29> 쿠팡 사태의 이면은 무엇일까?
by
Dec 30. 2025
국내 최대 온라인 유통 미국기업에서 사상 최대 규모의 개인 정보 유출 사건이 터졌다. 일반 국민들은 사건 초창기에 외부 익명(匿名)의 해킹 조직에 의한 정보 유출로 오인했다. 그런데 사건 내용을 조사하면서 나오는 결과는 매우 엉뚱한 내용이다. 전직 쿠팡의 중국인 직원이 범인이고, 최초 해킹 발생일이 2025년 6월 24일이다. 이후 계속적으로 불법적인 접근과 정보자료의 검색 및 유출이 이루어지고 있었음에도 쿠팡은 전혀 인식하지 못했다. 이 범인은 쿠팡의 회원들에게 비밀번호가 누출되었다는 사실을 알리기도 하고, 더욱이 쿠팡 측에 보안 강화를 요구하지 않으면 유출사실을 언론에 알리겠다고 협박 메일까지 보냈다. 그러면서 중국인 해커는 금전을 요구하지도 않았다. 어둠의 해커나 통상적인 랜섬웨어 공격자, 데이터 장사꾼들이라면 으레 돈이나 암호 화폐를 요구했을 것이다. 그런데 그는 "보안을 강화하라"는 훈계를 하면서 그렇지 않으면 언론사에 제보하겠다고 협박했다. 이것은 무엇을 의미하는가? 통상의 해킹 범죄와 다른 양상이다. 마치 어린 학생 중 해킹 솜씨가 뛰어난 아이들이 자기 기술을 자랑하고, 상대를 조롱하기 위한 그런 행태 같다. 이번 정보 누출로 아직 아무런 피해 사실이 없어서 모두 다행으로 생각하는지 모르지만 필자 금삿갓은 아연(啞然) 하지 않을 수 없다.
범인의 해킹 목적이 상궤(常軌)를 벗어나 있기 때문이다. 또한 해킹을 당한 쿠팡 측의 대응도 또한 해괴(駭怪) 하기 이를 데 없다. 무려 3,370만 건에 달하는 개인 정보가 유출되었는데도 대응하는 자세가 안일하지 그지없다. 마치 남의 집 불구경하면서 훈수를 두는 것 같다. 기업이 미국법인이어서 한국에서 별도 대응을 하지 않아도 된다고 생각한 것일까? 미국은 주마다 개인정보 보호법의 규정이 달라서 일률적으로 말할 수 없지만, 캘리포니아주는 유출된 정보의 경중에 따라서 건당 최저 2,500$에서 최고 7,500$의 과태료 대상이다. 2021년 독일기업인 T-Mobile이 고객 약 7,660만 명의 이름, 생년월일, 사회보장번호(SSN) 등 민감 정보 유출했다. 그때 정부의 과징금 이외에도 고객의 집단 소송으로 3.5억$의 배상금을 물고, 향후 2년간 1.5억$ 사이버 보안 투자를 해야 했다. 메타(Meta)는 2023년 아일랜드 정보보호위원회로부터 개인정보보호법 위반으로 12억 유로(당시 한화 1.7조 원)의 과징금을 부과받았다. 이건 정보 유출이라기보다 개인정보 보호 기준을 충족하지 못했다는 것을 이유로 부과한 것인데 어마어마한 금액이다. 2024년에는 메타의 마켓플레이스가 경쟁 서비스에 비해 부당하게 유리한 거래 환경을 조성했다는 반독점법 위반으로 EU집행위원회로부터 7.97억 유로(당시 한화 1.18조 원)의 과징금을 맞았다. 우리나라의 처벌이나 소송 배상금액이 너무 솜방망이 수준이어서 그런 것일까?
대규모 정보 유출을 대하는 정부의 대응도 석연하지 않고, 여야 정치권도 눈 감고 아웅 하는 흉내만 내는 것 같고, 수사 당국의 대처는 하세월(何歲月)이라서 당초부터 믿음이 덜하다. 재미있는 건 당한 측인 쿠팡이 가해자인 범인과 접촉을 하여 대화를 시도한다는 것이다. 사법 기관이 범인 인도를 조속히 해서 속 시원한 결말을 내놔야 할 판에 당사자들끼리 쑥덕거리고 있는 형국이다. 범인이 중국인이고 현 정권이 친중국이라서 대놓고 중국의 심기를 못 건드려서 그럴 거라는 시중의 여론이 비등하다. 국민들이 정보 유출로 잠재적 피해 선상에 놓여 있는데도 중국 당국에 ‘세세(謝謝)’하면 되는가? 그러니까 시중에는 이런 음모론(陰謀論)이 돌아다닌다. 범행의 목적인 금전이 아니라 기업 평판의 파괴일지도 모른다는 것이다. 기업의 도덕성에 치명상을 입혀 미래의 가치를 훼손하려는 것이다. 이것이야 말로 고도의 심리전이고, 전형적인 공작 정치 수법이다. 도대체 누가, 왜, 이 시점에 쿠팡을 '악의 축'으로 만들려 하는가? 음모론자들에 따르면 치밀하게 계획되고 의도된 한국의 유통 주도권 약탈 전략이란다. 중국의 거대 유통 기업들이 중국 경제의 불황을 타개하고, 자국의 재고 물량을 손쉽게 한국 시장에 쏟아부을 수 있는 전진 기지를 만들기 위한 진지 구축 작전으로 본다. 이미 알리·테무 등이 틈새시장을 진입하여 어느 정도 구멍을 열었으니, 지금부터는 대규모 폭탄을 투하하기 위해 상대 진영을 흠집 내어 균열을 일으키는 전략이다.
