쿠팡, 美 SEC에 "보안 강화" 보고했지만…인력·투자비중 매년 줄여

대규모 고객 정보가 유출된 쿠팡이 미국 증권거래위원회(SEC)에는 ‘주기적으로 모의 보안 훈련을 실시해 사이버 사고 대응·복구 능력을 강화하고 있다’고 보고한 것으로 확인됐다. 그러나 실제로는 쿠팡의 정보기술(IT) 예산 대비 정보 보호 투자액 비중이 줄어들고 IT 인력 내 정보 보호 전담 인력 비율 역시 감소한 것으로 나타났다. 결국 대규모 개인정보 유출 사태까지 터지면서 쿠팡의 보안·운영 관리 전반에 허점이 드러났다는 지적이 나온다.

1일 미국 SEC에 쿠팡이 올해 2월 제출한 ‘10-K’ 보고서에 따르면 쿠팡은 사이버 보안 분야 위협이 날로 증가하고 있다며 “주기적으로(periodically) 사이버 테이블톱(Cyber Tabletop) 훈련을 실시해 사이버 사고에 대응하고 복구할 수 있는 능력을 강화하고 있다”고 밝혔다. 사이버 테이블톱 훈련은 사이버 위협에 대응하는 모의 보안 훈련으로 랜섬웨어, 피싱, 내부자 위협 등 다양한 사이버 공격 시나리오를 아우른다.

쿠팡의 모기업 쿠팡Inc는 미국 뉴욕증권거래소(NYSE)에 상장돼 10-K 보고서 등 각종 공시 의무가 있다.

쿠팡은 또 정보보호최고책임자(CISO) 산하에 약 200명의 전담 보안 인력이 정보 보안 업무를 수행하고 있으며 외부 컨설팅을 통한 전문 자문도 활용하고 있다고 밝혔다. 아울러 보안 관련 국제 인증을 매년 받고 있다는 점도 강조했다. 쿠팡이 사이버 테이블톱 훈련 내용과 구체적인 보안 인력 규모를 SEC 보고서에 공개한 것은 이번이 처음이다.

전 세계적으로 사이버 위협 우려가 커지면서 쿠팡이 올해 처음으로 SEC 보고서에 보안 관련 내용을 구체적으로 명시했지만 정작 실효성은 없었다는 지적이 나온다. 특히 쿠팡이 이번 개인정보 유출을 5개월간 알아채지 못했다는 점은 보안 프로세스가 제대로 작동하지 않았다는 방증으로 해석된다. 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원이 지난달 30일 쿠팡으로부터 제출받은 자료에서도 인증 담당자에게 발급되는 ‘서명키(토큰)’가 장기간 갱신되지 않은 채 방치돼 있었다는 정황이 확인됐다.

쿠팡의 정보 보안 관련 투자 금액과 인력 구성도 SEC 보고서에서 강조한 ‘사이버 보안 강화 기조’와는 정반대되는 흐름이다. 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 쿠팡은 올해 전체 IT 예산(약 1조 9171억 원)에서 약 890억 원(4.6%)을 정보 보호에 지출했다. 절대적 정보 보호 투자 금액 자체는 지난해보다 늘었지만 전체 예산 대비 비중은 △2022년 7.1% △2023년 6.9% △2024년 5.6%로 계속 감소하는 추세다. 지난해 쿠팡이 정보 보호 목적으로 투자한 금액도 약 660억 원으로 연 매출인 38조 2988억 원의 0.2%에 불과해 통상 매출의 0.4~0.5%를 투자한 네이버·카카오에 못 미쳤다.

아울러 쿠팡의 전체 IT 인력 대비 정보 보호 전담 인력 비중도 낮아지고 있다. 올해 전체 IT 인력(약 3077명) 중 정보 보호 전담 인력 비중은 내부·외주 인력을 포함해 약 212명(6.9%)을 기록했다. 이 역시 전담 인력 자체는 지난해(약 191명)보다 늘었지만 △2022년(7.4%) △2023년(7.3%) △2024년(7.5%) 등 이전 3년 동안 쭉 7%대를 유지하던 IT 인력 내 비중은 올해 처음으로 6%대로 떨어졌다.

쿠팡이 빠르게 덩치를 불리는 과정에서 내실 갖추기에는 소홀히 했다는 지적이 나오는 이유다. 이에 따라 국내는 물론 쿠팡의 모기업 쿠팡Inc가 상장된 미국 등 해외에서도 쿠팡에 책임을 물을 수 있다는 전망이 나온다. 한 자본시장 업계 관계자는 “상장된 미국 법인인 경우 정보와 관련된 보안 규정들을 충실히 지키지 않으면 미 당국이 제재를 할 수 있다”며 “이번 정보 유출에 대해 쿠팡이 책임을 지게 될 가능성을 배제할 수 없다”고 전했다.