[한경ESG] ESG Now
‘3370만 명의 역대급 개인정보 유출 사태’로 논란을 빚은 쿠팡이 지난 7월 세계적 권위의 신용평가사 스탠더드앤드푸어스(S&P)의 ESG(환경·사회·지배구조) 평가에서 동종 업계 최하위권 점수를 받은 것으로 나타났다. 지금까지 국내 지역사회, 중소기업과의 상생 등을 앞세워 ‘ESG 모범생’ 이미지를 강조해온 것과는 대조적이다. 이번 대규모 개인정보 유출 사태도 쿠팡의 ESG 평가에 악영향을 미칠 것으로 전망된다.
글로벌 유통업계 최하위권
S&P 글로벌에 따르면 미국 뉴욕증권거래소 상장사인 쿠팡InC는 올해 ESG 평가에서 100점 만점에 9점을 받았다. 이 평가는 지난 7월 18일 최종 업데이트됐다. S&P 글로벌은 탄소중립, 지속가능성, 거버넌스 등 ESG 관련 정보를 토대로 매년 전 세계 기업의 ESG 점수를 매긴다. 회사가 자료를 제공하지 않으면 공시 및 언론보도 등 공개된 자료를 바탕으로 평가한다. S&P 글로벌은 쿠팡에 대해 “회사가 평가에 직접 참여하지 않아 공개된 정보에 기반해 점수를 산출했다”고 설명했다.
쿠팡이 평가 과정에 참여하지 않았다는 점을 감안해도 ‘9점 성적표’는 동종 업계에서 최하위권이다. 같은 리테일링 부문에 속하는 아마존도 S&P 글로벌 평가에 직접 참여하지 않았지만, ESG 평가에서 26점을 받았다. 크로거(44점), 월마트(50점) 등 미국 주요 유통사뿐 아니라 신세계(42점), 롯데쇼핑(39점) 등 국내 경쟁사도 쿠팡보다 월등히 높은 점수를 기록했다.
쿠팡이 ESG 평가에서 낙제점을 받은 것은 관련 정보를 투명하게 공개하지 않은 이유가 크다는 분석이다. 통상 국내외 기업은 매년 수백 쪽 분량의 지속가능경영 보고서를 발간한다. 온실가스배출량, 사회공헌 활동, 거버넌스 지표, 탄소중립 계획 등을 상세히 공개하고, 이를 위해 전담 조직을 두기도 한다.
이에 비해 쿠팡은 정보공개에 소극적이다. 2022년부터 정식 지속가능경영 보고서 발간을 중단하고, 대신 10쪽 내외의 임팩트 보고서로 대체하기 시작했다. 지난 9월에 발간한 임팩트 보고서는 단 6쪽짜리로, 그마저 지역 고용 성과나 중소 협력사의 멘트 등 쿠팡에 유리한 내용만 제한적으로 담았다.
업계는 이 같은 행보가 쿠팡이 지금껏 강조해온 ESG 선도 기업 이미지와 괴리가 크다고 지적한다. 쿠팡은 ‘로켓배송으로 지방 경제와 소상공인을 살린다’며 ESG 활동을 적극 홍보해왔는데, 정작 상장 무대인 미국에서는 제대로 된 정보조차 공개하지 않았다는 것이다. 쿠팡은 미국 상장사라는 이유로 국내 ESG 평가에서도 비껴갔다. 한국ESG기준원(KCGS) 등 국내 대다수 ESG 평가사는 국내 상장사에만 점수를 매긴다.
정보 유출 사태, ESG에 치명적
지난 11월에 터진 대규모 개인정보 유출 사고는 쿠팡의 ESG 점수를 더 끌어내릴 것으로 예상된다. 쿠팡 정보 유출 사태는 규모(3370만 명)도 문제지만 고객 이름, 전화번호, 배송지, 이메일 주소, 주문 정보 등 개인 생활 패턴을 알 수 있는 정보가 그대로 노출됐다는 점이 큰 우려를 낳고 있다.
