당신의 이름, 전화번호, 집 주소, 그리고 무엇을 샀는지까지. 지난 6월부터 11월까지 누군가가 이 모든 정보를 들여다보고 있었다. 쿠팡은 몰랐다. 아니, 정확히 말하면 쿠팡은 알려고 하지 않았다. 3370만명. 전 국민의 65%다. 플랫폼에 내 정보를 맡기는 순간, 그것은 더 이상 ‘내 것’이 아니다. 로켓 배송의 편리함을 공짜로 누리는 줄 알았지만 우리는 개인 정보를 대가로 치르고 있었다. 이름, 주소, 구매 패턴, 검색 기록 정보를 플랫폼이 광고주에게 팔고, 알고리즘을 훈련시키고, 더 정교한 맞춤형 서비스를 만들어낸다.
이번 사건의 핵심은 의외로 단순하다. 퇴사한 직원의 접근 권한이 6개월간 유효했다. 회사를 떠난 사람이 마음만 먹으면 언제든 고객 데이터베이스에 접속할 수 있었다는 이야기다. 이것은 해킹이 아니다. 쿠팡이 문을 열어놓은 것이다. 그러나 여기서 멈추면 본질을 놓친다. 왜 3370만명의 정보가 한곳에 모여 있어야 하는가? 왜 한 명의 직원이 수천만 명의 데이터에 접근할 수 있는 구조인가? 이것은 보안의 문제가 아니라 설계의 문제다.
플랫폼 비즈니스의 핵심은 데이터의 집적이다. 더 많은 데이터를 모을수록, 더 정교한 알고리즘을 만들 수 있고, 더 강력한 시장 지배력을 확보한다. 쿠팡에게 당신의 데이터는 자산이다. 그래서 지우지 않는다. 그래서 한곳에 모은다. 이것이 공격자에게 가장 매력적인 먹잇감이 된다.
더 강력한 방화벽을 세우거나 더 엄격한 규정을 만들면 해결될까? 도움은 되겠지만, 근본적 해법은 아니다. 플랫폼이 데이터를 보유하는 한, 이런 사고는 반복될 수밖에 없다. 발상을 바꿔 보자. 플랫폼이 데이터를 보유하지 않으면 어떨까? 쿠팡이 배송을 위해 내 주소가 필요할 때, 해당 거래에 한해서만 일시적으로 접근권을 부여하고, 배송이 끝나면 자동으로 권한이 소멸한다면 어떨까? 이것이 바로 ‘사용자 중심 AI 공유 모델(UCASM)’이 제안하는 패러다임이다. 데이터의 소유권과 통제권을 사용자에게 돌려주자는 것이다. 플랫폼은 데이터를 ‘소유’하는 것이 아니라 ‘이용’하는 것으로 역할이 바뀐다.
기술적으로 이것은 이미 가능하다. 암호학 기술을 사용하면, 배송 기사가 정확한 주소를 열람하지 않고도 ‘이 주소로 배송 가능한지’ 확인할 수 있다. 블록체인 기반의 접근 로그는 누가 언제 내 데이터에 접근했는지를 투명하게 기록한다. 조작이 불가능하다. 스마트 컨트랙트는 ‘배송 완료 후 24시간 이내 접근권 자동 삭제’와 같은 조건을 코드화할 수 있다. 퇴사한 직원의 열쇠가 6개월간 작동하는 일은 구조적으로 불가능해진다. 물론 하루아침에 전환할 수는 없다. 그러나 방향은 분명하다. 단기적으로는 퇴직자 권한 즉시 말소, 데이터 최소 수집 원칙 의무화 같은 규제가 필요하다. 중기적으로는 개인 데이터 저장소(PDS) 인프라를 구축하고 상호 운용성 표준을 만들어야 한다.
쿠팡에 과징금을 물리고, 대표를 국회에 불러 질책하면 속은 시원할 것이다. 하지만 그것으로 끝나면 우리는 다른 플랫폼에서 또 다른 ‘역대 최대’ 유출 사고를 맞게 된다. 데이터 주권은 먼 미래의 이야기가 아니다. 지금 여기서 시작해야 하는 전환이다. 이번 사건을 단순한 기업 스캔들로 소비할 것인지, 근본적인 구조 변화의 시작점으로 삼을 것인지. 선택은 우리에게 달려 있다.