한국서 터진 사고, 내부통제 맡은 美법인은 침묵…쿠팡, 지배구조 '도마'

한국서 3370만건 유출됐지만
美 본사 이사회·최대주주 침묵
보안 설계·예산 결정은 미국
법적 책임은 한국 법인이 떠안아

국내 e커머스 1위 기업 쿠팡에서 3370만건 규모의 고객 개인정보가 유출되면서 미국 나스닥 상장사인 모회사 쿠팡 Inc 이사회와 '오너' 김범석 의장의 책임론이 확산하고 있다. 퇴직자 소행으로 알려진 고객 정보 무단 조회가 벌어진 수개월간 내부통제 시스템이 전혀 작동하지 않은 데다, 경찰 수사를 이유로 사태 수습을 사실상 방치하면서다. 리스크 관리 감독 기능이 사실상 미국 본사 이사회와 그 산하 감사위원회에 집중된 지배구조가 원인으로 지목된다.

2일 업계와 공시자료를 보면 쿠팡의 사업과 매출, 데이터의 대부분은 한국에 있다. 전체 매출의 90% 이상, 9만여명의 직원, 3000만명이 넘는 이용자 모두 한국에 집중됐다. 그런데도 그룹 최상위 지배구조인 쿠팡 Inc 이사회는 김범석 의장을 비롯해 미국·브라질·인도계 등 외국인 8명으로만 구성된 것으로 나타났다.

이사회 구성은 화려하다. 미국 반도체 설계기업 ARM의 최고재무책임자(CFO) 제이슨 차일드 수석 독립이사, 미국 핀테크(금융+기술)기업 브렉스(Brex) 공동창업자 페드로 프란체스키, 실리콘밸리 투자사 그리노크스캐피털 창립자 닐 메타, 메타 출신 아샤 샤르마 등 글로벌 IT·금융·테크 업계 경력자가 포진했다.

하지만 한국에서 벌어진 사상 최대급 개인정보 유출 사태 앞에서 이사회는 침묵을 이어가고 있다. "한국에서 사업하고, 미국에서 통제하는 시스템이 위기 상황에서는 책임 공백으로 이어졌다"는 비판이 나오는 이유다.

이사회 산하 감사위원회, '최종 관문' 역할 했나

쿠팡은 한국 법인이 개인정보보호법의 직접 규제 대상이며 처벌·과징금 등 법적 책임도 한국 법인이 진다. 하지만 실제 보안 체계 구성, 보안 투자 판단, 리스크 관리 전략 등 핵심 결정은 쿠팡 Inc 차원에서 이뤄진다.

쿠팡 Inc 이사회 산하에는 사이버보안을 공식적으로 감독하는 감사위원회가 있다. 위원은 제이슨 차일드(위원장), 벤저민 선, 암베린 투바시 등 3명이다. 제이슨 차일드 위원장은 글로벌 테크기업에서 잇따라 CFO를 맡아온 재무·리스크관리 전문가다. 차일드 위원장은 2022년 4월 쿠팡 이사회에 합류했으며, 보안·관측 기술기업 스플렁크 등 여러 기업에서 CFO를 지냈다. 선 위원은 뉴욕 벤처투자사 프라이머리 벤처 파트너스 공동창업자이며, 투바시 위원은 미국 협업 플랫폼 기업 에어테이블 CFO를 지낸 글로벌 테크기업 재무·전략 전문가다.

감사위원회 헌장에 따르면 이들은 내부통제, 정보보안·개인정보보호 정책, 데이터 리스크, 내부고발 조사 프로세스, 전사적 리스크관리(ERM) 등을 감독해야 한다. 경영진이 수립한 사이버 정책과 사고 대응 계획을 점검하고, 최고정보보호책임자(CISO)와 정기적으로 만나 위협 상황을 보고받는 것도 책무다.

그럼에도 불구하고 이번 유출 사건에서는 퇴사자 계정이 한 달 이상 비활성화되지 않은 채 남아 있었고, 해외 IP에서의 대량 조회 시도도 탐지되지 않았다. 유출이 5개월 동안 지속됐지만 경보 시스템이 제대로 작동했다는 정황도 없다. 기본적인 계정·권한 관리, 이상징후 탐지 등 핵심 통제가 연쇄적으로 무너졌다는 지적이 제기된다. 그룹 차원의 보안 체계를 설계하고 리스크를 감독해야 할 최상위 주체가 쿠팡 Inc 이사회라는 점에서 이사회에 대한 비판이 나오는 이유다.

최근 미국과 유럽에서는 사이버보안·개인정보 보호를 이사회 차원의 핵심 거버넌스 의제로 다루고 있다. 규제당국 제재와 주주소송 리스크에 직면하는 사례가 잇따르고 있어서다. 패트릭 니만 EY 미주 이사회자문센터 리더는 "대규모 데이터 인프라를 보유한 기업일수록 AI·사이버보안 등 기술 리스크를 이사회가 얼마나 주도적으로 감독하느냐가 기업 신뢰와 직결된다"며 "개인정보 보호 원칙을 제대로 갖추지 못하면 단 한 번의 사고로 기업 전체가 흔들릴 수 있다"고 분석했다.

김범석 의장 침묵, '리더십 공백'

특히 쿠팡 Inc 이사회 의장이자 최고경영자(CEO)인 김범석 의장은 이번 사태와 관련해 아직 공식 입장을 내지 않았다. 김 의장은 2021년 한국 법인 쿠팡의 이사회 의장과 등기이사직에서 물러났지만, 쿠팡 Inc 의장직을 유지하고 있다. 74.3%에 달하는 의결권도 보유해 한국 법인을 실질적으로 지배하는 위치다.

분기 실적 발표 후 열리는 콘퍼런스콜에서 투자자들에게 향후 사업 전략과 실적 전망을 직접 설명하는 '얼굴'도 김 의장이다. "쿠팡의 실질적 수장은 한국 법인이 아닌 미국 본사의 김범석 의장"이라는 지적이 나오는 이유다.

하지만 정작 사고가 터질 때마다 김 의장은 뒤로 빠져있다는 지적이 나왔다. 이번 사태에서도 한국 법인인 박대준 대표가 고개를 숙이고 대국민 사과문을 발표했다. 지난해 국정감사에서도 김 의장은 증인으로 채택됐지만 '해외 체류'를 이유로 불출석했다. 공정거래위원회의 대기업 동일인 지정에서도 김 의장은 제외됐다. 국내 대기업 오너들이 부담하는 수준의 법적 책임과 공시 의무에선 비켜나 있는 셈이다.

임혜선 기자 lhsro@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>