통상 개인정보 보호는 ESG 중 사회(S) 부문에 속한다. 정보보호 시스템을 잘 갖췄는지, 이해관계자의 개인정보 침해 발생 시 구제 활동을 얼마나 적극적으로 하는지 등이 평가 기준이다. 개인정보 유출 사태가 단순히 기업 이미지에 금이 가는 정도가 아니라 ESG를 투자 기준으로 삼는 글로벌 투자사의 결정에 영향을 줄 수 있다는 뜻이다.
특히 이번 사태는 단순 사고가 아닌 쿠팡의 관리 역량 부족에서 비롯한 것으로 귀결되고 있다. 경찰과 쿠팡에 따르면 유력 용의자는 전직 중국인 개발자 직원 A씨로, 회사의 허술한 시스템 관리를 틈타 정보를 빼돌린 것으로 추정된다. 기업 내부 시스템에 접속할 때는 일회용 출입증 격인 ‘인증 토큰’과 출입증 진위 여부를 확인해주는 ‘서명키’가 필요하다. 담당자가 바뀌면 서명키를 폐기하는 게 기본 원칙임에도 쿠팡은 A씨가 퇴사한 후 서명키를 바꾸지 않았다. 또 쿠팡은 기초적 로그인 안전장치인 ‘2단계 인증’을 도입하지 않은 것으로 드러났다.
쿠팡은 이를 제대로 알리지 않았다는 비판도 받는다. 쿠팡이 상장한 미국 증권거래위원회(SEC)에 따르면 기업은 중대한 사이버 보안사고가 발생할 경우 4영업일 안에 공시해야 한다. 하지만 쿠팡은 개인정보 유출을 처음으로 인지했다고 밝힌 시점(11월 18일)보다 한 달가량 지난 12월 16일(현지 시간)에야 SEC에 관련 사실을 보고했다. 이번 사태가 거버넌스 자체의 문제로 규정될 경우 지배구조(G) 부문 평가에도 악영향을 미칠 수 있다.
한 달 지난 뒤에야 美서 공시
실제 고객 정보 유출로 ESG 등급이 하향된 사례도 있다. 2025년 초 2324만 명에 달하는 고객 정보 해킹 사태로 물의를 빚은 SK텔레콤은 최근 KCGS 평가에서 사회 부문 B+를 받으며 2024년(A+)보다 두 단계 낮아졌다. 또 다른 ESG 평가기관인 서스틴베스트도 대규모 해킹 사태로 사회적 논란(컨트로버시)이 빚어졌다는 점을 감안해 SK텔레콤의 ESG 점수를 깎았다. 쿠팡 사태는 SK텔레콤 때보다 피해 규모가 클 뿐 아니라 내부통제 시스템 실패로 인한 것이라 타격이 더 심각할 것이라는 게 업계의 시각이다.
이번 쿠팡 사태를 계기로 다른 기업들도 경각심을 갖고 보안 관련 투자를 늘리는 추세다. 식품업계 관계자는 “자사 몰부터 멤버십 플랫폼까지 개인정보 관련 시스템을 재정비하고 있다”고 전했다. 당정도 법 개정을 통해 개인정보 보호 규제를 강화하고 있다.
최근 국회 정무위원회에서 기업이 고의나 중대한 과실로 개인정보를 유출할 경우 전체 매출액의 최대 10%까지 과징금으로 부과하는 법안이 통과됐다. 현재 3% 수준에서 대폭 오르는 것이다. 현행 법 체계상 지난 11월에 발생한 쿠팡 개인정보 유출 사고에 대해 12월에 통과된 개정안을 소급 적용하기는 어렵지만, 여당은 특별법을 제정해서라도 쿠팡에 징벌적 과징금을 매기겠다는 입장을 고수하고 있다.
업계 관계자는 “기업의 윤리 및 책임경영에 대한 중요성이 커지는 상황에서 쿠팡의 대규모 개인정보 유출과 관리 미흡은 ESG 평가에 치명적일 것”이라고 전했다.
