쿠팡의 대규모 개인정보 유출 사태를 다루기 위해 국회가 6개 상임위원회가 참여하는 연석청문회를 연다. 주관은 과학기술방송정보통신위원회(과방위)이며, 국토교통위원회, 기후에너지환경노동위원회, 기획재정위원회, 외교통일위원회, 정무위원회가 함께 참여한다. 청문회는 30일부터 31일까지 이틀간 진행되며, 더불어민주당 주도로 추진됐다.

청문회가 겨냥한 사안은 쿠팡에서 2025년 6월 24일부터 11월 중순까지 약 5개월 동안 3,370만 개 고객 계정 정보가 외부로 유출된 사건이다. 유출 규모는 쿠팡의 활성 고객(약 2,470만 명) 추정치를 웃도는 수준으로, 성인 인구의 상당 부분이 잠재적 2차 피해 위험에 노출됐다는 평가가 나온다. 다만 이번 연석청문회에서는 개인정보 침해와 별개로 물류센터 안전과 산재 신고 체계 문제도 함께 거론되면서, 플랫폼 기업의 리스크가 소비자 피해와 노동환경 이슈로 동시에 확장되는 양상을 드러냈다.

침해 경위와 피해 성격- 내부통제 실패가 대규모 유출로 번졌다

이번 침해는 ‘외부 고도 해킹’보다 퇴직자 권한 회수와 인증 체계 관리의 허점이 먼저 지목된다. 전직 직원으로 거론되는 인물이 과거 접근 가능한 인증 관련 보안 키 또는 서명 체계를 악용했는데도, 핵심 권한·비밀정보의 회수와 재발급, 접근 통제의 최소화가 제대로 작동했는지가 쟁점으로 떠올랐다. 이상 접근이 장기간 누적되는 동안 내부 관제가 즉시 차단하지 못했다는 점은, 로그 무결성과 이상 징후 탐지 같은 기본 방어선이 현장에서 작동했는지까지 묻는다.

유출 정보는 고객명, 이메일, 배송지 주소, 배송지 전화번호, 주문 이력 등으로 알려졌다. 결제 정보가 제외됐다는 설명이 사실이더라도, 주소·연락처·주문 내역은 피싱·스미싱과 배송 사칭, 대리 수령 사기 같은 사회공학 범죄에 곧바로 악용될 수 있어 2차 피해 위험이 크다. 특히 주문 이력은 사기 메시지의 신뢰도를 높여 피해 정도를 키울 수 있다.

‘5만 원 보상’의 역풍-현금이 아닌 쿠폰

쿠팡이 제시한 보상 패키지는 총 5만 원 상당의 구매 이용권을 여러 카테고리로 나눠 제공하는 방식으로 알려졌다. 소비자 입장에서는 피해 회복의 성격보다 추가 구매를 전제로 한 ‘소비 촉진형’ 설계로 인식되기 쉬웠고, 여행·명품 플랫폼 등 비주력 서비스 이용을 조건으로 실질 혜택이 축소된다는 비판이 집중됐다.

탈퇴 고객까지 보상 대상에 포함된다고 하더라도, 이용권을 쓰려면 계정이 필요해 사실상 재가입을 유도하는 구조라는 지적도 나왔다. 보상안이 ‘피해 회복’의 메시지보다 ‘매출 방어’의 의도로 읽히는 순간, 보상 규모 자체가 크더라도 신뢰 회복 효과는 제한적일 수밖에 없다는 평가가 뒤따른다.

개인정보 유출에서 노동환경으로-청문회가 던진 ‘기업 리스크의 연결’

12월 30일부터 이틀간 열리는 국회 연석 청문회는 개인정보 유출뿐 아니라 불공정 거래, 노동환경 실태까지 포괄하는 형태로 설계된 것으로 알려졌다. 개인정보 침해가 단일 사건이 아니라 기업 지배구조, 내부통제, 현장 운영의 취약성과 맞물릴 수 있다는 문제의식이 반영된 셈이다.

이 과정에서 쿠팡 물류센터 산업재해와 관련된 합의서 조항이 다시 주목받고 있다. 정혜경 의원은 김영훈 고용노동부 장관에게 물류센터에서 응급으로 병원으로 이송된 사례 전반을 면밀히 조사해 산재 은폐가 있었는지 여부를 가려야 한다고 강하게 요구했다. 부제소 특약, 기밀유지 조항, 위반 시 민형사상 책임을 부담시키는 문구가 포함된 합의서는 산재의 ‘공식 통계’와 현장 체감 사이의 간극을 확대할 수 있다는 비판을 낳았다. 다만 산재사고와 관련한 기밀유지 조항이 산업안전보건법 제57조(산업재해 발생 은폐 금지) 등과 충돌한다고 판단될 경우, 해당 조항의 효력이 제한되거나 다툼의 대상이 될 여지가 있다는 해석도 가능하다. 또한 만약 이러한 합의서가 산재 신청이나 신고를 위축 또는 방해한 정황으로 확인된다면, 그 자체가 별도의 법적 쟁점으로 이어질 수 있다는 지적이 나온다.

정 의원은 청문회에서 119 구조출동 현황을 근거로 문제를 제기했다. 2022년부터 2025년 3분기까지 쿠팡 물류센터 관련 119 구조출동은 1,337건이며, 이 가운데 ‘중증’ 사유로 분류된 사례가 120건이라는 수치가 공개됐다. 정 의원은 이를 다른 주요 택배업체와 비교해 약 50% 많다고 주장하면서, 응급 이송 사례 중 산재로 공식 등록되지 않은 중대한 사고가 상당수 포함됐을 가능성을 제기했다. 정 의원은 관계 부처인 고용노동부의 김영훈 장관에게 즉각적이고 실효성 있는 조사 착수를 촉구했다.

사과와 답변 태도 논란, 규제 신뢰의 시험대로

쿠팡 개인정보 유출 사태는 국내 최대 플랫폼 기업이 직면한 ‘내부통제의 실패’가 어떻게 소비자 신뢰 붕괴와 규제 리스크, 나아가 노동환경 논쟁까지 연쇄적으로 확장되는지 보여준다. 국회 청문회 국면에서는 김범석 의장의 뒤늦은 사과와 함께, 해롤드 로저스 쿠팡 사장 및 임원진의 답변 태도를 두고 ‘법적 제재를 최소화하기 위한 방어적 커뮤니케이션’이라는 해석도 나온다. 다만 국회가 요구하는 자료 제출이나 핵심 질의에 대한 답변이 충분히 이뤄지지 않는다는 인식이 확산될 경우, 단기적으로는 책임 범위를 좁히는 데 유리해 보일지라도 한국에서의 규제 신뢰와 사업 정당성에 더 큰 부담으로 되돌아올 수 있다는 지적이 제기된다. 보상안이 여론을 달래는 데 그치지 않으려면, 침해 재발을 막는 검증 가능한 조치와 현장 운영에서 반복돼 온 리스크를 동시에 줄이는 구조적 처방이 뒤따라야 한다.