이 기사는 2025년 10월 29일 08:18 thebell 에 표출된 기사입니다.

쿠팡은 2021년 미국 뉴욕증권거래소(NYSE)에 입성했다. 그만큼 쿠팡의 여러 지표들은 국내 산업계와만 비교할 수는 없다. 여러 계열사를 거느린 그룹이니 하나의 업종으로만 바라보기도 어렵다. '글로벌 종합 기업'의 직위를 택했고 지향점도 글로벌 스탠더드에 닿아있다.

특히 정보보안은 쿠팡의 특성상 금과옥조다. 쿠팡은 고객뿐 아니라 플랫폼 배달 파트너와 오픈마켓 판매자 등의 정보를 두루 확보하고 있다. 쿠팡은 국내에서는 삼성전자·KT와 함께 정보보안 분야 톱티어 투자 기업으로 꼽힌다. 다만 국제 평균과 비교하면 아직까지 개선의 여지가 큰 것으로 분석된다.

◇삼성전자·KT 다음으로 돈 많이 쓴 쿠팡

한국인터넷진흥원(KISA) 공시에 따르면 쿠팡의 지난해 정보보호 투자액은 약 860억원으로 나타났다. 전체 정보기술 부문 투자액은 1조8830억원으로 이중 4.6%를 정보보호 부문에 투입한다. 과학기술정보통신부 발표 자료를 기준으로 2024년 삼성전자(2974억원), KT(1218억원) 다음으로 많은 자금을 정보보안에 썼다.


LG유플러스나 SK텔레콤 등 통신사보다도 많은 돈을 사용한 셈이다. 정보보호 부문 투자액은 2022년 639억원에서 2023년 659억원, 2024년 860억원으로 꾸준히 늘었다.

다만 정보기술부문 투자액 증가세 대비 보안 투자액 증가율이 크지는 않았다. 같은 기간 쿠팡 본사의 정보기술 부문 투자액은 2022년 9287억원, 2023년 1조1781억원, 2024년 1조8830억원으로 대폭 증가했다.

KISA 공시에 따르면 2024년 말 기준 쿠팡의 정보보호 부문 전담인력은 내부 165.8명, 외주 49명으로 214.8명으로 집계됐다. 전체 정보기술 관련 인력 대비 6.9%에 해당한다. 정보기술 관련 인력 대비 비중은 7.5%에서 하락했다. 전체 인원이 늘어난 데에 따랐다. 외주 비중은 2023년대비 28.4%에서 22.8%로 줄어 내부 역량이 강화됐다는 평가다.

◇글로벌 인재 영입, 'CISO-이사회-경영진' 삼각 논의체제

쿠팡은 최고정보보호책임자(CISO)와 최고프라이버시책임자(CPO)를 각각 두는 투톱 체제를 운영 중이다. 브렛 매티스 CISO와 김종준 CPO가 정보보안을 양분화해 책임지고 있다. 경영진과 CISO, 이사회가 모두 협업하는 구조를 갖췄다.

브렛 매티스 CISO를 포함해 보안부문 글로벌 인재 영입에 힘을 써왔다. 브렛 매티스는 2010년부터 2020년까지 호주 국방부에서 수석 소프트웨어 개발자 등의 직책을 맡았다. 차관보를 역임했다. 퀸즐랜드 공과대학교 보안 IT 분야 석사 학위를 받았다. 쿠팡의 대만과 일본 정보 보안 책임자 하오웨이 첸 CISO도 주요 영입 인사다. 아마존과 라쿠텐 등을 거쳤다. 대만 국방부에서 사이버 어드바이저로 몸담았다.

CISO는 사이버 보안 전략 수립과 랜섬웨어 등 외부 공격 방어 등 기술보안에 집중한다. CPO는 고객·임직원 개인정보의 수집·이용·보관 절차 관리 등 법규 준수를 중점적으로 담당한다. 약 200명으로 꾸려진 전담 정보 보안팀이 CISO를 지원 중이다.


