입력 2026.02.28 06:00
서울 송파구 쿠팡 본사 건물. 성동훈 기자
쿠팡이 ‘제2의 한국’으로 공을 들여온 대만 시장에서 최대 위기에 직면했다. 한국에서 발생한 대규모 개인정보 유출 사태의 여파가 이어지는 가운데 대만에서도 약 20만 명의 고객 정보가 불법 접근된 사실이 뒤늦게 확인되면서 ‘K배송’을 앞세운 쿠팡의 대만 내 성장세에도 빨간불이 켜졌다.
미국 뉴욕증시 상장사인 쿠팡 아이엔씨(Inc)는 26일(현지시각) 미국 증권거래위원회(SEC)에 제출한 지난해 4분기 및 연간 연결실적 보고서에서 2025년 연결 매출이 약 345억3400만달러(약 49조1197억원)로 집계됐다고 밝혔다. 이는 전년(302억6800만달러)보다 14% 증가한 수치다.
이 같은 성장 배경에는 대만 사업의 외형 확대가 자리하고 있다는 분석이 나온다. 쿠팡 창업자인 김범석 쿠팡 Inc 의장은 실적 발표 콘퍼런스콜에서 “대만 사업과 쿠팡 이츠 등 성장 사업(Developing Offerings)이 빠르게 확대되고 있다”고 밝혔다. 특히 대만 사업이 세 자릿수 성장률을 이어가고 있다고 설명했다.
김 의장은 지난해 11월 콘퍼런스콜에서도 “대만에서의 성장 동력이 가속화되고 있으며 이번 분기에도 전년 대비 및 전 분기 대비 매출이 매우 증가했다”고 말했다. 그는 “대만 고객들의 이용 행태는 과거 한국에서 리테일 사업을 구축하던 초기 단계와 유사하다”며 장기 성장 가능성에 대한 자신감을 나타냈다.
27일 대만 경제일보 보도에 따르면 쿠팡은 대만에서 자체 라스트마일 물류망을 빠르게 구축해 현재 약 70% 지역을 커버하고 있다. 지난해 12월 기준 약 75% 주문이 ‘익일 배송(次日達)’을 달성했다. 판매 상품군도 생활소비재(FMCG) 중심에서 다양한 카테고리로 확대됐으며 12월에는 약 75%의 배송이 자사 차량을 통해 이뤄졌다.
서울 시내 한 주차장에 쿠팡 배송 차량이 주차되어 있다. 권도현 기자
쿠팡이 글로벌 확장의 첫 단추로 대만을 선택한 것은 치밀한 계산의 결과라는 평가가 나온다. 쿠팡의 대만 진출은 2021년부터 시작돼 빠르게 성장했다. 경상도와 비슷한 면적에 약 2300만 명이 거주하는 대만은 인구 밀도가 ㎢당 640명으로 한국보다 높다. 물류 거점 집중도가 높아 이커머스 및 배달 서비스 효율이 극대화될 수 있는 환경이다. 인터넷 이용률은 94%를 상회하며, 세계 최고 수준의 편의점 밀도(인구 1500명당 1개)는 온라인 주문 후 편의점 수령 모델이 정착돼 있다.
주대만 미국상공회의소가 발행하는 ‘타이완 비즈니스 토픽’은 지난해 12월 보고서에서 대만 내 쿠팡 인기 품목으로 한국산 신선식품, 생활용품, 화장품, 전자제품 등을 꼽았다. 줄리아 투 대만 시장정보컨설팅연구소(MIC) 애널리스트는 “쿠팡의 공격적인 확장은 장기적 야망과 대만 시장의 전략적 가치가 맞물린 결과”라고 평가했다. 그는 쿠팡이 2021년 중반 대만 진출 당시 가격에 민감한 소비자층을 겨냥해 적극적인 보조금 전략을 펼쳤다고 설명했다. 특히 유아용품 구매 부모, 생활필수품 소비자, 간식 구매층 등을 공략해 초기 이용 습관을 형성하고 사용자 기반을 빠르게 확대하는 데 주력했다는 분석이다.
쿠팡은 2022년 ‘로켓배송’과 ‘로켓직구’를 시작했고, 2023년 타오위안에 두 번째 물류센터를 열었다. 2024년에는 해외 배송 자회사를 설립하고 세 번째 물류센터를 구축했다. 올해는 대만에서 와우(WOW) 멤버십 프로그램도 도입했다. 한국에서의 성공 공식을 대만에 그대로 적용한 셈이다.