이선아 한국경제 기자
‘3370만 명의 역대급 개인정보 유출 사태’로 논란을 빚은 쿠팡이 지난 7월 세계적 권위의 신용평가사 스탠더드앤드푸어스(S&P)의 ESG(환경·사회·지배구조) 평가에서 동종 업계 최하위권 점수를 받은 것으로 나타났다. 지금까지 국내 지역사회, 중소기업과의 상생 등을 앞세워 ‘ESG 모범생’ 이미지를 강조해온 것과는 대조적이다. 이번 대규모 개인정보 유출 사태도 쿠팡의 ESG 평가에 악영향을 미칠 것으로 전망된다.
글로벌 유통업계 최하위권
S&P 글로벌에 따르면 미국 뉴욕증권거래소 상장사인 쿠팡InC는 올해 ESG 평가에서 100점 만점에 9점을 받았다. 이 평가는 지난 7월 18일 최종 업데이트됐다. S&P 글로벌은 탄소중립, 지속가능성, 거버넌스 등 ESG 관련 정보를 토대로 매년 전 세계 기업의 ESG 점수를 매긴다. 회사가 자료를 제공하지 않으면 공시 및 언론보도 등 공개된 자료를 바탕으로 평가한다. S&P 글로벌은 쿠팡에 대해 “회사가 평가에 직접 참여하지 않아 공개된 정보에 기반해 점수를 산출했다”고 설명했다.
쿠팡이 평가 과정에 참여하지 않았다는 점을 감안해도 ‘9점 성적표’는 동종 업계에서 최하위권이다. 같은 리테일링 부문에 속하는 아마존도 S&P 글로벌 평가에 직접 참여하지 않았지만, ESG 평가에서 26점을 받았다. 크로거(44점), 월마트(50점) 등 미국 주요 유통사뿐 아니라 신세계(42점), 롯데쇼핑(39점) 등 국내 경쟁사도 쿠팡보다 월등히 높은 점수를 기록했다.
쿠팡이 ESG 평가에서 낙제점을 받은 것은 관련 정보를 투명하게 공개하지 않은 이유가 크다는 분석이다. 통상 국내외 기업은 매년 수백 쪽 분량의 지속가능경영 보고서를 발간한다. 온실가스배출량, 사회공헌 활동, 거버넌스 지표, 탄소중립 계획 등을 상세히 공개하고, 이를 위해 전담 조직을 두기도 한다.
이에 비해 쿠팡은 정보공개에 소극적이다. 2022년부터 정식 지속가능경영 보고서 발간을 중단하고, 대신 10쪽 내외의 임팩트 보고서로 대체하기 시작했다. 지난 9월에 발간한 임팩트 보고서는 단 6쪽짜리로, 그마저 지역 고용 성과나 중소 협력사의 멘트 등 쿠팡에 유리한 내용만 제한적으로 담았다.
업계는 이 같은 행보가 쿠팡이 지금껏 강조해온 ESG 선도 기업 이미지와 괴리가 크다고 지적한다. 쿠팡은 ‘로켓배송으로 지방 경제와 소상공인을 살린다’며 ESG 활동을 적극 홍보해왔는데, 정작 상장 무대인 미국에서는 제대로 된 정보조차 공개하지 않았다는 것이다. 쿠팡은 미국 상장사라는 이유로 국내 ESG 평가에서도 비껴갔다. 한국ESG기준원(KCGS) 등 국내 대다수 ESG 평가사는 국내 상장사에만 점수를 매긴다.
정보 유출 사태, ESG에 치명적
지난 11월에 터진 대규모 개인정보 유출 사고는 쿠팡의 ESG 점수를 더 끌어내릴 것으로 예상된다. 쿠팡 정보 유출 사태는 규모(3370만 명)도 문제지만 고객 이름, 전화번호, 배송지, 이메일 주소, 주문 정보 등 개인 생활 패턴을 알 수 있는 정보가 그대로 노출됐다는 점이 큰 우려를 낳고 있다.
