국민 개인정보 유출이 국가 안보를 위협하는 이유
- 쿠팡 사태로 본 개인정보와 국가안보의 연결고리 -
김동하 한성대학교 미래융합사회과학대학 교수
다사다난했던 2025년 말. 산적한 정치, 경제 현안들 속에서, 온 국민들의 일상에 찬물을 끼얹는 일이 발생했다. 국민 대다수가 사용하는 독보적 1위 기업 '쿠팡'의 고객정보 유출 사태. 무려 6개월간 3770만명의 고객 정보가 유출된 이번 사태의 파장은, 무척이나 넓고 깊게 우리의 일상으로 스며들고 있다.
피해를 본 건 대다수의 대한민국 국민들이지만, 책임을 묻고 피해를 구제하는 측면에서는 미국과 중국까지 얽혀 있는 국제적 이슈다. 기업의 국적, 경영자와 직원들의 국적 뿐 아니라 자본의 국적까지. 해법을 찾으려면 한국과 미국, 일본, 중국이 뒤엉킨 글로벌 조직의 정체성 문제를 풀어내야 하기 때문이다.
이번 사태는 기업의 단순한 보안 사고를 넘어, 대규모 개인정보 유출이 곧 국가 안보의 위협이 될 수 있음을 알리는 경종으로도 여겨지고 있다. 데이터의 시대, AI의 시대에 대규모 개인정보는 현대 사회에서 가장 중요한 전략 자산이자 무기, 또는 공격의 대상이라고 할 수 있다.
쿠팡 사태, 왜 국제 이슈인가?
쿠팡의 국적은 어느 나라일까. 미국과 한국 모두 답이 될 수 있다. 우리가 말하는 쿠팡은 하나가 아니라 두 개로 나뉘어져 있기 때문이다. 엄마 쿠팡(쿠팡, Inc)은 미국에 있고, 아들 쿠팡(쿠팡)은 한국에 있다. 부모는 미국인이고 자식인 한국인인, 태생부터 국제적이면서 이중적인 조직이자 기업이다. 경영진 역시 창업자 김범석 의장은 한국계지만 미국인이고, 한국인이 맡아 왔던 대표이사도 최근 미국인 임원으로 교체됐다.
먼저 모회사 쿠팡, Inc. (Coupang, Inc.)는 미국 델라웨어 주에 설립된 미국 법인으로, 2021년 미국 뉴욕증권거래소(NYSE)에 상장됐다. 주요 사무실은 시애틀 등에 있고, 이 회사는 연결재무제표 기준 법인세를 미국에 낸다.
자회사 쿠팡(주)은 대한민국에 설립된 한국 법인으로, 서울 잠실에 본사가 있다. 엄마 회사인 쿠팡, Inc.가 지분 100%를 소유하고 있다. 쿠팡의 경제적 실체와 활동은 아들 쿠팡이 한다. 전체 매출의 90% 이상이 대한민국 시장에서 발생하고, 로켓배송 관련 인력을 포함하여 수만 명의 인력이 대한민국에 고용되어 있다. 로켓배송의 핵심인 물류센터와 배송 네트워크는 모두 대한민국에 구축되어 있고, 아들 쿠팡이 한국에서 발생시킨 소득에 대해서는 한국에 법인세를 납부한다.
창업자와 경영자 대주주의 국적도 복잡하게 얽혀 있다. 창업자 김범석 의장은 한국계 혈통이지만 미국 국적자로, 현재 엄마 회사 쿠팡, Inc.의 이사회 의장직을 맡으며 실질적인 경영자로 활동하고 있다. 하지만 실무를 수행하는 아들 쿠팡의 대표이사는 지난 10일 사임하기 전까지 한국인 박대준 대표였다.
모회사 쿠팡, Inc의 최대주주는 17.5%를 보유한 소프트뱅크 비전 펀드 등 외국계 투자 기관이지만, 김범석 의장은 차등의결권을 통해 막강한 의결권을 행사하고 있다. 대주주 역시 운영사인 소프트뱅크는 일본 회사지만, 그 펀드에 자금을 댄 펀드의 대주주는 사우디 등 아랍계 자본이다.
직원 국적도 달라... 美-韓, 母-子 간극도
회사, 창업자, 경영자, 주주의 국적에 이어 이번 사태로 크게 도마 위에 오른 건 직원들의 국적이다. 쿠팡의 직원은 한국인이 가장 많지만, 꽤 많은 숫자의 중국인들도 근무하고 있다. 이번 유출사태의 배후로 퇴직한 중국인 직원이 유력한 용의자로 지목되고 있으며, 실제로 수사 대상에 올랐다. 현재 용의자의 거주지와 잠재적 파생 범죄들의 진앙지로도 중국이 거론되고 있다는 점에서, 이번 사태의 해결이 국경을 넘어서는 이슈가 된 점은 자명하다.
