CloudPNG

ºC

logo
IT/바이오

"개인정보 유출 전 주식 매도"…쿠팡, 임원 거래 논란 확산

강태호 기자
입력

대규모 개인정보 유출 사고를 겪고 있는 쿠팡에서 핵심 임원들이 사고 공식 발표 이전에 보유 주식을 대량 매도한 사실이 드러나면서, IT 플랫폼 기업의 내부정보 관리와 지배구조를 둘러싼 논란이 커지고 있다. 온라인 유통과 클라우드, 핀테크 등 디지털 사업 비중이 큰 쿠팡의 특성상 신뢰 훼손이 곧 서비스 이탈과 규제 리스크로 이어질 수 있어, 업계에서는 이번 사안을 빅테크 규율 체계 재점검의 분기점으로 보는 시각도 나온다.

 

미국 증권거래위원회 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자는 지난달 10일 쿠팡 주식 7만 5350주를 주당 29.0195달러에 매도했다. 총 매도액은 약 218만 6000달러 수준으로, 원화 기준 약 32억원에 해당하는 규모다. 쿠팡 측은 이 거래에 대해 2024년 12월 8일에 이미 수립된 계획에 따른 것이라며, 특정 세금 의무를 충족하기 위한 목적으로 미리 설계된 매도라고 해명했다.

또 다른 핵심 임원인 프라남 콜라리 전 부사장도 지난달 17일 약 2만 7388주를 77만 2000달러에 매도하겠다는 계획을 공시했다. 그는 쿠팡의 검색과 추천 시스템을 총괄하던 기술 리더로, 개인화 알고리즘과 쇼핑 데이터 분석 등 IT 핵심 인프라를 책임져 온 인물이다. 콜라리는 공시 직전인 지난달 14일 사임했으며, 해당 매도 계획이 실제 체결로 이어졌는지는 아직 확인되지 않았다.

 

시장의 시선이 쏠리는 지점은 이들 거래 시점이다. 두 건 모두 쿠팡이 개인정보 침해 사고를 공식적으로 인지했다고 밝힌 날짜보다 앞선 시점에 계획 또는 매도가 이뤄졌다. 빅테크 상장사에서 개인정보 사고는 중대한 기업가치 훼손 요인으로 평가되는 만큼, 사고 인지 여부와 시점, 그리고 임원들의 정보 접근 범위가 규제와 투자자 보호 차원에서 핵심 쟁점이 되는 구도다.

 

쿠팡은 지난달 18일 약 4500여 명 고객의 개인정보 유출 사실을 관계 당국에 신고했다. 이후 조사 과정에서 피해 규모는 약 3370만 개 계정으로 대폭 확대됐다고 발표했다. 국내에 기반을 둔 대형 이커머스 플랫폼 가운데 수천만 계정 단위의 침해가 확인된 것은 이례적이다. 유출된 정보는 이름, 이메일, 전화번호, 주소, 일부 주문 정보 등으로, 직접적인 결제 정보나 주민등록번호 등보다 규제 강도는 낮지만, 계정 탈취나 스미싱, 피싱 공격에 악용될 위험이 커 보인다.

 

최민희 국회 과학기술정보방송통신위원장실이 한국인터넷진흥원으로부터 제출받은 침해사고 신고서에 따르면 쿠팡은 지난달 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다. 그러나 실제 침해 사실을 인지한 시점은 12일이 지난 같은 달 18일 오후 10시 52분으로 기록돼, 사고 탐지 체계와 내부 보안 관제 역량을 둘러싼 비판도 함께 제기된다.

 

특히 이번 사건은 개인정보 보호와 더불어 자본시장 측면의 규제 이슈를 동시에 드러냈다. 미국 증시에 상장된 쿠팡은 미 증권법과 내부자 거래 규정을 적용받는다. 통상적으로 미국 상장사는 최고경영진이 미리 설정한 자동 매매 계획을 통해 주식을 매도하도록 설계하는데, 계획 수립 시점에 중대한 미공개 정보를 보유하고 있었는지 여부가 규제 판단의 핵심 요소가 된다. 쿠팡이 사전에 수립된 계획이라고 강조하는 이유도 여기에 있다.

 

다른 한편으로 플랫폼 비즈니스의 특성상 고객 데이터는 곧 핵심 자산이자 리스크 요인이다. 글로벌 IT 기업들은 반복되는 유출 사고를 계기로 보안 투자 확대, 데이터 마스킹과 익명화 기술 적용, 침입 탐지 자동화 시스템 고도화에 속도를 내고 있다. 쿠팡의 경우 수천만 명 규모의 거래, 배송, 검색 데이터가 쌓여 있어, 내부 접근 통제와 로그 분석, 이상 징후 조기 탐지 체계를 얼마나 정교하게 운영하는지가 향후 신뢰 회복의 핵심 과제로 떠오른 상황이다.

 

국내외 규제 환경도 점차 강화되는 추세다. 유럽에서는 일반개인정보보호규정 도입 이후 대형 IT 기업에 수억유로 단위 과징금을 부과한 사례가 잇따랐고, 미국에서도 연방거래위원회와 각 주 정부가 데이터 보호 의무 위반에 엄격히 대응하는 기조가 강화되고 있다. 한국에서도 개인정보보호위원회, 과학기술정보통신부, 한국인터넷진흥원 등이 대형 플랫폼의 보안 의무와 침해사고 통지 의무를 더욱 엄격히 적용하는 방향으로 제도 정비에 나설 가능성이 제기된다.

 

업계 관계자들은 이번 사안을 계기로 상장 IT 기업 임원들의 주식 매도 계획 투명성을 높이는 한편, 대규모 개인정보를 처리하는 플랫폼에 대한 상시 감독 체계가 강화될 것으로 보고 있다. 한 보안 전문가는 개인정보 유출과 임원 거래 논란이 동시에 불거지면 투자자와 이용자 신뢰가 복합적으로 훼손된다며, 기술적 보안 조치와 더불어 정보 공개, 내부자 통제, 사고 대응 프로세스 전반을 재설계해야 할 시점이라고 지적했다. 산업계는 쿠팡의 후속 조치와 규제 당국의 판단에 따라 국내 IT 플랫폼 규율 체계가 한 단계 더 엄격해질지 주시하고 있다.

강태호 기자
share-band
밴드
URL복사
#쿠팡#개인정보유출#sec공시