김범석 쿠팡Inc 의장. 쿠팡 제공



국내 1위 이커머스 기업 ‘쿠팡’에서 초유의 대규모 개인정보 유출 사고가 발생하면서, 거대 플랫폼을 관리해 온 기존 제도의 한계가 수면 위로 떠올랐다. 막대한 보안 투자에도 사고를 막지 못한 배경에는 내부 관리 체계의 허점과 함께 유통·물류·플랫폼 기능을 동시에 수행하는 기업을 기존 규제 틀로만 관리한 구조적 한계가 자리하고 있다는 지적이 나온다. 이른바 ‘쿠팡 사태 이후’를 대비한 제도 재설계 필요성이 커지고 있다.

19일 업계에 따르면 쿠팡의 개인정 골드몽 보 유출 사태 이후 초거대 플랫폼의 내부 관리 체계 전반에 대한 문제 제기가 이어지고 있다. 한국인터넷진흥원(KISA) 정보공시를 보면 쿠팡은 2022년부터 지난해까지 3년간 정보보호 부문에 각각 639억원, 659억원, 889억원을 투자하며 보안 투자를 지속적으로 확대해 왔다.
그럼에도 연매출 40조원에 달하는 국내 1위 이커머스 기업에 바다이야기무료 서 초유의 대규모 개인정보 유출 사태가 발생하자, 단순한 기술적 보안 실패를 넘어 제도와 관리 체계 전반의 허점이 드러난 것 아니냐는 분석이 나온다.
황석진 동국대 국제정보보호대학원 교수는 “사이버 보안 조직은 기술적 측면과 관리적 측면으로 나뉜다”며 “쿠팡이 지난해 약 860억원을 투자한 점만 봐도 기술적 측면, 특히 외부 해킹 대응에 릴게임무료 대해서는 비교적 잘 갖춰진 것으로 보인다. 이는 일반적인 플랫폼 기업들의 보안 조직 구성 방식과도 크게 다르지 않다”고 평가했다.
다만 황 교수는 “쿠팡의 경우 내부 통제에 해당하는 관리적 측면에서는 의문이 제기된다”며 “개인정보 보호 관리는 암호화, 비식별화, 접근 권한 통제 등으로 나뉘는데, 특히 접근 권한은 단계별로 엄격하게 나뉘어 릴게임황금성 관리돼야 한다. 이 부분이 상대적으로 부족했던 것으로 보인다”고 말했다. 
이어 “보안의 핵심은 내부 관리에 있으며, 접근 통제가 제대로 작동했어야 한다”며 “퇴사자에 의한 사고라면 기술적으로는 로그 기록 추적이 가능해야 하고, 관리적으로도 권한 회수와 사후 관리가 철저히 이뤄졌어야 했다”고 했다.

10원야마토게임

서울 시내 한 쿠팡 물류센터 인근에 배송차량이 주차된 모습. 연합뉴스



‘크로스 인더스트리’ 쿠팡…규제가 따라가지 못한 거대기업쿠팡이 초거대 플랫폼으로 성장하며 시장을 사실상 독식할 수 있었던 구조를 두고, 업계 안팎에서는 규제 사각지대가 형성돼 왔다는 문제의식이 제기된다.

