CloudPNG

ºC

logo
IT/바이오

개인정보 유출 앞두고 임원 주식 매도…쿠팡, 내부통제 도마 위

임서진 기자
입력

쿠팡의 대규모 개인정보 유출 사고가 IT 보안 이슈를 넘어 자본시장 규율과 기업 내부통제 논쟁으로 번지고 있다. 회사가 3370만개 계정에 대한 개인정보 침해 사실을 공식 발표하기 전에 주요 임원들이 수백만달러 규모의 보유 주식을 매도한 정황이 확인되면서, 사고 대응 체계뿐 아니라 내부 정보 관리 프로세스 전반에 대한 검증 필요성이 부각되는 분위기다. 플랫폼 기반 전자상거래 기업에서 보안 리스크와 지배구조 리스크가 동시에 표면화된 사례로, 향후 글로벌 빅테크 규제와 맞물려 IT 산업 전반의 거버넌스 기준을 자극할 수 있다는 관측도 나온다.  

 

미 증권거래위원회 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자는 지난달 10일 쿠팡Inc 보유 주식 7만 5350주를 처분했다. 매도 단가는 29.0195달러로, 총 매도액은 약 218만6000달러 규모다. 이어 지난달 17일에는 검색·추천 부문을 총괄하던 핵심 기술 임원이었던 프라남 콜라리 전 부사장이 2만 7388주를 약 77만2000달러에 매도했다고 신고했다. 재무 책임자와 주요 기술 임원이 연달아 지분을 줄인 시점이 개인정보 유출 사고의 대외 인지 및 공시 이전이라는 점에서, 시장에서는 우연인지 사전 인지에 따른 선택인지 여부를 둘러싼 의문이 제기되고 있다.  

쿠팡은 지난달 18일 약 4500여명의 개인정보 유출 사실을 관계 당국에 우선 신고한 뒤, 내부 조사와 보완 조치를 거치며 유출 피해 규모를 약 3370만개 계정으로 확대 발표했다. 유출된 데이터에는 이름, 이메일, 전화번호, 주소, 일부 주문 정보 등 전자상거래 서비스에서 핵심 식별 정보로 쓰이는 항목이 포함된 것으로 알려졌다. 대규모 계정 기반 플랫폼에서 이 정도 규모의 데이터가 한 번에 외부로 노출됐다는 점은, 단순한 단일 해킹 사건이 아니라 계정 관리 아키텍처와 접근통제 정책 전반을 재점검해야 할 수준의 사고로 받아들여지는 분위기다.  

 

국회 과학기술정보방송통신위원장실이 한국인터넷진흥원으로부터 제출받은 침해사고 신고서 내용을 보면, 쿠팡은 지난달 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다. 다만 회사가 침해 사실을 실제로 인지한 시점으로 기재한 날짜는 12일이 지난 같은달 18일 오후 10시 52분이다. 공격 발생 시점과 내부 인지 시점 사이의 시간 차가 10일을 넘긴 셈으로, 클라우드 기반 대형 플랫폼 사업자로서 보안 관제와 이상 징후 탐지 체계가 적시에 작동했는지에 대한 기술적 검증 필요성이 제기된다.  

 

특히 사고 인지와 공시 시점을 둘러싼 일정은 자본시장 규율 측면에서도 해석의 여지가 있는 대목이다. 미국 상장사는 중대한 비재무 리스크 정보도 투자 판단에 영향을 줄 수 있는 요소로 간주되는 만큼, 대규모 개인정보 유출과 같은 보안 사고가 적시에 공시돼야 한다는 요구가 높다. 임원 주식 매도 시점이 사고 발생 이후, 공식 인지 이전 기간에 걸쳐 있는 만큼, SEC가 내부 정보를 활용한 거래 여부를 들여다볼 수 있다는 관측도 제기되고 있다. 다만 실제로 내부자 거래로 판단되려면, 임원들이 사고의 내용과 재무적 파급을 구체적으로 알고 있었는지가 핵심 쟁점이 될 것으로 보인다.  

 

IT·바이오 융합 비즈니스 관점에서 보면, 이번 사안은 개인정보를 기반으로 한 서비스 기업이 맞닥뜨릴 수 있는 복합 리스크를 보여준다. 전자상거래 플랫폼은 유전체 데이터나 의료 데이터처럼 민감도 높은 정보는 다루지 않더라도, 대규모 식별 정보와 행동 데이터를 축적한다는 점에서 정밀 마케팅, 디지털 헬스케어 연계 서비스 등의 기반이 된다. 이 과정에서 데이터 유출이 발생하면, 단기적인 보안 비용과 소송 리스크를 넘어 장기적인 데이터 자산 가치와 신규 서비스 확장 전략에도 차질을 줄 수 있다.  

 

해외에서는 빅테크 기업들의 보안 사고가 반복되면서, 단순한 기술 규제 수준을 넘어 경영진 책임을 제도적으로 강화하는 흐름이 나타나고 있다. 미국과 유럽에서는 개인정보 유출 규모와 고의·중과실 여부에 따라, 매출 대비 일정 비율의 과징금을 부과하거나, 이사회 차원에서 보안 전문가를 반드시 포함하도록 하는 논의가 이어지고 있다. 쿠팡 사례와 같이 보안 사고와 임원 주식거래 이슈가 겹치는 경우, 규제당국이 지배구조와 보안 통제를 하나의 축으로 보고 감독 강도를 높일 가능성도 거론된다.  

 

국내에서는 개인정보보호법과 정보통신망법을 중심으로 침해사고 통지와 신고 의무가 규정돼 있으며, 일정 규모 이상의 유출이 발생하면 한국인터넷진흥원과 관계 부처가 사실관계를 점검한다. 향후 조사 결과에 따라 쿠팡이 취해야 할 추가 보호조치와 제재 수위가 가늠될 전망이다. 동시에 상장사 내부자 거래 관련 규율은 미국 규정을 직접 적용받는 구조인 만큼, SEC의 해석과 대응 방향이 IT 플랫폼 기업 전반의 내부통제 기준에 영향을 줄 여지도 있다.  

 

플랫폼 산업계에서는 이번 사건이 실질적인 보안 투자 확대와 데이터 거버넌스 재정비의 계기가 될 수 있다는 분석도 나온다. 단기적으로는 침해사고 조사와 사고 재발 방지 대책 마련에 비용 부담이 크겠지만, 장기적으로는 보안 관제 자동화, 계정 비정상 행위 탐지 고도화, 개인정보 최소 수집 설계 등 기술적·제도적 조치가 업계 전반으로 확산될 가능성도 있다. 산업계는 쿠팡의 후속 조치와 감독당국의 판단이 향후 데이터 중심 비즈니스의 신뢰 기준을 어디까지 끌어올릴지 주시하고 있다.

임서진 기자
share-band
밴드
URL복사
#쿠팡#개인정보유출#sec공시