쿠팡의 개인정보 유출 논란은 단순한 보안 사고를 넘어 한국 기업들이 정보보안을 어떻게 이해하고 있는지를 다시 묻는 사건이다. 쿠팡은 그동안 국내 유통기업 가운데 많은 정보보안 비용을 투입해온 회사로 평가받아 왔다. 과학기술정보통신부 발표 자료를 기준으로 2024년 삼성전자(2974억원), KT(1218억원) 다음으로 많은 돈을 정보보안에 투입했다.

그럼에도 불구하고 대규모 개인정보 유출 사고가 발생했다는 점은 많은 이들에게 의문을 남긴다. 돈을 이렇게까지 썼는데 왜 막지 못했을까. 이 질문의 핵심은 얼마를 썼느냐가 아니라 어디에, 어떻게 썼느냐에 있다.

국내 기업의 정보보안 투자는 여전히 시스템 구축과 솔루션 도입 중심에 머무는 경우가 많다. 방화벽, 침입탐지시스템, 암호화 솔루션, 인증 체계 등 눈에 보이는 인프라를 갖추는 데에는 비교적 과감하다. 그러나 실제 사고의 상당수는 이 인프라 바깥에서 발생한다. 내부 접근 권한 관리, 협력사·외주 인력 통제, 데이터 활용 과정에서의 통제 부실, 그리고 조직 문화 차원의 보안 인식 결여가 사고의 단초가 되는 경우가 적지 않다.

쿠팡 역시 방대한 고객 데이터를 기반으로 초고속 물류와 맞춤형 서비스를 구현해온 기업이다. 데이터 활용의 폭과 속도가 경쟁력의 핵심인 구조에서 보안은 언제나 속도를 늦추는 비용으로 인식되기 쉽다.

이때 보안 조직이 경영 의사결정의 중심에서 얼마나 발언권을 가졌는지가 중요해진다. 최고정보보호책임자(CISO)가 기술 책임자에 머무는지 아니면 경영진과 동등한 테이블에서 데이터 활용의 위험을 제어할 수 있었는지가 사고의 발생 가능성을 가른다.

또 하나 짚어볼 지점은 보안 투자 성과에 대한 평가 방식이다. 국내 기업 다수는 보안 사고가 발생하지 않으면 잘하고 있다고 평가한다. 그러나 사고가 없다는 것은 단지 운이 좋았다는 의미일 수도 있다. 공격 시나리오 기반 점검, 실제 침투를 가정한 훈련, 내부 통제 실패에 대한 사후 검증 같은 불편한 점검이 없었다면, 투자 규모와 무관하게 위험은 누적된다.

이번 쿠팡 사태는 정보보안이 더 이상 비용이나 홍보 지표가 아니라 경영의 질을 가늠하는 척도라는 점을 분명히 보여준다. 대규모 투자가 있었음에도 사고가 발생했다면 이제 질문은 바뀌어야 한다. '얼마를 썼는가'가 아니라 '경영진은 보안을 어떻게 통제했고 어떤 위험을 감수하도록 결정했는가'라는 질문에 답하지 않는 한 다음 사고는 또 다른 이름으로 반복될 수 있다.