이사회 내 소위원회로는 사외이사후보추천 및 거버넌스·지속가능위원회(Nominating, Corporate Governance and Sustainability Committee)를 운영 중이다. 제이슨 차일드 선임 사외이사와 캐빈 워시 이사가 몸담고 있다. 제이슨 차일드 선임 이사가 보안 및 옵저버빌리티 전문 기술 회사인 Splunk Inc. 출신이다.

쿠팡의 ESG 보고서와 미국 전자 공시 사이트 에드가(EDGAR) 등을 참고하면 감사위원회도 정보보호 리스크를 포함한 내부통제를 들여다 본다. 감사위원회가 정기적으로 CISO와 회의를 열고 신규 위험 영역과 통제 등 사이버 보안 문제를 논의한다.

◇국내에선 톱티어, '글로벌 스탠더드'는 절반

쿠팡의 절대적인 투자액이나 인력은 국내 기준에서는 톱티어다. 국내 유통이나 이커머스 부문뿐 아니라 전체 기업 중에서도 최상위권이다. 다만 글로벌 스탠더드와 비교하면 아직 성장의 여지가 많을 것으로 보인다. 대형 보안사고가 발생하지는 않았지만 고객정보 유출의혹이나 판매자·배달 파트너 정보유출 등 복수의 사건 등을 종합하면 쿠팡이 대규모 고객정보를 다루는 사업자로서 무척 다양한 보안 리스크에 대처해야 한다는 점도 확인된다.

북미 등 글로벌 기업들의 IT 예산 대비 보안투자액 비중은 10~11%로 추산된다. 보안 컨설팅 기관 IANS 리서치(IANS Research) 등이 올해 8월 발표한 보고서에 따르면 미국 기업들의 IT 지출에서 보안예산이 차지하는 비중은 10.9%로 나타났다. 2024년에는 글로벌 사이버보험 업체 히스콕스(Hiscox)가 글로벌 기업들의 같은 기준 보안 투자 비율이 11.9%라고 분석했다. 쿠팡은 글로벌 평균의 절반 수준에 그친다. 정보보호 부문 투자액이 최근 3년간 매년 늘었으나 모수인 정보기술 부문 투자액이 폭발적으로 확대되면서 보안 투자액 비중이 줄어들고 있다. 2022년 6.9%에서 지난해 4.6%까지 줄었다. 이 수치는 국내 773개 기업의 IT 투자액 대비 정보보호 투자액 비율인 6.29%보다도 낮다.

다만 글로벌 기업들의 동향을 보면 IT 투자액의 급증과 이에 따른 보안 투자액 비중 하락은 추세다. 인공지능(AI) 확대와 사업 포트폴리오 확장 등의 영향으로 기업들의 IT 투자액이 너무 크게 늘어나다보니 보안에 들이는 비용의 비중이 상대적으로 줄고 있다는 게 글로벌 리서치들의 해석이다. 아마존 등 글로벌 공룡 플랫폼도 같은 고민을 안고 있다고 전해진다. 또 글로벌 평균값에는 금융이나 IT 기업들의 수치도 포함돼 있다.

보안인증을 보면 글로벌 스탠더드를 쫓아가려는 노력이 읽힌다. 쿠팡은 글로벌 표준에 따라 ISO 27001 인증을 2013년 취득한 후 최신 버전으로 계속 갱신 중이다. ISO 27001에 연계된 개인정보보호 확장 표준인 ISO 27701 인증도 따냈다. 국제 수준의 클라우드 보안 통제와 APEX 국경간 프라이버시 규칙 등도 충족 중이다.

쿠팡은 "데이터 기반의 회사로 고객의 개인정보를 보호하는 것은 중요한 사업 원칙"이라며 "글로벌 최고 수준의 기준에 부합하고 보다 엄격한 내부 기준을 마련하기 위해 보안과 개인정보 보호에 지속적으로 많은 투자를 하고 있다"고 밝혔다.