쿠팡 개인정보 유출 사태… 유출 범위와 책임 구조 놓고 논란 확산
손해창 기자 승인 2026.01.14 10 710호

 국내 대표 전자상거래 플랫폼 쿠팡에서 3,370만 명 규모의 고객 개인정보 유출 사고가 발생했다. 유출 사실은 11월 29일(토) 공개됐으며 정부는 민관합동조사단을 구성하고 수사에 착수했다. 이번 사건은 그 중대성과 파급력을 고려해 ▲본사 압수수색 ▲범정부 대응 태스크포스(TF) 구성 ▲국세청 특별 세무조사 ▲국회 청문회 추진으로 조사가 확대됐다. 박대준 쿠팡 대표이사가 사임하는 등 기업 내부 조치도 이어졌으나, 유출 범위와 책임 소재를 둘러싼 논란은 계속되고 있다.


 

개인정보 유출 확인 후 수사 전개



 개인정보 유출 사실이 공개되자 정부 및 수사기관은 즉각 대응에 나섰다. 정부는 과학기술정보통신부, 개인정보보호위원회 등 관계 부처가 참여하는 민관합동조사단을 구성해 유출 원인과 범위를 조사했고, 경찰도 개인정보 보호법 위반 여부에 대한 수사를 시작했다. 초기 대응은 사고 발생 여부 확인에 초점이 맞춰졌지만 유출 규모가 3,370만 명에 달한다는 점이 알려지며 대응 순위는 사고 확인을 넘어 책임 규명 단계로 격상됐다.



 사건이 장기화하면서 기업 내부 조치와 정치권 대응도 이어졌다. 개인정보 유출 사태와 관련해 박대준 쿠팡 주식회사 대표이사가 사임했고 Coupang Inc. 최고관리책임자(CAO) 겸 법무 총괄 해롤드 로저스가 임시 대표로 선임됐다. 여야 정치권은 모두 책임 회피성 인사 교체라며 청문회 자리에 참석한 해롤드 로저스 임시 대표를 비판하며 격앙된 반응을 보였다.


 

▲ 시민단체 참여연대 활동가들이 12월 3일(수) 서울시 송파구 신천동 쿠팡 본사 앞에서 기자회견을 하고 있다.(출처=뉴스1)



 


쿠팡의 자체 조사 발표 이후 불거진 유출 범위·책임 논란



 범정부적 조사가 진행 중인 가운데, 쿠팡은 12월 25일(목) 자체 조사 결과를 담은 보도자료를 선제적으로 발표했다. 반면 정부는 조사 중인 사안에 대한 일방적 발표라며 즉각 반박에 나섰다.



 논쟁의 핵심은 유출 범위를 어떻게 정의할 것인가에 있다. 보도자료를 통해 쿠팡은 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했으며 해당 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다고 밝혔다. 쿠팡에 따르면 전체 고객 3,370만 명의 개인정보가 일괄적으로 외부로 유출된 것은 아니며 실제 외부에 저장된 정보는 약 3,000개 계정 분량이라고 발표했다. 유출된 정보에는 이름, 이메일, 전화번호, 주소, 최근 주문 정보, 2,609개의 공동 현관 출입 번호가 포함됐다. 또 유출자는 사태에 대한 언론 보도를 접한 후 저장했던 정보를 모두 삭제했으며 고객 정보 중 제삼자에게 전송한 데이터는 없는 것으로 파악됐다고 쿠팡은 전했다.



 반면 정부는 조사 중인 사안에 대한 일방적 발표라며 즉각 반박에 나섰다. 정부는 실제로 외부에 저장되거나 삭제된 정보의 규모와 별개로 해당 직원이 접근할 수 있었던 개인정보의 범위와 내부 관리 및 통계 체계 전반에 대한 조사가 아직 진행 중이라고 밝혔다. 또 유출 범위와 책임 여부는 정부 조사 결과를 통해 종합적으로 판단해야 한다는 입장을 분명히 했다.


 

책임 주체, 한국법인 넘어 미국 본사까지 검토



 이번 개인정보 유출 사태를 둘러싼 책임 논쟁은 한국법인과 미국 본사의 역할 분담 문제에서 비롯된다. 쿠팡의 국내 사업은 쿠팡 주식회사가 담당하고 있지만 모회사는 미국에 본사를 둔 ‘Coupang Inc.’이다. 개인정보 처리와 보안 체계의 설계 및 운영 주체에 따라 법적·경영적 책임의 귀속이 달라질 수 있다는 점에서 각 법인 간 역할 분담을 면밀히 들여다볼 필요가 있다.



 쿠팡의 국내 영업과 고객 서비스, 개인정보 수집, 이용, 보관은 쿠팡 주식회사가 담당하며 개인정보 보호법 등 관련 법령에 따라 개인정보처리자로서의 일차적 책임도 한국법인에 있다. 반면 모회사인 Coupang Inc.는 그룹 차원의 경영 전략과 기술 및 보안 정책의 기본 방향을 설정하는 역할을 맡고 있다. 결국 형식적으로 법인이 분리돼 있더라도, 개인정보 보호 기준과 보안 체계가 본사 주도로 운영됐다면 책임 범위는 한국법인에만 한정되기 어렵다는 지적이 제기된다.



 정부 역시 조사 과정에서 형식적인 법인 분리와 실질적 경영 통제의 불일치 가능성을 검토하고 있다. 한국법인이 실무를 담당하더라도, 보안 정책과 시스템 기준이 본사 차원에서 관리됐다면 책임은 국내 법인을 넘어 본사까지 확장될 수 있다는 판단에서이다.


 

국회 통제 한계가 드러낸 제도적 과제



 지난 12월 17일(수) 국회 과학기술정보방송통신위원회는 김범석 쿠팡 의장을 포함한 기업 핵심 담당자를 청문회 증인으로 채택했다. 그러나 핵심 증인들이 연달아 불출석하면서 대규모 플랫폼 기업에 대한 책임 규율이 현행 제도로는 충분하지 않다는 문제가 드러났다. 국내에서 수천만 명의 개인정보를 처리하는 기업임에도 최고 의사결정권자에 대한 직접적인 책임 추궁과 제재는 제한적이었다.



 이에 따라 국회와 관계 당국을 중심으로 대규모 플랫폼 기업의 개인정보 보호 의무를 강화하고, 해외 본사를 둔 기업에도 책임을 물을 수 있는 제도 개선 필요성이 제기된다. 또 개인정보 유출 발생 시 피해자 통지와 보호, 보상 절차를 명확히 하고 내부 접근 권한 관리와 보안 통제 체계에 대한 점검을 제도화하는 방안 역시 검토 대상에 포함된다.


 

손해창 기자

thsgockd210@seoultech.ac.kr


0개의 댓글
댓글쓰기
등록