[기자의 눈] '탈쿠팡' 못 하는 시대

김현아 기자

기자가 사는 집은 한 층에 두 집이 마주보는 형태다. 맞은편 이웃은 ‘로켓프레시 충성 고객’이라고 부를 만하다. 이틀, 길어도 사흘이면 알록달록한 보냉백이 문 앞에 착착 쌓인다. 그런데 11월 29일 쿠팡 개인정보 유출 소식이 나온 뒤, 그 보냉백이 자취를 감췄다. 마치 잠시 고민에 빠진 듯했다. 하지만 이번 주 들어 다시 제자리를 차지했다. 불안과 불편 사이에서 잠깐 머뭇거렸을 뿐, 결국 다시 돌아온 셈이다.

이 풍경은 기자가 사는 집 현관 앞에만 펼쳐지는 이야기가 아닐 듯 하다. 3370만개 계정이 털렸는데도 쿠팡의 일간 활성 이용자는 여전히 1700만명대다. 많은 소비자가 ‘탈쿠팡’을 결심조차 하지 못한다는 현실이 더 선명하게 보인다.

이유는 분명하다. 쿠팡이 너무 편해서도 있지만, 그 편리함을 이길 만한 대체재가 없기 때문이다. 월간 이용자 3427만명, 연매출 32조원 규모로 성장하는 동안 쿠팡은 새벽배송·반품·정기구매까지 생활의 기본 루틴을 쥐고 흔드는 플랫폼이 됐다. 이제 많은 가정에서 식품·생필품·유아용품 구매는 ‘쿠팡 앱을 열어 필요한 걸 담는 행위’와 거의 동일한 의미가 됐다.

반대로 다른 이커머스들은 실적 부진에 시달리고, 중국계 C커머스는 가격은 싸지만 여전히 충분한 신뢰를 얻지 못한 상태다. 탈퇴하려고 앱을 켰다가 배송·교환·반품 과정의 번거로움을 떠올리며 다시 마음을 접는 사람들이 많은 이유다. 선택이라기보다 사실상 종속에 가까운 구조다.

그런 점을 감안하면 이번 사고는 단순한 보안 실수로 치부하기 어렵다. 이름·연락처뿐 아니라 배송지 주소록과 주문 정보, 일부 계정의 공동현관 비밀번호까지 노출됐다. SK텔레콤 유출(2324만명)을 넘어서는 3370만건 규모다. 그럼에도 쿠팡은 처음엔 4500명 노출이라고 발표했다가 9일 만에 피해 규모를 7500배 키워 잡았다. 유출 시점은 6월인데, 소비자가 통보받은 건 11월 말이다. 가장 기본적인 ‘위험 인지’마저 신속하게 작동하지 않았다는 얘기다. 이 정도 규모의 서비스를 운영하는 기업에서 최소한의 감지 체계조차 제대로 작동하지 않았다는 사실 자체가 문제다.

쿠팡은 ISMS-P를 비롯해 국내외 보안·프라이버시 인증 7개를 갖고 있지만, 앱 업데이트 오류, 배달원 개인정보 노출, 판매자 시스템 오류 등 유출 사고가 이미 여러 차례 있었다. 이번에는 전직 개발자가 인증 시스템을 악용해 정보를 빼냈다는 의혹까지 더해졌다. 인증은 모두 갖췄지만 실제 운영의 취약성이 반복적으로 드러난 것이다. 보안 인증은 줄줄이 따냈지만, 실제로는 제 역할을 못 했다는 비판이 나오는 것도 이 때문이다.

쿠팡은 이미 단순한 판매 플랫폼을 넘어 생활 데이터와 일상 흐름을 관리하는 거대한 인프라가 됐다. 소비자들이 선뜻 떠나지 못할 정도로 말이다. 그만큼 책임 기준도 더 높은 수준으로 재설정돼야 한다. 

신뢰 회복을 위한 능동적 조치 역시 뒤따라야 한다. 보안 체계의 실질적 개선, 사고 대응의 투명성, 이용자 권리 보호 장치 강화는 선택이 아니라 생존 조건이다. 지금 소비자가 쿠팡에 남아있는 건 편리함 뿐 아니라, ‘큰 기업이니 바로잡겠지’ 하는 마지막 신뢰 때문이기도 하다. 그러나 대처가 미흡하다면 신뢰는 금세 바닥난다. 소비자는 편의를 위해 머무를 수 있어도, 책임을 회피하는 기업을 끝없이 기다려주지 않을 것이다.