한국 이커머스 기업 쿠팡의 대규모 개인정보 유출 사태가 보안 사고 차원을 넘어 한·미 통상 갈등의 잠재 변수로 확산되고 있다. 미국 투자자들이 한·미 자유무역협정(FTA)상 투자자-국가 분쟁해결(ISDS) 절차 착수를 예고하면서, 이번 사안은 데이터 거버넌스와 외국인 투자 보호가 충돌하는 구조적 분쟁으로 전환되는 양상이다.
사건의 출발점은 2025년 12월 공시다. 쿠팡은 약 3,400만 명의 고객 개인정보가 외부에 노출됐다고 밝혔다. 이름, 이메일, 전화번호, 배송지, 일부 주문 이력 등이 포함됐으며, 침해 기간은 5개월 이상 지속된 것으로 전해졌다.
그러나 미국 투자자 측은 실제 외부 반출 데이터는 약 3,000개 계정 수준에 불과하다고 주장하며 정부 발표가 과장됐다고 반박하고 있다.
한국 개인정보보호위원회는 3,000만 건 이상 노출을 공식화하며 과징금 상향 필요성을 언급했다. 논쟁의 핵심은 단순한 유출 규모가 아니라 정부 대응의 비례성과 차별 여부다.
미국계 투자자들은 Greenoaks, Altimeter를 비롯해 Abrams Capital, Durable Capital Partners, Foxhaven Asset Management 등으로 알려졌으며, 한국 법무부에 ISDS 의향서를 제출했다.
이들은 한·미 FTA의 공정·공평 대우, 차별 금지, 간접 수용 금지 조항을 근거로 들며 한국 정부의 조사 및 제재 방침이 미국 투자자에게 불리하게 작용했다고 주장한다. 특히 경쟁 관계에 있는 한국 또는 중국 기업과 비교해 선별적 집행이 이뤄졌다는 점을 강조하고 있다. 이는 행정 처분의 적법성을 넘어 조약 위반 여부를 묻는 국제 분쟁의 틀로 사안을 끌어올린 것이다.
투자자 측은 형평성 논란의 근거로 다른 플랫폼 기업 사례를 언급한다.
카카오페이의 대규모 데이터 이전 사건, SK텔레콤의 SIM 해킹 사건, 업비트와 알리익스프레스 관련 제재 사례 등을 비교하며 쿠팡에 대한 과징금 산정 방식이 과도하다고 주장한다.
쿠팡의 경우 매출 3% 상한을 적용하면 8억 달러 이상 과징금이 가능하다는 관측이 나왔고, 일부 정치권에서는 상한을 10%로 상향하거나 소급 적용해야 한다는 주장까지 제기됐다. 투자자들은 이를 전례 없는 규제 강화이자 사실상 간접 수용에 해당할 수 있다고 해석한다.
한국 정부는 이에 대해 보안 통제 실패와 보고 지연이라는 중대한 위반 행위가 있었다는 입장이다.
과학기술정보통신부는 전직 직원의 내부 악용 사례로 보면서도 인증 및 키 관리 체계 취약성을 인지하고도 보완하지 않은 점, 24시간 내 한국인터넷진흥원 신고 의무를 위반한 점, 데이터 보존 명령 일부 미이행 등을 지적했다. 정부는 차별이 아니라 침해의 중대성과 관리 부실 정도에 따른 제재라고 설명한다. 반면 투자자들은 이를 정치화된 규제 집행으로 보고 있다.
이번 사안은 지정학적 맥락에서도 해석된다.
미국 내에서는 한국의 네트워크 사용료 정책, 데이터 현지화 요구, 앱스토어 결제 규제, 지도 서비스 제한 등을 디지털 보호주의 사례로 지적하는 목소리가 이어져 왔다. 쿠팡은 한국에서 대부분의 매출을 올리지만 본사는 미국 시애틀에 두고 있다. 이 이중적 정체성은 사건을 국내 행정 문제에서 양국 간 경제안보 이슈로 확장시키는 요인으로 작용한다.
ISDS가 본격 절차에 들어가면 수년간 국제 중재가 진행될 수 있으며, 수십억 달러 규모의 손해배상 청구 가능성도 배제할 수 없다. 미국 의회 차원의 통상 압박 강화로 이어질 가능성도 거론된다. 데이터 보호는 국가 주권 영역에 속하지만, FTA 체제 하에서는 투자 보호 규범과 충돌할 여지가 존재한다. 특히 과징금 상향과 소급 적용 논의는 국제 투자법상 가장 민감한 쟁점이다.
향후 전개는 세 가지 시나리오로 요약된다. 첫째, 90일 협의 기간 내 외교적 합의를 통해 행정적 조정이 이뤄지는 경우다. 둘째, 정부가 과징금 수위를 조정하거나 제한적 합의를 도출해 중재를 회피하는 경로다. 셋째, ISDS가 본격화돼 장기 중재와 통상 마찰로 확산되는 시나리오다. 현실적으로는 협의 또는 제한적 조정 가능성이 크지만, 정치적 공방이 격화될 경우 분쟁 심화 가능성도 존재한다.
이번 사건은 개인정보 보호 강화라는 공익 목적과 외국인 투자 보호라는 국제 규범이 충돌하는 지점을 드러냈다. 데이터 주권은 국가의 권한이지만, 그 집행 방식이 국제 조약과 맞물릴 때 비용은 기업을 넘어 국가 경제 전반으로 확산될 수 있다. 쿠팡 사태는 데이터가 단순한 정보 자산을 넘어 통상과 외교의 핵심 변수로 기능하는 시대에 진입했음을 보여준다.
[저작권자ⓒ META-X. 무단전재-재배포 금지]
