잦은 정보보호 최고책임자 교체 최근 5년 3명 변경… 8개월 최단 장기재직 네이버·카카오와 대조 “까도 까도 끝이 없는 양파껍질 같다.” (보안업계 한 관계자) 약 3400만명의 개인 정보 유출 사태를 일으킨 쿠팡의 허술한 보안관리의 민낯이 속속 드러나고 있다. 국내 이머커스 부동의 1위이자, 미국 뉴욕증시 상장기업이라는 덩치에 맞지 않게 곳곳에 구멍이 숭숭 뚫려있었다. 이번에는 잦은 개인정보보호책임자(CPO·Chief Privacy Officer) 교체가 도마에 올랐다. CPO는 한 기업의 고객 신상 등 개인정보보호 사령탑이다. 정보 보호 마스터플랜을 짜고, 이를 수행하는 중요한 직책이다. 9일 디지털타임스의 취재를 종합하면, 최근 5년간 쿠팡의 CPO가 3명이 바뀐 것으로 확인됐다. 각각 2020년, 2023년, 2024년 임명된 홍관희, 김종준 전 CPO와 김광범 현 CPO다. 이 중 홍 전 CPO는 삼성카드 최고정보보안책임자·CPO·신용정보관리보호인 출신으로, 쿠팡에선 2020년 11월부터 2023년 5월까지 2년 6개월간 CPO로 재직했다. 이후 LG유플러스 정보보호최고책임자(CISO)로 자리를 옮겼다. 2023년 홍 전 CPO의 후임으로 쿠팡페이 출신의 김종준 전무가 신임 CPO로 임명됐으나 1년을 못버텼다. 2024년 2월 CPO에서 물러난 그는 쿠팡 내 다른 조직으로 배치된 상태다. 그 다음 CPO가 바로 현 김광범 전무다. 시스코 메라키 보안아키텍처 총괄 출신인 그는 약 3700만건의 대규모 개인정보 유출 사고가 발생하면서, 향후 거취가 불확실한 처지에 놓이게 된 상황이다. 업계에선 이번 사고에 대한 수사 결과에 따라 CPO 등 정보보호 총괄 임원의 교체 여부가 결정될 것으로 보고 있다. 이날 오전 서울경찰청 사이버수사과가 송파구 쿠팡 본사 등에 대한 압수수색에 들어간 상태다. 경찰은 수사관을 보내 개인정보 유출 사태와 관련한 자료를 확보 중이다. 이재명 대통령도 이날 쿠팡의 개인정보 유출 사태와 관련해 공정거래위원회에 ‘강제조사권’ 도입이 가능한지 검토하라로 지시하며 ‘초강수’를 뒀다. 형사 처벌보다 금전적 제재가 더 효율적이라는 취지에서다. 이번 유출 사고의 책임을 지고 현 CPO가 바뀔 경우, 최근 5년내 ‘쿠팡 CPO’ 타이틀을 달았던 이들의 평균 재직 기간은 2년 미만이 된다. 정확히는 1년 7개월이다. 이렇게 되면 쿠팡은 수년째 정보보호 실패·인사(HR) 실패의 악순환을 거듭하게 되는 셈이다. 이에 대한 개선 없이는 쿠팡에서 제2, 제3의 개인정보 유출 사태가 터질 수 있다는 진단이 나온다. 쿠팡은 정보보호 총괄 임원에 대한 인사와 관련해 구체적인 내용을 확인해 줄 수 없다는 입장이다. 업계 한 관계자는 “평균 재직기간이 2년 미만이라는 것은 CPO로 임명된 이가 정보보호 책임의 총대를 메자마자 내려놓는 식의 인사가 반복되고 있다는 얘기”라며 “CPO 영입 시장에서 전문성을 인정받는 사람이라면 과연 누가 그 자리에 가고 싶겠나. 계속 이런 식으로 가면 쿠팡은 정보보호 전문가를 영입하는 데 애를 먹게 될 것”이라고 꼬집었다. 그는 “CPO는 조직 내부통제 취약점을 면밀히 파악해 대책을 수립·실행하며, 이에 대한 피드백을 반영해 보완하는 작업을 총 지휘해야 하는 보안 사령관”이라며 “그러한 역할을 맡는 사람이 자꾸 바뀌면 조직 자체가 관련 정책을 일관성 있게 가져가긴 어렵다. 정보보호 체계가 제대로 운영되기 어렵다는 얘기”라고 말했다. 쿠팡의 CPO 재직기간은 이른바 ‘네카쿠’로 묶이는 또다른 온라인 공룡인 네이버, 카카오와 극명하게 대조된다. 네이버는 경찰대 출신 이진규 리더가 8년째 지휘봉을 잡고 조직의 보안을 총괄하고 있다. 2007년부터 네이버에서 20년 가까이 정보보호 관련 업무를 맡아온 이 리더는 CPO와 CISO를 겸직하며 기업 정보보호, 개인정보보호 리스크를 통합 관리 중이다. 네이버 관계자는 “이 리더는 CPO는 물론, 데이터 보호 책임자(DPO), CISO 모두를 겸직하고 있다”라며 “겸직을 하게 되면 시스템 외 보호 대상의 상당 부분을 차지하는 개인정보(데이터)까지 끊김없이 보호조치를 취할 수 있는 거버넌스를 갖추게 될 수 있다는 판단에서다”고 설명했다. 카카오는 2021년에 임명된 김연지 개인정보 성과리더가 5년째 CPO를 맡고 있다. 김 CPO는 다음커뮤니케이션 시절부터 카카오까지 약 20년 이상 재직한 개인정보보호 전문가다. 김수연 기자 newsnews@dt.co.kr

