투자할 때 ‘안전하다’는 말에 가장 경계해야 해요. 특히 요즘 같은 디지털 시대에 기업이 말하는 ‘안전’이 과연 진짜일지, 단지 보여주기 위한 ‘극장’일지는 꼼꼼히 살펴봐야 하죠. 쿠팡의 최근 개인정보 유출 사고와 그 후속 처리 과정은 이 ‘보안 극장(Security Theater)’의 전형적인 사례를 보여줘니다.
핵심은 단순한 투자액이 아니라, 그 예산이 얼마나 ‘실질적인 보안’으로 이어지는가예요.
기사에 따르면, 쿠팡은 작년 정보보호에 639억 원을 투자해 금융, 통신업계 1위 기업보다도 많았어요. 숫자만 보면 정말 안전할 것 같죠. 하지만 정작 문제는 기본적인 내부 보안 관리, 예를 들어 서명키 관리나 API 보안 점검 같은 데서 발생했어요. 결국 3370만 개에 달하는 개인정보가 유출되고, 15억 원이 넘는 과징금을 물게 된 거죠. 마케팅 출신으로 수많은 예산 편성 회의를 봐왔지만, ‘보여주기 위한’ 예산과 ‘실제 효과를 내는’ 예산은 분명히 다르답니다. 투자자로서 기업의 공시나 발표에서 이런 ‘숫자 과시’에 현혹되지 말고, 그 뒷면의 운영 실태에 주목해야 하는 이유예요.
인증서나 표준 획득도 ‘완벽한 안전’을 의미하지는 않아요.
쿠팡은 ISMS-P, ISO27001 같은 국제적 정보보호 인증까지 다 취득한 상태였죠. 하지만 전문가 지적처럼, 이 인증들도 제대로 운영·유지되지 않으면 의미가 퇴색할 수 있어요. 이건 마치 최고급 주방 설비를 갖췄지만, 위생 관리 기본 수칙을 지키지 않는 레스토랑과 비슷해요. 투자할 때 기업이 어떤 인증을 취득했는지 보는 것도 중요하지만, 그 인증이 실제 업무 프로세스에 어떻게 스며들어 있는지, 사소한 실수까지 막는 문화가 있는지가 더 중요하다고 생각해요. 특히 쿠팡처럼 글로벌하게 사업장이 분산된 기업은 접근 제어 같은 기본적인 관리가 훨씬 더 정교해야 한다는 점을 이번 사건이 잘 보여줍니다.
실전 투자자로서, 이번 사건이 주는 가장 큰 교훈은 ‘리스크 관리의 근본을 보라’는 거예요.
염흥열 교수님 말씀처럼 장기적으로는 실질적인 보안이 작동하는 관리체계가 중요하죠. 김휘강 교수님도 지적하셨듯, 기술적 투자 자체는 우월할 수 있지만, ‘주의 의무’를 다해 운영했는지가 핵심이에요. 제가 기업을 분석할 때는, 이런 사고 발생 후 기업의 대응을 유심히 봐요. 쿠팡이 “자발적·선제적 노력의 과정에서 발생한 사고”라고 호소한 부분은, 오히려 기본적인 관리 부재를 인정하지 않는 태도로 읽혔어요. 규제 당국이 이를 받아들이지 않고 엄중히 처분한 것은 당연한 판단이죠.
결국 투자 결정에서 ‘안전’은 가장 중요한 가치 중 하나예요. 하지만 그 안전이 단순한 광고 문구나 거대한 투자액 숫자에 기대어선 안 된다는 걸, 쿠팡의 이번 사건은 생생하게 일깨워줍니다. 앞으로 기업을 평가할 때는 ‘얼마나 많이 투자했는가’보다 ‘그 투자가 어떻게 우리 고객과 회사의 핵심 자산을 지키는 데 기여하는가’를 묻는 눈을 키워야 할 때인 것 같아요.
—
원문: [전자신문](https://www.etnews.com/20251203000042)