30일 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 쿠팡은 2014년 로켓배송 출범 이후 2023년까지 물류 인프라에 총 6조2000억원을 투자했다. 여기에 지난해 발표한 2026년까지의 추가 투자 계획(3조원)을 합산하면 총 물류 투자액은 10조원에 육박한다.
반면 정보보호 투자액은 외형 성장에 미치지 못했다. 쿠팡의 정보보호 투자액은 2022년 535억원, 2023년 632억원, 2024년 860억원으로 집계됐다. 절대 액수는 소폭 증가했으나 전체 IT 예산 대비 정보보호 투자 비중은 2022년 7.1%에서 2024년 4.6%로 오히려 감소했다. 회사의 매출 성장세를 보안 투자가 따라가지 못하는 모양새다.
'매출액 대비 보안 투자 비중'을 살펴보면 격차는 더욱 뚜렷하다. 지난해 사상 처음으로 연매출 317억달러(약 42조원)를 기록한 쿠팡의 매출 대비 보안 투자 비중은 약 0.2%에 불과하다.
이는 국내 주요 정보통신기술(ICT) 기업들과 비교해도 낮은 수준이다. 카카오와 SK텔레콤은 매년 매출의 약 0.7%를, 네이버와 KT는 0.4%를 보안에 투자하고 있다. 이들 기업 가운데 지난해 매출 규모가 26조4300억원으로 가장 큰 KT가 지난해 보안에 투입한 금액은 1250억원에 달한다. 쿠팡보다 1.5배가량 많다. 국내 1위 이커머스 기업이라는 위상에 비해 보안 투자 비중은 상대적으로 저조하다는 평가다.
전문가들은 쿠팡이 5개월간 해킹 사실을 인지하지 못한 배경으로 이러한 예산 배정의 불균형을 지목한다. 김승주 고려대 정보보호대학원 교수는 평소 "국내 개인정보보호법 위반으로 인한 과징금과 소송은 잘나가던 기업을 순식간에 나락으로 몰아넣을 수 있다"며 "보안을 단순한 비용이 아니라 리스크 완화와 신뢰 확보를 위한 투자로 인식해야 한다"고 강조한 바 있다.
보안업계 관계자는 "주요 글로벌 플랫폼 기업들은 보안을 최우선 순위에 두고 통상 IT 예산의 10% 이상을 배정한다"며 "매출 50조원 시대를 바라보는 쿠팡이 0.2% 수준의 보안 투자 기조를 유지한다면 대규모 유출 사고는 언제든 재발할 수 있다"고 경고했다.
이날 정부는 민관합동조사단을 통해 쿠팡에 대한 고강도 조사에 착수했다. 업계에서는 역대 최고치를 넘어 이론상 1조원대 과징금까지 부과될 수 있다는 관측이 나오고 있다.
<저작권자 © ‘재테크 경제주간지’ 머니S, 무단전재 및 재배포 금지>