[기획] 네이버 8년, 쿠팡은 2년… CPO ‘단명’이 보안구멍 키웠다

김수연 기자

입력 2025-12-09 18:47

수정 2025-12-10 19:36

3면 지면 TOP

추천해요 0
좋아요 0
감동이에요 0
화나요 1
슬퍼요 1

읽기모드
음성지원
다크모드
폰트크기
- 가
- 가
- 가
- 가
- 가
- 가
북마크
공유하기
프린트
기사반응

잦은 정보보호 최고책임자 교체

최근 5년 3명 변경… 8개월 최단

장기재직 네이버·카카오와 대조

“까도 까도 끝이 없는 양파껍질 같다.” (보안업계 한 관계자)

약 3400만명의 개인 정보 유출 사태를 일으킨 쿠팡의 허술한 보안관리의 민낯이 속속 드러나고 있다. 국내 이머커스 부동의 1위이자, 미국 뉴욕증시 상장기업이라는 덩치에 맞지 않게 곳곳에 구멍이 숭숭 뚫려있었다.

이번에는 잦은 개인정보보호책임자(CPO·Chief Privacy Officer) 교체가 도마에 올랐다. CPO는 한 기업의 고객 신상 등 개인정보보호 사령탑이다. 정보 보호 마스터플랜을 짜고, 이를 수행하는 중요한 직책이다.

9일 디지털타임스의 취재를 종합하면, 최근 5년간 쿠팡의 CPO가 3명이 바뀐 것으로 확인됐다. 각각 2020년, 2023년, 2024년 임명된 홍관희, 김종준 전 CPO와 김광범 현 CPO다.

이 중 홍 전 CPO는 삼성카드 최고정보보안책임자·CPO·신용정보관리보호인 출신으로, 쿠팡에선 2020년 11월부터 2023년 5월까지 2년 6개월간 CPO로 재직했다. 이후 LG유플러스 정보보호최고책임자(CISO)로 자리를 옮겼다.

2023년 홍 전 CPO의 후임으로 쿠팡페이 출신의 김종준 전무가 신임 CPO로 임명됐으나 1년을 못버텼다. 2024년 2월 CPO에서 물러난 그는 쿠팡 내 다른 조직으로 배치된 상태다.