이번 사태는 쿠팡이라는 기업의 특수성으로 인해 초기부터 한국과 미국 양국의 국회까지 개입하는 초유의 사건으로 번져나가고 있다. 12월초 국회 현안 질의에는 박대준 전 대표와 브랫 매티스 최고 보안책임자가 나섰지만, 여야 의원들은 김범석 의장의 출석을 강하게 요구했다. 이 과정에서 미국 의회에서는 한국의 국회가 우리(미국) 기업 쿠팡을 차별하고 있다는 지적이 공공연하게 제기되기도 했다.
사태는 아들 쿠팡의 한국인 박대준 대표이사가 지난 10일 사임하고, 엄마 쿠팡의 미국인 최고관리책임자 해럴드 로저스가 직접 아들 회사 대표로 부임하는 일로 이어졌다. 한국의 국회의원들은 쿠팡의 최고 책임자인 김범석 의장의 청문회에 앉히겠다고 으름짱을 놓고 있지만, 김 의장이 출석할지는 여전히 미지수다. 한국인의 정서로는 김 의장 출석이 너무나도 당연한 일이지만, 미국 본사 측의 시선은 '한국 자회사 이슈로 모 회사 의장인 미국인이 한국 국회에 불려갈 필요가 있겠느냐'는 쪽으로 쏠려 있다.
개인정보 유출, 왜 안보이슈인가
이번 쿠팡 사태는 꽤나 복잡한 국제 안보이슈로 번질 수 있다. 사태의 피해자는 한국 국민들이지만, 용의자를 수사하고 잡아 내기 위해서는 중국과의 관계를, 책임자를 추궁하기 위해서는 미국과의 관계를 풀어내야 하기 때문이다.
더욱이 방대한 개인정보는 그 자체로 국가 안보에 직결될 수 있다. 이번에 유출된 한국인의 계정 수는 3370만. 물론 법인 가입자들과 여러 사업자들의 계정도 있겠지만, 전체 국민 인구의 65%에 달하는 막대한 숫자다. 대한민국에서 소비활동을 하는 거의 모든 국민들의 정보가 털렸다고 해도 과언이 아니다. 쿠팡은 24년 기준으로 온라인커머스 분야의 22~25%의 점유율을 지닌 1위 사업자이자, 배달 앱 분야에서도 배달의 민족과 함께 시장을 독과점하고 있다.
먼저 대량의 개인정보는 먼저 적대세력이나 해커 세력이 국가의 핵심 인프라를 공격하는 무기가 될 수 있다. 유출된 개인의 ID, 비밀번호, 주소, 연락처 등은 해커나 적대세력이 주요 공공기관, 금융 시스템, 국방 관련 기관에 피싱 등의 방식으로 침투하는 재료로 활용된다. 여전히 끊임없이 발생하고 있는 공공 시스템이나 정부기관 등 핵심 인프라에 대한 사이버 공격은 국가 기능 전체에 대한 위협으로 번질 수 있다. 이번 사태 이후로 경찰청 전기통신금융사기 통합대응단은 새로운 유형의 피싱·스미싱 사기에 대한 주의보를 발령하기도 했다.
아울러 공무원, 국방 및 외교 관련 종사자 등 주요 관련 공직자들의 상세 개인 정보는, 적대세력이 이들을 특정하여 스파이 활동, 협박, 심리전을 펼치는 '표적 공격'(Targeted Attack)의 기초 자료가 될 수 있다.
국가 시스템에 대한 신뢰 저하 역시 안보와 직결되는 이슈다. 지난번 카카오와 롯데카드, KT의 대규모 유출사태보다 더 큰 사용자 규모를 가진 쿠팡까지 개인정보가 유출되면서, 국민들의 불안감은 그 어느 때보다 높은 시기다.
개인정보를 '주권'이슈로 보는 국가들
주지할 점은 유럽과 미국, 중국 등 주요 국가들도 개인정보 유출을 경제 및 안보 위협으로 인식하고, 규제를 대폭 강화하며 대응하고 있다는 점이다.
유럽연합(EU)은 2018년부터 개인정보보호법(GDPR)의 '데이터 주권 강화, 역외 적용' 원칙을 시행, EU 시민의 개인정보를 다루는 모든 기업에 강력한 의무를 부과하고 위반 시 최대 전 세계 매출의 4%까지 과징금을 부과한다. 또 디지털시장법(DMA)을 통해 일종의 지정 사업자를 '게이트키퍼'로 두고 실질적인 시장 영향력을 기준으로 미국의 빅테크 기업 등 외국기업들의 활동을 규제하고 있다. 일본 역시 유럽연합의 개인정보보호법에 발맞춰 외국 빅테크들의 개인정보를 규제하는 방식을 취하고 있다.
미국은 사이버안보 및 인프라 보안국(CISA)를 통해 산업 분야별 정보규제 및 사법 대응을 시행 중이다. 특히 헬스케어 분야 등 특정 분야의 규제를 엄격히 적용하고 있다.
중국도 네트워크 안전법 (2017년), 개인정보보호법 (2021년)을 통해 중요 데이터의 국외 이전을 엄격히 심사하고 통제하며, 자국 내 데이터 보호를 국가 전략으로 삼고 있다.