통상 개인정보 보호는 ESG 중 사회(S) 부문에 속한다. 정보보호 시스템을 잘 갖췄는지, 이해관계자의 개인정보 침해 발생 시 구제 활동을 얼마나 적극적으로 하는지 등이 평가 기준이다. 개인정보 유출 사태가 단순히 기업 이미지에 금이 가는 정도가 아니라 ESG를 투자 기준으로 삼는 글로벌 투자사의 결정에 영향을 줄 수 있다는 뜻이다.
특히 이번 사태는 단순 사고가 아닌 쿠팡의 관리 역량 부족에서 비롯한 것으로 귀결되고 있다. 경찰과 쿠팡에 따르면 유력 용의자는 전직 중국인 개발자 직원 A씨로, 회사의 허술한 시스템 관리를 틈타 정보를 빼돌린 것으로 추정된다. 기업 내부 시스템에 접속할 때는 일회용 출입증 격인 ‘인증 토큰’과 출입증 진위 여부를 확인해주는 ‘서명키’가 필요하다. 담당자가 바뀌면 서명키를 폐기하는 게 기본 원칙임에도 쿠팡은 A씨가 퇴사한 후 서명키를 바꾸지 않았다. 또 쿠팡은 기초적 로그인 안전장치인 ‘2단계 인증’을 도입하지 않은 것으로 드러났다.
쿠팡은 이를 제대로 알리지 않았다는 비판도 받는다. 쿠팡이 상장한 미국 증권거래위원회(SEC)에 따르면 기업은 중대한 사이버 보안사고가 발생할 경우 4영업일 안에 공시해야 한다. 하지만 쿠팡은 개인정보 유출을 처음으로 인지했다고 밝힌 시점(11월 18일)보다 한 달가량 지난 12월 16일(현지 시간)에야 SEC에 관련 사실을 보고했다. 이번 사태가 거버넌스 자체의 문제로 규정될 경우 지배구조(G) 부문 평가에도 악영향을 미칠 수 있다.
한 달 지난 뒤에야 美서 공시
실제 고객 정보 유출로 ESG 등급이 하향된 사례도 있다. 2025년 초 2324만 명에 달하는 고객 정보 해킹 사태로 물의를 빚은 SK텔레콤은 최근 KCGS 평가에서 사회 부문 B+를 받으며 2024년(A+)보다 두 단계 낮아졌다. 또 다른 ESG 평가기관인 서스틴베스트도 대규모 해킹 사태로 사회적 논란(컨트로버시)이 빚어졌다는 점을 감안해 SK텔레콤의 ESG 점수를 깎았다. 쿠팡 사태는 SK텔레콤 때보다 피해 규모가 클 뿐 아니라 내부통제 시스템 실패로 인한 것이라 타격이 더 심각할 것이라는 게 업계의 시각이다.
이번 쿠팡 사태를 계기로 다른 기업들도 경각심을 갖고 보안 관련 투자를 늘리는 추세다. 식품업계 관계자는 “자사 몰부터 멤버십 플랫폼까지 개인정보 관련 시스템을 재정비하고 있다”고 전했다. 당정도 법 개정을 통해 개인정보 보호 규제를 강화하고 있다.
최근 국회 정무위원회에서 기업이 고의나 중대한 과실로 개인정보를 유출할 경우 전체 매출액의 최대 10%까지 과징금으로 부과하는 법안이 통과됐다. 현재 3% 수준에서 대폭 오르는 것이다. 현행 법 체계상 지난 11월에 발생한 쿠팡 개인정보 유출 사고에 대해 12월에 통과된 개정안을 소급 적용하기는 어렵지만, 여당은 특별법을 제정해서라도 쿠팡에 징벌적 과징금을 매기겠다는 입장을 고수하고 있다.
업계 관계자는 “기업의 윤리 및 책임경영에 대한 중요성이 커지는 상황에서 쿠팡의 대규모 개인정보 유출과 관리 미흡은 ESG 평가에 치명적일 것”이라고 전했다.
이선아 한국경제 기자
관련뉴스