그 다음 CPO가 바로 현 김광범 전무다. 시스코 메라키 보안아키텍처 총괄 출신인 그는 약 3700만건의 대규모 개인정보 유출 사고가 발생하면서, 향후 거취가 불확실한 처지에 놓이게 된 상황이다.

업계에선 이번 사고에 대한 수사 결과에 따라 CPO 등 정보보호 총괄 임원의 교체 여부가 결정될 것으로 보고 있다. 이날 오전 서울경찰청 사이버수사과가 송파구 쿠팡 본사 등에 대한 압수수색에 들어간 상태다. 경찰은 수사관을 보내 개인정보 유출 사태와 관련한 자료를 확보 중이다.

이재명 대통령도 이날 쿠팡의 개인정보 유출 사태와 관련해 공정거래위원회에 ‘강제조사권’ 도입이 가능한지 검토하라로 지시하며 ‘초강수’를 뒀다. 형사 처벌보다 금전적 제재가 더 효율적이라는 취지에서다.

이번 유출 사고의 책임을 지고 현 CPO가 바뀔 경우, 최근 5년내 ‘쿠팡 CPO’ 타이틀을 달았던 이들의 평균 재직 기간은 2년 미만이 된다. 정확히는 1년 7개월이다.

이렇게 되면 쿠팡은 수년째 정보보호 실패·인사(HR) 실패의 악순환을 거듭하게 되는 셈이다. 이에 대한 개선 없이는 쿠팡에서 제2, 제3의 개인정보 유출 사태가 터질 수 있다는 진단이 나온다. 쿠팡은 정보보호 총괄 임원에 대한 인사와 관련해 구체적인 내용을 확인해 줄 수 없다는 입장이다.

업계 한 관계자는 “평균 재직기간이 2년 미만이라는 것은 CPO로 임명된 이가 정보보호 책임의 총대를 메자마자 내려놓는 식의 인사가 반복되고 있다는 얘기”라며 “CPO 영입 시장에서 전문성을 인정받는 사람이라면 과연 누가 그 자리에 가고 싶겠나. 계속 이런 식으로 가면 쿠팡은 정보보호 전문가를 영입하는 데 애를 먹게 될 것”이라고 꼬집었다.

그는 “CPO는 조직 내부통제 취약점을 면밀히 파악해 대책을 수립·실행하며, 이에 대한 피드백을 반영해 보완하는 작업을 총 지휘해야 하는 보안 사령관”이라며 “그러한 역할을 맡는 사람이 자꾸 바뀌면 조직 자체가 관련 정책을 일관성 있게 가져가긴 어렵다. 정보보호 체계가 제대로 운영되기 어렵다는 얘기”라고 말했다.

쿠팡의 CPO 재직기간은 이른바 ‘네카쿠’로 묶이는 또다른 온라인 공룡인 네이버, 카카오와 극명하게 대조된다.

네이버는 경찰대 출신 이진규 리더가 8년째 지휘봉을 잡고 조직의 보안을 총괄하고 있다. 2007년부터 네이버에서 20년 가까이 정보보호 관련 업무를 맡아온 이 리더는 CPO와 CISO를 겸직하며 기업 정보보호, 개인정보보호 리스크를 통합 관리 중이다.

네이버 관계자는 “이 리더는 CPO는 물론, 데이터 보호 책임자(DPO), CISO 모두를 겸직하고 있다”라며 “겸직을 하게 되면 시스템 외 보호 대상의 상당 부분을 차지하는 개인정보(데이터)까지 끊김없이 보호조치를 취할 수 있는 거버넌스를 갖추게 될 수 있다는 판단에서다”고 설명했다.

카카오는 2021년에 임명된 김연지 개인정보 성과리더가 5년째 CPO를 맡고 있다. 김 CPO는 다음커뮤니케이션 시절부터 카카오까지 약 20년 이상 재직한 개인정보보호 전문가다.

김수연 기자 newsnews@dt.co.kr