쿠팡이 어떻게 한국 시장에서 급속 성장했는지는 그 과정이 잘 알려져 있다. 적자에도 불구하고 대규모 투자로 플랫폼을 장악하면 그다음은 앉아서 장사할 수 있는 구조다. 쿠팡은 슬로건이 바로 ‘로켓배송’이고, 이 슬로건 아래 ‘쿠팡 없는 세상에서는 어떻게 살았을까?’라는 것이다. 이는 편리함에 안주하려는 인간 속성을 심리적으로 간파한 경영 전략이다. 이제 이런 전략을 다른 거대 공룡들이 나타나서 다시 재구축하려는 것이란다. 기회는 현재의 친중국 정권과 손발을 잘 맞춰주는 친노동 정치권, 권력화된 민노총의 삼각 편대가 공고(鞏固)한 지금이 적기(適期)라고 본 것이란다. 일견 상황이 비슷한 것도 같다. 수출이 막히고, 내수(內需)가 죽어버린 중국 공산당에게 한국 시장은 재고를 털어내고 경제 영토를 확장할 수 있는 최고의 먹잇감이다. 여기에 새벽 노동을 악마화한 민노총과 쿠팡 노조의 갈등 및 탈퇴 관계도 한몫을 할 것으로 본다. 한국은 30년간 대중국 무역 흑자가 2023년에 180억$ 적자가 되더니 적자가 고착화되었다. 이런 상황에도 친중 정권은 중국의 허접한 재고품을 마구 유통하여 국내 소상공인의 생존권을 위협하는 중국 플랫폼 규제에는 놀라울 정도로 소극적이다. 이런 상황들이 민심의 음모론에 힘을 실을 수밖에 없다.
쿠팡은 한국의 입장에서는 다국적 기업이다. 그러다 보니 각국 노동자를 고용한다. 이번 사태의 범인도 중국인이다. 국내 유통을 위한 물류 관련 종사자와 관리 종사자 등을 제외한 개발자나 특수한 직열(職列)의 근로자들은 각자 살고 있는 곳에서 재택 근무하는 구조이다. 중국 근로자는 중국에서 근로하고, 심지어 북한의 근로자도 평양에서 근로할 수도 있다. 일전에 아마존(Amazon)이나 미국 정보 당국의 발표에 따르면 미국 빅테크(Big Tech) 기업인 아마존에 북한 젊은이들이 몰리고 있다. 북한 공작원(工作員)으로 의심되는 입사 지원자가 지난해 4월부터 최근까지 1,800명에 달했다고 아마존이 며칠 전 밝혔다. 대부분 출근하지 않는 비대면 재택근무를 하는 개발 직종에 지원했다. 구인구직용 소셜미디어인 링크트인(Linked-in) 휴면(休眠) 계정으로 가짜 프로필을 만든 뒤 신분증까지 꾸며 미국인 행세를 했다고 한다. 북한이 위장취업 요원들을 아마존에 집중 투입한 건 고액 연봉 때문만이 아니다. 쇼핑 결제 클라우드 등 서비스를 하는 아마존의 내부자가 되면 민감한 개인정보를 빼내 2차 수익도 올릴 수 있기 때문이란 분석이 많다. 미국 정보 당국이 파악한 바에 따르면, Fortune 지 선정 500대 기업에 북한 정보기술(IT) 인력 수천 명이 침투해 있는 것으로 보인다. 이들이 벌어들이는 외화도 연간 8000억 원에 달한다는 게 유엔의 추산이다. 4억 원 넘는 연봉을 받는 사람도 있다. 수입의 90%를 북한 당국에 상납한다고 하지만 10%만 챙기더라도 북한의 1인당 국민총소득(171만 원)보다 수십 배가 많다. 이들은 미국에서 재택근무 하는 것처럼 꾸미기 위해 현지인 공범까지 매수해 회사 PC를 그들의 집에 두고 중국·러시아 등지에서 원격으로 접속한단다. 심지어 미국의 한 사이버보안회사조차도 감쪽같이 속아 북한 기술자를 고용했던 경험이 있단다.
<노트북 농장(Laptop farms)>