2025년은 유난히 개인정보 이슈가 많았던 시기였다. 디지털 경제가 일상인 현대 사회는, 개인정보보호는 어느 기업도 피해 갈 수 없는 시대적 과제임이 분명하다. 그러나 중요한 것은 사고가 있었느냐 없었느냐가 아니다. 사고를 대하는 기업의 태도와 소비자를 바라보는 관점이 신뢰의 향방을 가른다.
최근 쿠팡의 사례는 2024년에 발생한 카카오페이의 논란과 비교할 만하다. 두 기업 모두 수천만명의 국내 이용자를 보유한 대형 플랫폼이며, 개인정보 관리에 막중한 책임을 지고 있다. 핵심은 피해 규모가 아니라, 사고 이후의 대응과 자세다. 그리고 이 지점에서 두 기업의 차이는 극명하게 갈린다.
실제로 카카오페이의 사례는 외부 해킹이나 대규모 유출 사고가 아니었다. 개인정보 제3자 제공 과정에서의 절차와 동의 체계가 문제의 핵심이었다. 그럼에도 카카오페이는 이를 단순한 규제 해석의 문제로 축소하지 않았다. 금융 플랫폼으로서 소비자 신뢰가 가장 중요한 자산임을 분명히 인식하고, 당국 조사에 협조하며 책임 있는 태도를 견지했다.
특히 주목할 점은 기술적 설명이나 내부 논리 뒤에 숨지 않았다는 것이다. 이용자 동의 및 데이터 처리 구조 등 관리 체계 전반에 대한 점검 메시지를 반복적으로 전달했다. 소비자를 관리의 대상이 아니라 설명해야 할 주체로 대했다는 점에서 이 태도는 분명한 차별점을 보여준다.
반면 쿠팡의 사례는 사고의 성격부터 훨씬 중대했다. 외부 해킹이 아니라 내부 시스템 접근 권한을 이용한 비정상적인 접근 가능성이 제기되면서, 다수 고객의 개인정보가 열람될 수 있는 상황이 발생한 보안 사고였다. 사고 이후 초기 대응 과정에서 정보 제공은 제한적이었고, 책임 인식보다는 기술적 설명에 무게가 실린 인상을 주었다.
쿠팡은 결제 정보나 비밀번호는 유출되지 않았다고 강조했다. 그러나 소비자에게 주소, 주문 내역, 구매 패턴 정보는 결코 가벼운 정보가 아니다. 개인의 일상과 생활 반경을 그대로 반영하는 정보이기 때문이다. 피해의 실질적 감각은 기업이 아니라 소비자가 판단한다. 이 인식의 간극이 불신을 키웠다.
두 기업의 차이는 개인정보를 바라보는 관점에서 드러난다. 카카오페이는 개인정보를 활용 가능한 데이터가 아니라 보호해야 할 신뢰 자산으로 접근했다. 반면 쿠팡은 사고 이후에도 사후 해명과 수습에 머무는 인상을 지우지 못했다. 이러한 대응 방식의 차이는 조직 전반의 인식과 문화 차이로 해석될 수 있다.
글로벌 금융권에서는 보안을 기업 존립과 직결된 문제로 인식하는 리더십 기준이 분명히 존재한다. 제이피 모건 체이스(JP Morgan Chase)의 최고경영자인 제이미 다이먼(Jamie Dimon)은 보안을 단순한 규제 준수나 담당 부서만이 아니라, 최고경영자가 직접 책임지고 챙겨야 할 핵심 경영 리스크로 강조하고 있다. 원칙의 핵심은 사고 예방을 넘어, 침해 발생 시에도 피해를 최소화하고 신속히 회복할 수 있는 회복 탄력성(resilience)을 갖추는 것이다. 이를 위해 부족한 대응보다 과잉 대응이 낫다는 인식, 즉각적인 침해 사고 대응 역량, 다층적인 보안 체계와 지속적인 점검까지 모두 최고경영자의 책임 영역임을 분명히 한다.
소비자는 기업 내부에서 자신의 개인정보가 어떻게 관리되는지 알 수 없다. 단지 기업이 철저하게 관리하고 있을 것이란 믿음으로 정보를 제공할 뿐이다. 그렇기에 기업은 기술적 해명이나 일시적 조치가 아니라, 신뢰 회복을 통해 답할 수밖에 없다. 사고 이후 기업의 경쟁력은 기술 자체보다, 진정성 있는 문제 인식과 책임에 대한 태도로부터 나온다. 쿠팡 역시 앞으로의 대응과 변화 과정을 통해 신뢰를 어떻게 회복해 나갈지, 시장과 소비자는 지켜볼 것이다.
송민택 한양대 경영전문대학원 겸임교수 pascalsong@hanyang.ac.kr
