[ 김덕엽 칼럼니스트 ] 대한민국 최대 전자상거래 플랫폼 쿠팡의 개인정보 유출 사태는 더 이상 ‘사이버 공격’이나 ‘불운한 사고’로 포장될 수 없다. 이번 사건의 본질은 해커의 교묘함이 아니라, 기업 스스로가 가장 중요한 열쇠를 11개월 동안 방치했다는 사실에 있다.

쿠팡 내부 시스템에 대한 관리자급 접근 권한, 이른바 ‘마스터키’가 외부에 노출된 뒤 장기간 회수되지 않았다는 정황은 단순한 보안 실수가 아니다. 이는 기본 중의 기본인 접근권한 관리, 퇴사자 계정 통제, 인증키 로테이션조차 작동하지 않았다는 의미이며, 곧 기업 내부 통제 시스템이 사실상 붕괴돼 있었음을 보여준다.

문제는 그 기간이다. 하루도, 일주일도, 한 달도 아닌 11개월이다. 그 시간 동안 수천만 명의 고객 개인정보는 사실상 열쇠 없는 금고에 방치돼 있었다. 그럼에도 쿠팡은 침입 사실을 스스로 인지하지 못했고, 외부 문제 제기가 있기 전까지 어떤 조치도 취하지 않았다. 이것이 과연 ‘해킹 피해 기업’의 모습인가.

이번 사태에서 쿠팡이 특히 강한 비판을 받는 이유는 명확하다. 일반적인 해킹 사고는 외부 공격에 대한 방어 실패다. 그러나 이번 사건은 내부 최고 권한 관리 실패, 다시 말해 경영과 관리의 문제다. 정보보호의 영역을 넘어 기업 지배구조와 책임 윤리의 붕괴에 가깝다.

그럼에도 쿠팡의 대응은 실망을 넘어 분노를 자아낸다. 최고 의사결정권자는 국회 청문회에 모습을 드러내지 않았고, 회사는 “조사 중”이라는 말만 반복했다. 수천만 명의 개인정보가 장기간 위험에 노출된 사안에서, 책임지는 얼굴 하나 보이지 않는 기업이 과연 플랫폼 사회의 신뢰를 논할 자격이 있는가.

더 심각한 것은 선례다. 만약 이번 사건이 “대기업도 어쩔 수 없는 해킹”으로 정리된다면, 앞으로 어떤 기업이 내부 보안 통제를 진지하게 관리하겠는가. 11개월 방치조차 ‘실수’로 넘어간다면, 개인정보 보호는 선언문에 불과해진다.

개인정보는 기업의 소유물이 아니다. 이용자가 신뢰를 담보로 맡긴 사회적 자산이다. 그 자산을 지키지 못했다면, 기업은 변명 대신 책임을 져야 한다. 과징금이든, 경영진 책임이든, 제도적 제재든 명확한 기준이 세워져야 한다. 그렇지 않다면 이번 사건은 쿠팡 하나의 문제가 아니라, 한국 플랫폼 산업 전체의 도덕적 파산 선언이 될 것이다.

쿠팡은 지금 선택의 기로에 서 있다. ‘피해자 코스프레’로 시간을 벌 것인가, 아니면 관리 실패를 인정하고 책임지는 기업으로 남을 것인가. 11개월 동안 열린 문 앞에서 이제는 쿠팡이 답해야 할 차례다.