한국은 '디지털 주권'이라는 기치 하에 지도, 네비게이션, 통신 등 안보 관련 분야에 대해서는 해외 기업에 대해 장벽을 유지하고 있다. 하지만 ‘국경 없는 거대 디지털 플랫폼, 테크기업'에 대해서는 뚜렷한 규제와 법적 주권을 적용하지 못하고 있다.
네이버나 카카오 등 자국 기업에 적용되는 규제와, 쿠팡처럼 '미국 법인'이라는 방패를 활용하는 외국 기업에 대한 규제가 다르기 때문에, 이번 사태의 책임 소재 및 최고경영자(CEO)의 책임을 묻는 데도 난항을 겪고 있다.
|
국가 |
주요 대응책 및 조언 |
데이터 출처 |
|
유럽연합(EU) |
데이터 주권 강화:역외 적용원칙을 통해EU 시민의 개인정보를 다루는 모든 기업에 강력한 의무를 부과하고, 위반 시 최대 전 세계 매출4%의 과징금을 부과 |
General Data Protection Regulation (GDPR) 전문(2018년 시행) |
|
미국 |
분야별 엄격한 규제 및 사법 대응:헬스케어 분야의 HIPAA등 특정 분야의 규제를 엄격히 적용, 국가 차원의CISA통해 국가 시스템 방어에 집중. |
Cybersecurity and Infrastructure Security Agency (CISA) 법률 및 활동 보고서 |
|
중국 |
데이터 이동 통제 및 안보 심사:중국 사이버 보안법, 개인정보 보호법등을 통해 중요 데이터의 국외 이전을 엄격히 심사하고 통제, 자국 내 데이터 보호를 국가 전략화 |
중국 네트워크 안전법(2017년), 개인정보보호법(2021년) |
국적 모호성의 한계, 해법은
쿠팡은 미국과 한국에 걸친 이중적 사업구조를 통해 주 사업장인 한국에서의 규제 적용을 교묘하게 피해왔다.
한 예로 공정거래위원회는 쿠팡을 대기업으로 지정했지만, 국내 대기업에게 적용되는 실질적인 지배자, 즉 '동일인' 지정은 사람이 아닌 법인으로 했다. 실제로 김범석 의장이 차등의결권 등을 통해 쿠팡의 압도적인 지배력을 행사하고 있지만, 외국인이라는 이유로 동일인 지정에서 제외되면서, 국내 대기업과의 규제 형평성 논란은 자연스럽게 불거졌다.
향후 법적 책임소재에 있어서도, 최종적인 C레벨 의사결정권자가 미국 법인 소속인 경우가 많아 한국 법원 관할 및 책임 추궁에 어려움이 발생할 수 있다. 당장 청문회 출석부터 난항인 만큼, 책임 추궁을 위한 법적조치 역시 기나긴 공방이 예고되고 있다.
이번 쿠팡 사태로 드러난 한국의 규제 환경은, 실질적인 시장 지배력과 데이터가 발생하는 지역을 기준으로 기업의 책임을 부과하는 국제적 흐름과는 거리가 멀어 보인다.
현 시점에서 쿠팡 국적의 법적 결론보다 시급한 현실적인 해법은, 시장 내에서 '실질 지배력'을 규율하고 조치하는 것으로 보여진다. EU나 일본이 DMA를 통해 '게이트키퍼'를 지정하는 방식과 유사한 방식. 한국에서 대부분의 매출과 데이터를 창출하는 기업을 '한국 시장 내 독점적 지배력을 가진 사업자'로 규정하고 그에 상응하는 책임을 부과하는 형태다. 이후에는 개인정보 보호, 공시, 국회 출석 등의 의무가 자연스럽게 따라오게 될 것이다.
아울러 국민 대다수의 개인정보 데이터를 다루는 플랫폼에 대해서는 그 데이터의 저장 및 국외 이전에 대한 규제를 강화하고, 보안 사고 발생 시 최고 의사결정권자의 국적을 불문하고 직접적인 법적 책임을 물 수 있어야 한다. 현재처럼 '미국 법인'이라는 이유로 책임이 회피되는 구조는 국가 안보 차원에서도 누수가 될 수 있다.
‘미국 법인‘의 성격에 걸맞게 ’집단소송을 통한 금융치료‘가 해법이라는 얘기도 나온다. 쿠팡이나 김 의장이 미국의 법인, 개인이어서 빠져나오려고 한다면 미국식 ’집단소송‘으로 응수하자는 것. 소송에 비용을 내고 참여하지 않더라도 판결이 나오면 관련 모든 피해자들이 배상받을 수 있는 ’집단소송‘제도는 ’징벌적 손해배상‘과 함께 지극히 ’미국적‘인 제도로 활용되고 있다. 실제로 경제협력개발기구(OECD) 38개 회원국 중 한국, 스위스, 튀르키예에서만 집단소송제도가 적용되지 않고 있다.
이번 쿠팡 사태는 한국의 경제, 규제, 안보 등 여러 영역의 취약점에 대해 경종을 울리고 있다. 데이터 주권과 소비자 보호, 건전한 시장조성이라는 국가의 여러 책무들이, 이번 사태 수습에 대한 국민들의 관심과 기대에 부응할 수 있기를, 진심으로 기원한다.
