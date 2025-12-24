큰사진보기 ▲국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사태 관련 청문회가 열린 17일 서울 시내의 한 쿠팡 물류센터 모습.여야는 이날 청문회에 창업주인 김범석 쿠팡Inc 의장을 비롯한 핵심 증인이 불출석한 점을 두고 강하게 질타했다. ⓒ 연합뉴스 관련사진보기

•any failure to protect our apps, websites, networks, and systems against security breaches or otherwise protect our confidential information could damage our reputation and brand and may subject us to possible sanctions or penalties;



(당사의 애플리케이션, 웹사이트, 네트워크 및 시스템을 보안 침해로부터 보호하지 못하거나, 기타 방식으로 기밀 정보를 적절히 보호하지 못할 경우, 당사의 평판과 브랜드가 훼손될 수 있으며, 각종 제재나 처벌을 받을 가능성이 있습니다.)



- 2021년 회계년도 쿠팡 연례보고서 중

•any failure to comply with privacy laws or regulations, or to fulfill privacy-related customer expectations in the jurisdictions where we operate, could damage our reputation and brand and business and may subject us to possible sanctions or penalties;



(당사가 영업을 수행하는 관할 지역에서 개인정보 보호 관련 법률이나 규정을 준수하지 못하거나, 개인정보와 관련된 고객의 기대를 충족하지 못할 경우, 당사의 평판·브랜드 및 사업 전반에 부정적인 영향을 미칠 수 있으며, 각종 제재나 처벌을 받을 가능성이 있습니다.)



- 2021년 회계년도 쿠팡 연례보고서 중

덧붙이는 글 | 이 기사는 빠띠 캠페인즈에도 실립니다. 3부작 시리즈의 1편으로, 2부 기사에서는 쿠팡의 사실상 지속가능성공시로 보이는 임팩트 리포트의 문제점을 짚어볼 예정입니다.



※ This article addresses corporate disclosure controls and risk management issues in the context of ESG governance. An English summary is available upon request.

