"신뢰가 곧 매출"⋯ 뚫리면 고객 떠나고 기업 가치 나락 [2026 보안이 ‘영업권’]

쿠팡·SKT 사고로 이용자 이탈
내부 유출·외부 해킹 동시 공격
기업, 투자 아닌 비용 인식 여전
매출 규모 맞게 보안투자 나서야

플랫폼, 통신사, 금융사를 가리지 않고 대형 해킹 사고가 잇따르면서 보안이 더 이상 정보기술(IT) 부서의 관리 항목이 아닌 기업 ‘경영 리스크’로 격상되고 있다. 과거처럼 과징금이나 복구 비용으로 끝나는 문제가 아니라, 기업의 신뢰와 기업가치를 결정짓는 변수가 됐다는 지적이다.

최근 개인정보 유출 사태가 발생한 기업들은 주가 폭락을 겪었다. 쿠팡은 일간 활성 이용자 수(DAU) 추정치는 두 달 만에 1400만 명대로 떨어지는 등 ‘탈팡’ 흐름도 감지됐다. 앞서 SK텔레콤의 경우 해킹 사태를 발표한 이후 83만 5214명이 번호이동으로 이탈했으며 60만 1376명이 순감했다. SKT의 지난 3분기 연결 기준 영업이익은 484억 원으로 지난해 동기보다 90.9% 감소했다.

김도승 전북대 로스쿨 교수(개인정보보호법학회장)는 과거 보안 사고가 일회성 비용 문제였다면, 이제는 ‘기업 신뢰 자본의 증발’이라는 구조적 재무 리스크로 전환됐다고 지적했다. 그는 “쿠팡과 같은 플랫폼 기업은 이용자의 데이터 신뢰도가 곧 매출의 근간”이라며 “보안 사고는 고객 이탈, 브랜드 가치 하락∙ 주가 폭락과 직결되는 문제가 됐다”고 덧붙였다. 디지털 의존도가 높아진 현대 사회에서 보안 사고는 일상적 위험이 됐고, 그 여파가 기업가치와 주가에 즉각 반영되는 환경이 형성됐다는 설명이다.

문제는 기업 내부에서 여전히 보안을 ‘투자’가 아닌 ‘비용’으로 인식하는 구조가 고착돼 있다는 것이다. 김명주 ETRI 인공지능안전연구소장은 “몇 년 동안 유출 사고가 없었던 기업들은 보안∙시스템 관리를 비용으로 인식했을 것”이라며 “건축물이 커질수록 사고가 크게 나는 것처럼 한계에 다다른 상황”이라고 지적했다. 내부자 유출, 외부 해킹 등 다양한 위협을 동시에 막기 어려운 구조가 만들어졌다는 것이다.

특히 매출 규모가 큰 기업에는 투자 여력에 걸맞은 보안 수준이 요구된다. 황석진 동국대 국제정보보호대학원 교수는 “매출 40조 원인 기업이 보안에 1000억 원을 투자해도 매출 대비 0.25%에 불과하다”며 “매출의 1%이더라도 정보보호 어느 부분에 투자하는지, 내부 통제와 책임 구조가 제대로 작동하는지가 핵심”이라고 말했다. 2025년 기준 쿠팡의 정보보호 투자비는 890억 원으로, 매출액(42조 원) 대비 비중은 0.2% 수준이다.

개인정보 유출에 대한 징벌적 과징금∙손해배상제 등의 제도적 압박도 기업 경영에 직접적인 부담으로 작용할 가능성이 높다. ‘해킹과의 전면전’을 선언한 정부는 반복적이거나 중대한 침해사고가 발생하는 기업에 대한 징벌적 과징금과 손해배상제를 도입하겠다고 밝혔다. 현행 ‘전체 매출액의 3%’인 과징금 상한을 ‘매출액의 10%’까지 올리는 특례 도입도 추진 중이다.

전문가들은 2026년을 기점으로 보안이 기업의 선택지가 아닌 생존 조건이 될 것으로 보고 있다. ‘Security-First’ 경영이 선언적 구호가 아닌 재무 전략의 핵심 축으로 자리 잡아야 기업의 지속가능성이 담보된다. 김도승 교수는 “이제 보안은 비용이 아니라 투자의 우선순위로 고려되어야 하는 시대”라며 “자신의 회사뿐만 아니라 연결된 모든 생태계의 보안 수준을 직접 관리하는 것이 경영전략의 핵심 지표가 될 것”이라고 강조했다.