30일 정부서울청사에서 쿠팡 관련 긴급 관계부처 장관회의가 열린 가운데 박대준 전 쿠팡 대표가 회의장을 나서며 기자들의 질의에 답하고 있다. 2025.11.30 /장련성 기자

쿠팡의 정보유출 문제로 소비자들의 걱정이 크다. 내 전화번호와 주소에다 구매 이력까지 몽땅 털렸다니 걱정이 안 될 수 없다. 그런데 흥미롭게도 이번 쿠팡 사태는 작년 봄 일본에서 있었던 라인야후 사태와 구조적으로 매우 흡사하다.

우선 두 사태 모두 개인 정보의 대량 노출 내지 유출이 있었다. 쿠팡의 경우에는 쿠팡 사용자 수천만 명의 정보가 유출되었고, 라인야후 사태의 경우에는 2021년부터 여러 차례에 걸쳐 일본인 야후 사용자의 정보가 노출되거나 혹은 수백만 건의 개인 정보가 유출되는 사태가 발생했다.

둘째, 중국인의 관여 혹은 중국으로의 개인 정보 유출 문제가 있다. 쿠팡 사태의 경우 정보 유출 책임자는 쿠팡에서 퇴사한 중국인 직원이라고 한다. 라인야후의 경우에도 당초 2021년 문제가 처음 불거졌을 때, 중국 소재 데이터 센터에서 일본인들의 개인 정보 열람이 가능하다는 점이 문제로 제기되었다. 이후 추가적으로 네이버 자회사를 통한 대량 정보 유출 사태가 발생했을 때도 일본에서 크게 우려한 부분이 바로 한국 기업의 기술적 결함을 통해 일본인들의 개인 정보가 중국으로 유출될 가능성이었다.

셋째, 두 사태 모두 근본 원인으로 왜곡된 기업 거버넌스가 지적되고 있다. 쿠팡은 매출의 거의 전부가 한국에서 발생하지만 쿠팡을 100% 소유한 모기업 쿠팡Inc는 미국에 있고, 미국 주식시장에 상장되어 있다. 모기업의 최대 주주인 김범석 쿠팡Inc 의장은 미국 국적자이고, 한국 쿠팡의 등기이사도, 경영진도 아니다. 하지만 한국 쿠팡의 실질적인 경영은 미국에 앉아 있는 김범석 의장이 하고 있는 것 아니냐는 의문이 제기되고 있다. 라인야후의 경우, 라인야후는 일본 기업이지만 정보유출 사고가 발생한 곳은 라인야후의 하청을 받은 네이버의 자회사였다. 그런데 일본 기업인 라인야후를 소유한 지주회사의 대주주가 한국 기업인 네이버였다. 이로 인해 라인야후에서 여러 차례 사고가 났음에도 불구하고 라인야후는 대주주인 네이버의 자회사를 문책하고 협력 관계를 단절하지 못했다. 즉, 두 사태 모두 기업 경영의 실질적인 책임 소재와 법률적 지배구조 간에 괴리가 발생하여 기업 거버넌스가 왜곡된 상황이었던 것이다.

지난해 3월 23일 라인야후 관계자들이 개인정보 유출과 관련해 고개를 숙여 사용자들에게 사과하는 모습. /연합뉴스

작년 일본 총무성이 행정지도를 통해 라인야후 사태의 원인 중 하나로 거버넌스 문제를 제기했던 것에는 이런 배경이 있었던 것이다. 통상 대량 정보유출 사건이 속출하면 기술 담당 임원이나 최고경영자가 책임을 지고 보안 담당 업체는 교체된다. 라인야후에서는 그런 대응이 없었다. 일본 총무성은 그 원인으로서 네이버가 라인야후의 모기업의 대주주인 점을 지적하고, 기업 거버넌스부터 바로잡으라고 권고한 것이다.

쿠팡 사태에 대한 우리 정부와 국회의 문제 제기 역시 작년 일본 총무성의 문제 의식과 본질적으로 동일하다. 쿠팡 측은 김범석 의장은 한국 쿠팡과 무관하다고 주장하지만 쿠팡의 실질적 경영권이 미국인인 김범석 의장에게 있다면 자꾸 왜곡된 기업 지배구조 뒤에 숨어 책임 회피에 급급할 것이 아니라 김 의장이 책임을 지고 사태를 수습하라는 것이다.

쿠팡과 라인야후 사태를 비교하면 작년 라인야후 사태 당시 우리 정부의 대응이 뭐가 잘못된 것인지 알 수 있다. 당초 우리 정부는 라인야후에서 네이버 측을 통해 대규모 개인정보 유출이 발생했음을 인지하고도 피해자 대다수가 한국인이 아니라는 이유로 미지근한 반응을 보였다. 그러다가 일본 총무성이 기업 거버넌스 문제를 제기하자 일본이 한국 ‘토종 메신저’를 뺏으려는 것 아니냐는 국내 여론에 밀려 “한국 기업에 대한 차별은 안 된다”며 뒷북을 쳤다. 한국 기업을 통해 일본인들의 개인정보가 대량 유출된 것에 대한 유감 표명이나 적극적 공동 대응 의지는 보이지 않았다.

만약 작년 우리 정부가 보였던 것과 같은 반응을 지금 미국이 보이면 어떨까? 쿠팡 사태에 대해 미국 상무성이 나서서 한국인들의 개인정보 대량 유출에 대해서는 유감 표명 한 마디 없이, ‘한국 쿠팡의 등기 이사도 아니고, 경영자도 아닌 미국 국적자를 왜 한국 국회 청문회에 세우려고 하느냐’, ‘징벌적 손해배상 제도를 도입해서 쿠팡 소유권을 뺏으려는 것 아니냐’고 하면서 한국 정부에 해명을 요구한다면?

쿠팡과 라인야후 사태의 비교를 통해 우리는 정보화 시대의 사이버 안보 문제에 대한 올바른 해법을 성찰해 볼 수 있다. 요즘처럼 클라우드를 통해 전 세계의 데이터가 국경을 넘어 이동하고 저장되는 시대에 어디선가 대규모 정보 유출 사태가 벌어지면 그것은 단지 강 건너 불이 아니다. 만약 일본에서 우리 기업의 잘못으로 인해 일본인들의 개인 정보가 대량 유출되었다면 그에 대해 우리도 진지한 우려와 관심을 보이면서 공동대응을 모색했어야 했다. 그저 일본 정부가 한국 기업을 빼앗으려 한다는 식으로 무슨 ‘독립운동’ 하듯이 대응할 문제가 아니었다.

이제 개인정보 침해에 대응하는 ‘방벽’은 초국적 차원에서 만들어져야 한다. 문제 자체가 초국적 차원에 존재하기 때문이다. 사건 발생지가 국내든 외국이든, 관여된 기업과 경영자들이 내국인이든 외국인이든, 발생한 사건을 초국적 차원에서 조사하는 국제적 대응 체제를 수립하고, 무엇이 잘못된 것인지 판단하는 기준을 다른 나라들과 협의하여 공통의 프로토콜을 만들어야 한다. 이것이야말로 ‘규칙에 기반한 국제질서’를 강대국의 일방주의로부터 수호하는 가장 좋은 방법이다.