쿠팡 창업자 김범석 쿠팡Inc 의장이 26일 (현지시간) 4분기 실적 콘퍼런스콜에서 개인정보 사고를 “다시 한번 사과(apologize)”했다. 육성 사과가 처음이었다는 점은 의미가 있다. 그러나 질문은 남는다. 그 사과가 향한 곳은 미국 주주들이 모인 실적 발표장이었다. 정작 사고의 당사자인 한국 소비자에게는, 그에 걸맞은 직접 사과와 재발방지 약속이 충분히 제시됐는가.
쿠팡은 늘 “고객은 쿠팡이 존재하는 유일한 이유”라고 말해왔다. 그렇다면 고객 신뢰가 흔들린 사건 앞에서 기업이 내놓아야 할 것은 수사(修辭)가 아니라 설계 변경이다. 책임의 윤곽이 선명해야 하고, 재발방지의 내용은 구체적이어야 한다. 그런데 이번 사고를 둘러싼 회사의 메시지는 “전 직원 범죄”라는 규정과 “2차 피해 증거 없음”이라는 해명에 치우쳐 있다. 책임의 중심을 개인에게 옮기는 동안, 조직이 무엇을 바꿨는지는 흐릿해졌다.
숫자는 그 빈칸을 더 또렷하게 만든다. 쿠팡은 2025년 연간 매출 345억달러로 사상 최대를 기록했다고 강조한다. 성장 자체는 사실이다. 그러나 기업의 체력은 매출이 아니라 현금과 마진에서 드러난다. 그런데 2025년 자유현금흐름은 5억2700만달러로 전년(10억1600만달러)에서 반 토막이 났다. 감소폭만 4억8900만달러다. 회사는 이 하락의 주된 원인으로 “데이터 사고가 4분기 운전자본에 미친 영향”을 직접 언급했다. 사고의 타격이 단순한 여론전이 아니라 재무구조의 핵심인 ‘현금 전환’을 흔들었다는 뜻이다. 운전자본이 흔들렸다는 말은 곧 돈의 흐름이 꼬였다는 말이다. 정산·환불·프로모션·보안 대응 등으로 현금이 예상보다 더 묶이거나 더 빨리 빠져나갔을 가능성을 시사한다. 기업이 가장 숨기기 어려운 지표에서 충격이 드러난 셈이다.
4분기 손익은 더 직설적이다. 4분기 매출은 88억달러대로 전년 대비 11% 늘었지만, 영업이익은 800만달러로 97% 급감했고 당기순손익은 2600만달러 적자로 돌아섰다. 조정 EBITDA 역시 전년 대비 큰 폭으로 줄며 마진이 꺾였다. 매출은 버텼는데 수익성이 무너졌다.
그럼에도 회사는 사건의 성격을 “전 직원이 쿠팡과 고객을 상대로 저지른 범죄”로 규정하는 데 힘을 준다. 내부자 범죄가 사실이라면 처벌은 당연히 엄정해야 한다.
그러나 내부자 범죄는 그 자체로 회사의 통제 실패를 뜻한다. 접근 권한은 누가 설계했는가. 이상 접근 탐지와 로그 모니터링은 왜 제때 작동하지 않았는가. 민감정보 분리·암호화·권한 최소화는 어느 수준이었는가. 퇴직자·이직자 권한 회수와 데이터 반출 차단은 어떤 절차로 관리됐는가. 외부 보안감사와 침투 테스트는 정례화돼 있었는가. 범인을 개인으로 좁히는 순간, 기업이 져야 할 구조적 책임이 흐려진다. 재발방지를 말하려면, 누가 무엇을 했는지가 아니라 어떤 시스템이 왜 뚫렸는지부터 설명해야 한다.
더 큰 문제는 한국 사회가 요구하는 기준과 쿠팡의 대응이 어긋나 있다는 점이다. “2차 피해 증거가 없다”는 말은 결론이 아니다. 피해 가능성의 평가 방식, 모니터링 체계, 지원 창구, 보상 기준을 함께 제시해야 비로소 신뢰 회복의 출발점이 된다. 현재 진행 중인 조사 결과와 과징금 규모가 미정이라면, 그 불확실성 자체가 리스크다. 기업은 불확실성을 소비자에게 떠넘기는 대신, 불확실성을 관리하기 위한 약속을 공개해야 한다.
따라서 쿠팡이 지금 해야 할 일은 명확하다. 첫째, 사고 경과의 타임라인을 공개해야 한다. 언제 인지했고, 언제 차단했고, 언제 통지했고, 왜 그 시점이었는지를 설명해야 한다. 둘째, 재발방지를 ‘말’이 아니라 설계 변경으로 제시해야 한다. 권한 최소화, 이상탐지 고도화, 데이터 분리·암호화, 접근 승인·감사 체계, 외부 보안감사 정례화 등 핵심 조치를 구체 항목으로 내놓아야 한다. 셋째, 책임 구조를 분명히 해야 한다. CISO 권한·예산, 이사회 차원의 보안 리스크 감독, 경영진 KPI 연동 등 거버넌스가 바뀌지 않으면 사건은 반복된다. 넷째, 한국 소비자를 향해 한국 무대에서 직접 사과하고 약속해야 한다. 영문 “apologize” 한마디로는 부족하다.
쿠팡은 연간 최대 실적을 내세울수록 더 엄격한 기준을 받아야 한다. 규모가 커질수록 사고의 사회적 비용도 커지기 때문이다. 이번 사고는 회사 스스로 인정했듯 4분기 운전자본을 흔들고 자유현금흐름을 급감시킬 만큼 중대한 사건이었다. 그렇다면 한국 소비자에게도 그 무게만큼의 설명과 조치가 있어야 한다. 사과는 감정 표현이 아니라 신뢰의 계약서다. 월가를 향한 사과가 아니라 한국 사회를 향한 책임이 먼저다. 지금 필요한 것은 “자랑스럽다”는 평가가 아니라 “이렇게 바꿨다”는 증명이다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