기업의 홍보 문구는 화려한 수식어로 진실을 가릴 수 있고, 경영진의 사과문은 찰나의 감정으로 대중을 현혹할 수 있습니다. 하지만 미국 증권거래위원회(SEC)에 제출되는 공시(Disclosure)는 자본시장의 신뢰를 담보로 한 약속입니다. 이곳에 새겨진 날짜와 숫자는 법적 책임과 직결되는 객관적 기록입니다. 우리가 쿠팡의 영문 공시를 파헤치는 이유는, 그곳이 바로 기업의 사회적 책임과 경영진의 신의성실 의무를 가늠할 수 있는 '가장 객관적인 거울'이기 때문입니다.쿠팡의 이번 사태는 단순한 보안 취약점의 노출을 넘어, 리스크를 감지하고 보고하는 '기업의 신경망'이 마비되었음을 시사합니다. 공시된 기록에 따르면 유출은 137일간 지속되었고, 특히 핵심 보안 사고인 '액세스 토큰' 탈취 이후에도 12일간 내부적인 경보는 울리지 않았습니다. 결국 사고를 인지하게 한 동력은 내부 시스템이 아닌 '고객의 민원'이었습니다.​상장사 경영진에게 "몰랐다"는 해명은 결코 면죄부가 될 수 없습니다. 미국 SEC의 '액티비전 블리자드' 판례는 중대한 리스크가 경영진과 공시 책임자에게 도달하지 못하는 구조적 공백 자체가 '공시 통제 및 절차(DCP)'의 실패라고 규정하고 있습니다. 즉, 쟁점은 경영진의 인지 여부가 아니라,가 존재했느냐는 점입니다.​물론 임원의 주식 매매 행위 자체를 내부자 거래로 단정 짓는 것은 신중해야 합니다. 공시상 확인되는 매매 규모는 통상적인 범위를 크게 벗어나지 않으며, 임원들 역시 여전히 상당한 지분을 보유하고 있습니다. 그럼에도 이 매매 일정이 세간의 의혹을 사는 이유는, 그것이 회사가 주장하는 '사고 인지 시점'과 내부 관리 체계의 실효성을 되묻게 만드는 '객관적인 타임라인'이 되기 때문입니다.​ 결국 질문은 하나로 수렴됩니다. 장기간의 유출과 결정적 보안 사고 이후에도 이어진 그 '눈먼 시간'들이 과연 상장사로서 정상적인 관리 상태였는가 하는 점입니다.이 지점에서 분명히 해 둘 점이 있습니다. 이 문제 제기는 특정 경영진의 고의나 범법 의도를 단정하기 위한 것이 아닙니다.자본시장에서 기만 판단에 반드시 고의가 요구되지는 않습니다.했다면, 그 자체로 '기만적 효과(misleading effect)'를 낳았다고 평가될 수 있습니다.이 문구들은 모두 'could', 'may'와 같은 가정법을 사용하여, 사이버 보안 침해와 개인정보 보호 실패를 미래에 발생할 수 있는 가능성으로 서술하고 있습니다.미국 SEC는 2021년 피어슨(Pearson plc) 사건에서,으로 서술한 점이를 가한 바 있습니다. 피어슨 사건의 핵심은 단순한 시제 선택이 아니라, 이미 현실화된 리스크를 현재의 위험 상태로 충분히 설명하지 않았다는 점이었습니다.쿠팡의 경우, 피어슨과 달리 과거 개별 사고를 연례보고서에서 명시적으로 기재하지 않았다는 차이는 존재합니다. 그러나 바로 이 지점에서 또 다른 구조적 문제가 발생합니다. 쿠팡은 이미 2021년과 2024년에 개인정보 유출 사고를 겪었고, 개인정보보호위원회로부터 과태료 및 과징금 처분을 받은 전력이 있음에도, 이후 제출된 회계연도 기준 2021년부터 2024년까지의 연례보고서에서 사이버 보안 리스크를 일관되게 '가정적 위험'으로만 서술해 왔습니다.연례보고서의 '리스크 팩터(Risk Factors)' 섹션은, 해당 사안이 발생할 경우 기업 가치에 중대한 악영향(Material Adverse Effect)을 미칠 수 있음을 투자자에게 알리기 위한 공간입니다. 그렇다면하는 방식이 과연 투자자에게 기업의 현재 위험 수준을 충분히 전달했는지는 검토가 필요합니다.특히 이번 3370만 명 규모의 개인정보 유출처럼, 연례보고서에서 경고해 온 '중대한 위협'이 현실화된 상황에서조차 과거 사고를 중대하지 않은 사안으로 취급했다는 해석을 취한다면, 이는 스스로 작성한 리스크 공시의 엄중함을 약화시키는 결과를 낳습니다. 이러한 공시 방식은 고의 여부와 무관하게,를 발생시킬 소지가 있습니다.이러한 공시 태도는 보안 리스크를 내부적으로 어떻게 인식하고 있었는지를 투자 지표에서도 되묻게 합니다. 쿠팡의 2024년 정보보호 투자액은 659억 원으로 매출 대비 약 0.155%에 그치며, 글로벌 IT·플랫폼 기업을 대상으로 한 Gartner·IDC 권고 수준(약 1.5%)과 비교할 때 상당한 격차가 존재합니다. 정보기술(IT) 부문 대비 정보보호 투자 비율 역시 5.6%로, 국내 평균(6.29%)과 글로벌 권고 수준(약 10%)에 미치지 못합니다.개인정보 보호가 핵심 사업 리스크인 이커머스 플랫폼 기업의 특성을 고려할 때, 이러한 수치는 단순한 투자 규모의 문제가 아니라, 리스크를 인식하고 관리하는 구조 자체에 대한 질문으로 이어집니다.3370만 건에 달하는 유출 통보 대상에는 이미 탈퇴한 이용자도 포함된 것으로 알려졌습니다. 이는 단순한 보안 사고를 넘어, 개인정보의 보관·파기·권한 회수 전반을 포괄하는 데이터 라이프사이클 관리(Data Lifecycle Management)가 적절히 작동했는지에 대한 근본적인 의문을 제기합니다.2022년에 탈퇴한 회원까지 유출 통보를 받았다는 사실은, 활성 고객 정보와 탈퇴 고객 정보가 법적 원칙과 내부 정책에 따라 분리·파기 관리되지 않았을 가능성을 시사합니다. 이는의 문제를 넘어, 불필요한 데이터 보유 자체가 기업의 리스크 노출 면적을 확장시키는 전형적인 관리 실패 사례로 볼 수 있습니다.리스크 매니지먼트의 관점에서 보면,에 가깝습니다. 파기되지 않은 개인정보는 침해 발생 시 피해 규모와 법적 책임을 기하급수적으로 확대시키며, 실제로 이번 사고에서 유출 규모가 커진 배경 역시 이러한 관리 부실과 무관하지 않아 보니다.더 나아가, 퇴사자 계정 및 접근 권한 관리가 적시에 이루어지지 않았음이 드러난 상황에서, 이번 사고는 개별 보안 취약점의 문제가 아니라가 유기적으로 작동하지 않았음을 보여주는 사례로 해석될 여지가 있습니다. 이는 곧,되는 실질적 재무 리스크(Material Risk)로 전이되는 구조적 문제를 드러냅니다.개인 자격으로 공시의 완벽성을 보증하던 글로벌 경영진은, 왜 매출의 대다수가 발생하는 한국의 국회 청문회에는 모습을 드러내지 않는 것입니까? 미국 자본시장에서는 투명성을 약속하면서도, 정작 성장의 토대가 된 대한민국 대의기관 앞에서는 침묵하는 이중적 행보는 기업의 신뢰도를 저해합니다.이러한 소통의 부재는 단순히 도덕적 문제를 넘어,입니다. 기업 지배구조의 불투명성이 가져올 시장의 불신과 과징금 부담은 결국 주주와 소비자에게 전가될 것입니다. 쿠팡은 성실히 소명하고, 상장사로서의 책무를 다해야합니다.