대규모 정보 유출 사고를 낸 쿠팡의 대응을 보며 머릿속을 떠나지 않는 질문이다. 쿠팡의 발표를 요약하면 이렇다. 내부 유출자를 특정했고, 만나서 자백도 받았고, 범행에 사용한 기기도 회수했단다. 발표 주체가 쿠팡이 아닌 경찰이나 정부 기관이었다면 뒤따를 소식은 당연히 ‘범인 검거’였을 것이다. 하지만 유출 피해 당사자인 우리, 즉 소비자가 마주한 것은 쿠팡의 모호한 해명뿐이다.
개인정보 유출은 단순한 도난 사고보다 대응하기가 훨씬 까다롭다. 기업이 공지하기 전까지 소비자는 피해 사실조차 알기 어렵고, 유출된 데이터는 보이스피싱이나 부정 결제 같은 2차 피해로 이어질 수 있는 시한폭탄이다. 특히 이번 사건은 공동현관 비밀번호가 포함됐다는 점에서 대중의 공포를 자극했다. 개인이 할 수 있는 일은 고작 ‘탈퇴하기’가 최선이다. 사고 뒷수습은 오롯이 기업과 정부의 처분에 의존해야 하기에 소비자의 답답함은 무력감으로 변한 지 오래다.
쿠팡은 사과보다 사태 축소에 급급한 모습이다. 유출 규모를 3300만건에서 돌연 3000건으로 축소 발표했고, 그마저도 외부로 유출되지 않았다고 주장했다. 하지만 수사기관이 아닌 기업의 자체 발표를 대중이 선뜻 신뢰하기는 어렵다. 조사 경위에 대한 쿠팡의 설명도 설득력이 약하다. 직접 경찰에 고발까지 한 범인을 만나면서 정작 수사 공조는 뒷전으로 미뤘다. 국가정보원과의 협력을 방패 삼아 과정을 불투명하게 처리한 것을 볼 때 쿠팡이 한국의 수사 시스템마저 가볍게 여긴 것 아닌지 의문이다.
이후 쿠팡이 내놓은 메시지는 점입가경이다. 구매이용권으로 1인당 5만원씩, 총 1조 7000억원을 지급하겠다는 보상안은 소비자들로부터 ‘평상시 주던 웰컴 쿠폰보다 못하다’는 냉소를 받았다. 국회 청문회에서 한국 쿠팡의 수장이 ‘왜 정부와 기업 간의 성공적인 협력 사례를 알리지 않으려 하냐’고 말한 것은 훈계로 보였고, 쿠팡이 국민과 국회를 대하는 오만의 정점이라는 지적이 나왔다.
쿠팡이 정말 국내 소비자를 최우선으로 생각하는지 의심스럽다. 사태 직후 “쿠팡이 경쟁자가 없는 시장 지위를 누리고 있고 한국 고객은 데이터 유출에 덜 민감해 보인다. 잠재적 고객의 이탈은 제한적일 것”이라고 평가한 JP모건의 보고서는 뼈아픈 현실을 꼬집는다. 기업의 허술한 관리로 소비자의 정보 주권이 무력화되는 사이, 쿠팡은 독점적 지위를 믿고 ‘탈팡’ 계산기를 두드리며 배짱 대응을 이어 가고 있다.
정부와 국회가 징벌적 손해배상이나 영업정지를 거론하지만 단순히 ‘기업 벌주기’에 그쳐선 안 된다. 쿠팡이 연간 40조원을 버는 국내 최대 쇼핑 플랫폼으로 성장한 배경엔 규제 차익이 존재한다. 대형마트가 유통산업발전법에 묶여 있을 때 쿠팡은 전자상거래라는 지위를 이용해 새벽 배송 시장을 장악했다. 이제라도 온라인플랫폼법 등 입법을 통해 기울어진 운동장을 바로잡고, 플랫폼의 책임을 강화해야 한다.
