된다.