그러나 ‘로켓’처럼 빠르던 성장세는 보안이라는 벽에 부딪혔다. 대만 디지털발전부 디지털산업서는 26일 공고에서 전날 법률 및 정보보안 전문가, 형사 경찰국, 국가사이버보안연구원으로 구성된 행정조사팀이 쿠팡 대만 법인을 찾아 행정 검사를 한 결과 “쿠팡 대만 법인의 개인정보 관리에 결함이 있다는 것을 발견했다”고 밝혔다.
조사에 따르면 쿠팡 한국 법인 퇴직자인 공격자는 2000여개의 서로 다른 IP 주소를 통해 20만4552명의 쿠팡 대만 사용자 개인정보에 접근했다. 접근된 정보에는 이름, 이메일, 전화번호, 배송 주소, 일부 주문 기록 등이 포함됐다.
대만 측은 쿠팡 대만 법인이 앞서 대만과 한국의 사용자 데이터베이스가 분리됐다고 밝혔으나, 조사 결과 서로 다른 데이터베이스의 백업 키가 동일해 접근이 가능했다는 점이 확인됐다.
디지털산업서는 지난해 11월 개인정보 유출 사건 발생 직후 쿠팡 대만 법인에 설명을 요청했는데 당시 쿠팡은 “대만 소비자의 개인정보가 유출됐다는 증거가 발견되지 않았다”고 발표했다고 설명했다. 이후 지난해 12월 24일 행정 검사에서도 그리고 올해 1월 12일·26일, 이달 9일에도 쿠팡은 “대만 사용자 영향 증거가 없다”는 입장을 유지했다는 것이 대만 당국 설명이다.
그러나 한국 정부가 2월 10일 발표한 조사 결과에는 공격자가 지난해 11월 쿠팡 한국 법인에 보낸 이메일에서 한국·일본·대만 사용자 모두가 영향을 받을 것이라고 언급한 내용이 포함돼 있었다. 대만 디지털산업서는 쿠팡 대만 법인이 2월 23일이 돼서야 대만 측에 개인정보 유출 사실을 통보했다고 지적했다.
초기 부인, 뒤늦은 인정이라는 대응 방식 역시 한국 사례와 판박이라는 평가가 나온다.
공상시보 등 현지 언론에 따르면 쿠팡 대만은 24일 사과문을 발표하며 총 2억 대만달러 규모의 보상안을 마련했다고 밝혔다. 피해 고객 1인당 1000대만달러 상당의 쇼핑 할인 쿠폰을 지급한다는 내용이다.앞서 쿠팡은 한국 개인정보 유출 사태 당시 쿠팡·쿠팡이츠·쿠팡트래블 등을 합쳐 총 5만원 상당의 구매 이용권을 보상책으로 제시한 바 있다.
쿠팡 대만은 고도의 민감 정보는 유출되지 않았고 유출 경로는 차단됐으며, 관련 장비는 모두 회수됐고 현재까지 자료 악용 정황은 없다고 밝혔다. 그러나 해명 방식에 대한 논란도 이어지고 있다. 황페이성(黃沛聲) 리친국제법률사무소 변호사는 비즈니스넥스트에 “쿠팡이 ‘저장(retained)’과 ‘접근(accessed)’ 개념을 구분해 설명하고 있다”고 지적했다. 그는 “설령 소수 데이터만 저장됐더라도 단일 직원이 20만 건 이상 계정에 접근할 수 있었다면 권한 분리와 최소 필요 원칙이 제대로 작동하지 않았다는 의미”라고 밝혔다.
대만 개인정보보호법 체계에서는 실제 저장 여부뿐 아니라 무단 접근 자체와 기업 내부 통제 체계의 적절성이 핵심 쟁점이 된다.
디지털산업서의 행정조사 결과는 이르면 10영업일 내 나올 것으로 전망된다. 한국에서와 동일한 성장 전략을 펼쳐온 쿠팡이 위기 대응에서도 유사한 전철을 밟으면서 현지 신뢰에 균열이 생겼다는 평가가 나온다. 비즈니스 넥스트는 제재 수위와 관계없이 이번 사태로 쿠팡이 대만 소비자 신뢰에 상당한 타격을 입은 것으로 보인다고 분석했다.
국제부
최근 댓글 목록