대형마트는 의무휴업과 영업시간 제한 등 각종 규제로 확장에 제약을 받아온 반면, IT 플랫폼인 쿠팡은 이 같은 규제에서 벗어나 빠르게 성장해 왔다. 유통산업발전법은 대형마트에 대해 월 2회 의무휴업을 부과하고, 심야 영업을 제한하며, 전통시장 반경 1㎞ 이내 출점을 금지하고 있다. 특히 의무휴업일과 심야 시간에는 온라인 주문 배송까지 제한돼 있어, 24시간 365일 주문이 가능한 온라인 플랫폼과는 구조적으로 경쟁이 어려운 상황이다.
반면 쿠팡을 비롯한 온라인 쇼핑 플랫폼들은 규제 공백 속에서 사업 영역을 빠르게 확장하며 수익 다변화에 나서고 있다. 삼정KPMG는 지난달 발표한 보고서에서는 이커머스 업계가 CBEC(Cross-border E-commerce)를 중심으로 ‘승자독식 구조’가 고착화되고 있다고 진단했다. 쿠팡 역시 이러한 흐름 속에서 클라우드 서비스 론칭을 비롯해 쿠팡이츠, 쿠팡플레이, 쿠팡페이 등으로 사업을 확장하며 기존 이커머스 중심의 단일 수익 구조에서 벗어나고 있다. 
업계는 쿠팡이 직매입을 기반으로 물류센터를 직접 운영하며 유통과 배송을 통합한 구조를 구축한 점에 주목한다. 이 과정에서 가격 결정력까지 확보한 쿠팡이 사실상 ‘유통사’의 기능을 수행하고 있음에도 플랫폼으로 분류돼 규제 사각지대에 놓여 있다는 지적이 나온다. 이러한 구조는 네이버 스마트스토어나 G마켓 등 중개 중심의 이커머스 플랫폼과는 뚜렷이 구별되는 지점이다. 
서용구 숙명여대 경영학과 교수는 “쿠팡은 플랫폼 기업으로 분류되지만, 물류센터를 직접 운영하는 도매업부터 로켓배송을 통한 소매업, 주요 택배사를 뛰어넘는 물류업, 나아가 AI·IT 산업까지 아우르는 전형적인 ‘크로스 인더스트리(Cross Industry)’ 기업”이라고 평가했다.
서 교수는 “쿠팡은 산업 간 경계가 융합되는 과정에서 탄생한 ‘파괴적 혁신 기업’으로, 현재의 정책과 규제 체계에 정확히 들어맞지 않는 상황”이라며 “관리·감독 체계를 별도로 고민해야 할 정도로 기존 분류 체계의 한계를 드러내고 있다”고 말했다. 이어 “쿠팡이 직고용 기준 국내 3위 수준의 거대 기업으로 성장한 만큼, 이러한 특수한 플랫폼을 전제로 한 새로운 관리 체제와 정책적 논의가 필요하다”고 덧붙였다.



쿠팡 사옥 전경. 쿠키뉴스 자료사진



고개 드는 온플법 논의…“기업 통제보다 사회적 합의 먼저”

이 같은 문제의식 속에서 현 정부가 추진해 온 온라인플랫폼법(온플법) 논의 역시 재점화될 수 있다는 전망이 나온다. 온플법은 미국과의 통상 문제 등을 이유로 장기간 표류하며 규제 공백을 키워 왔다는 평가를 받아왔다. 쿠팡 개인정보 유출 사태를 계기로 플랫폼 규제의 필요성이 다시 부각되면서, 그동안 멈춰 있던 논의가 다시 수면 위로 올라올 가능성이 커지고 있다는 분석이다.
당장 시장지배력 남용을 직접 규율하는 온플법 추진이 쉽지 않다는 판단 아래, 정부는 법안을 이원화해 독점 규제보다는 플랫폼과 입점업체 간 갑을관계를 다루는 ‘공정화법’을 우선 처리하는 데 무게를 둬왔다.
다만 이번 쿠팡 개인정보 유출 사태를 계기로, 플랫폼 규제의 범위가 거래 공정성을 넘어 데이터 거버넌스와 개인정보 관리 책임까지 확대될 수 있다는 관측도 나온다. 특히 업계는 온플법이 재추진될 경우, 개인정보 관리 책임과 사고 발생 시 배상 의무를 강화하는 방향으로도 논의가 이어질 것으로 보고 있다.
익명을 밝힌 한 유통업계 관계자는 “올해 들어 통신·금융 등 여러 분야에서 개인정보 유출 사고가 잇따라 발생한 만큼, 이번 쿠팡 사태를 플랫폼 구조상의 문제로만 단순화해서는 안 된다”며 “쿠팡과 같은 거대 플랫폼은 이미 독점적 지위를 바탕으로 소상공인과 소비자의 삶 깊숙이 들어와 있다. 단기적인 처방이 아니라 장기적인 상생을 전제로 한 논의가 필요하다”고 강조했다.

이어 “쿠팡만을 겨냥한 규제가 현실적으로 어려운 만큼, 논의의 초점은 ‘누구를 규제할 것인가’가 아니라 ‘어떤 규모와 기능의 플랫폼을 어떻게 관리할 것인가’로 옮겨가야 한다”며 “기업을 통제하겠다는 접근보다, 이미 달라진 현실에 맞춰 제도를 보완하는 방향의 사회적 합의가 먼저 이뤄져야 한다”고 덧붙였다.







이다빈 기자 dabin132@kukinews.com 기자 admin@reelnara.info