쿠팡 데이터 침해: 소비자 개인정보가 지정학적 문제가 될 때

데이터 침해가 단순한 데이터 침해에 그치지 않을 때

한국의 전자상거래 대기업 쿠팡에서 발생한 데이터 침해로 3,370만 명의 개인정보가 노출되었습니다. 그 숫자만으로도 충격적입니다. 그러나 침해 이후 전개된 상황은 소비자 개인정보 사고를 훨씬 더 이례적인 무언가로 변모시켰습니다. 바로 긴밀한 동맹국 사이의 지정학적 대립입니다.

보도에 따르면, 미국 정부는 서울이 미국 시민권자인 쿠팡 창업자 김범석에게 이번 침해와 관련한 법적 책임을 묻지 않겠다고 보장하지 않을 경우 한국과의 고위급 외교·국방 협의를 지연시킬 수 있다는 신호를 보낸 것으로 알려졌습니다. 이에 대응하여 한국 정부는 쿠팡 임원들을 대상으로 경찰 압수수색과 국회 소환을 포함한 대규모 정부 차원의 대응에 나섰습니다.

이번 침해 사고는 전직 직원에 의해 발생했으며, 외부 해킹이 아닌 내부자 위협 사건에 해당합니다. 이러한 구분은 사건의 발생 경위를 이해하는 데 중요하지만, 동의 없이 데이터가 노출된 수천만 명의 결과는 달라지지 않습니다.

아무도 이야기하려 하지 않는 책임의 문제

이번 사건에서 가장 명확하게 드러난 교훈 중 하나는, 강력한 이해관계가 걸려 있을 때 얼마나 빠르게 책임이 사라질 수 있는가 하는 점입니다. 대부분의 데이터 침해 사례에서 피해 이용자들은 책임 있는 기업이 실질적인 결과에 직면하게 될지를 불안하게 지켜봅니다. 규제 당국의 과징금, 경영진의 책임 추궁, 의무적인 보안 개선 조치는 기업들이 데이터 보호를 진지하게 여긴다는 일정한 확신을 주기 위한 장치입니다.

그러나 외교적 압력이 개입되면 이러한 책임 체계는 취약해집니다. 외국 정부의 로비를 통해 임원에 대한 법적 책임 위협이 사실상 제거된다면, 개인정보 보호법의 억제 효과는 상당히 약화됩니다. 방대한 양의 개인정보를 다루는 기업들은 심각한 침해가 심각한 결과를 초래한다는 사실을 인식해야 합니다. 지정학적 논리가 그 과정을 단절시킬 때, 그 대가를 치르는 것은 일반 이용자들입니다.

이것은 가상의 우려가 아닙니다. 이번 침해로 정보가 노출된 3,370만 명은 실존하는 개인들입니다. 그들의 이름, 연락처, 구매 내역, 그리고 잠재적으로 다른 민감한 데이터가 현재 행방을 알 수 없는 상태입니다. 그들의 머리 위에서 진행되는 외교적 책략은 그들의 위험을 조금도 줄여주지 않습니다.

이것이 여러분에게 의미하는 것

국제 전자상거래 플랫폼을 이용한다면, 이번 사건은 여러분이 데이터를 넘긴 이후 그것이 어디로 가는지, 누가 보호에 책임을 지는지에 대해 얼마나 가시성이 없는지를 상기시켜 주는 유용한 사례입니다.

쿠팡 같은 플랫폼에 계정을 만들 때, 여러분은 그 기업에 개인정보를 맡기는 것입니다. 또한 실질적인 의미에서, 그 플랫폼이 운영되는 모든 관할 지역이 실효성 있고 집행 가능한 개인정보 보호 규정을 갖추고 있다고 신뢰하는 것이기도 합니다. 이번 사건은 강력한 국내 집행조차도 외부로부터의 간섭에 직면할 수 있음을 보여줍니다.

VPN은 이번 침해로부터 쿠팡 이용자들을 보호하지 못했을 것입니다. 데이터는 전송 도중 탈취된 것이 아니라 기업 자체가 보유하고 있었기 때문입니다. VPN은 인터넷 서비스 제공업체나 다른 네트워크 수준의 관찰자로부터 인터넷 트래픽을 은폐하지만, 이미 기업에 넘긴 데이터를 그 기업이 어떻게 처리하는지와는 아무런 관련이 없습니다. 그렇지 않다고 주장하는 사람이 있다면 VPN 기술이 할 수 있는 것을 과장하는 것입니다.

중요한 것은 애초에 어떤 플랫폼에 데이터를 맡길지 선택적으로 판단하는 것입니다. 고려할 만한 몇 가지 실용적인 조치는 다음과 같습니다:

• 플랫폼마다 고유한 이메일 주소나 별칭을 사용하세요. 한 서비스에서 침해가 발생해도 다른 곳으로 연쇄되지 않습니다.
• 명확하고 지속적인 필요가 없는 한 판매자에게 결제 정보를 저장하지 마세요.
• 유출된 데이터셋에 본인 계정 정보가 나타나면 알려주는 침해 알림 서비스를 모니터링하세요.
• 앱과 플랫폼의 계정 권한을 정기적으로 검토하고, 더 이상 사용하지 않는 계정은 삭제하세요.
• 더 깊은 프로파일링을 대가로 사소한 혜택을 제공하는 멤버십 프로그램이나 선택적 데이터 공유에 대해 회의적인 시각을 가지세요.

국경을 초월한 개인정보 보호에는 구조적 취약점이 있습니다

이번 사건은 국제적 개인정보 보호 체계가 작동하는 방식에 존재하는 실질적인 공백도 드러냅니다. 유럽의 GDPR이나 한국의 개인정보 보호법과 같은 법률은 특정 관할권 내에서 기업의 책임을 묻도록 설계되어 있습니다. 그러나 외국 정부가 적극적으로 집행을 막으려 압력을 가하는 시나리오는 염두에 두고 만들어진 것이 아닙니다.

더 많은 기업들이 글로벌하게 운영되고 더 많은 이용자들이 국경을 넘어 데이터를 공유함에 따라, 그 데이터를 보호할 궁극적인 책임이 누구에게 있는지를 답하기가 점점 더 어려워지고 있습니다. 독립적으로는 잘 작동하는 규제 체계도 외교 관계, 무역 협상, 또는 안보 동맹과 교차할 때 실패할 수 있습니다.

소비자에게 솔직하게 말하자면, 데이터가 국경을 자유롭게 넘나들고 책임이 외교 협상에서 거래될 수 있는 세상에서 단 하나의 도구나 습관이 여러분을 완전히 보호해 줄 수는 없습니다. 그러나 누가 여러분의 데이터를 보유하고 있는지, 그리고 왜 그런지에 대한 합리적인 회의주의는 출발점으로서 충분히 타당합니다. 쿠팡 침해 사건은 소비자 개인정보가 단순히 기술적인 문제가 아니라는 사실을 상기시켜 줍니다. 그것은 정치적인 문제이기도 하며, 일반 이용자들은 그 차이를 이해할 자격이 있습니다.