쿠팡 개인정보 유출 사태 이후 기관투자자들의 투자 공식 셈법도 복잡해졌다. 그동안 유니콘 기업을 바라보는 시각이 성장률·거래액(GMV)·시장점유율 중심이었다면, 이제는 '규제·보안·집단소송 리스크'라는 다른 산식으로 다시 평가해야 한다는 분위기가 감지된다.

쿠팡 모델은 오랫동안 한국 유니콘 성장 서사의 표준처럼 여겨져 왔다. 적자를 감수하더라도 물류와 IT에 선제 투자해 점유율을 키우고, 이후 수익화와 기업공개(IPO)로 회수한다는 공식이다. 하지만 이번 사태 이후 기관투자가들 사이에서는 '쿠팡 모델'이 성장에서 리스크 관리로 빠르게 전환하고 있다는 평가가 나온다.

쿠팡 사태는 그 규모와 성격을 고려하면, 단순히 개인정보 유출 사고로만 보기 어렵다는 시각이 많다. 3370만명 개인정보 유출은 국내 최대 규모이며, 과징금·징벌적 손해배상·집단소송 리스크가 어디까지 확장될지 가늠하기도 쉽지 않다.

최근 SK텔레콤 정보 유출 때 2324만명 규모로 1348억원의 과징금이 부과된 사례를 감안하면, 쿠팡에 대해선 수천억~1조원대 과징금 가능성이 공공연히 거론된다. 외형 성장 단계에 있는 기업이라 하더라도, 한 건의 사고가 상각전영업이익(EBITDA) 몇 년치를 날릴 수 있다는 우려가 재무모델에 직접 반영될 수 있는 셈이다.

더 큰 문제는 사고의 원인이 고도화된 해킹이 아니라, 내부통제 미흡·권한 관리 부실·탐지 지연 등 '기본기 부족'으로 드러났다는 점이다. 이는 기관투자자가 가장 경계하는 유형이다. 리스크가 예측하기 어렵고, 사고 이후의 커뮤니케이션 과정에서도 혼선이 반복되면 기업 거버넌스의 신뢰도, 규제당국과의 관계 모두가 흔들릴 수밖에 없다.

정치권의 반응이 기관투자자의 투자 판단에 미치는 영향도 커지는 추세다. 이번 사태 이후 여권 일각에서 온라인플랫폼법(온플법) 재추진 신호가 나오고, 정부는 징벌적 손해배상·집단소송제 확대, 정보보호 인증 강화 등 규제 체계를 손보는 방안을 검토하고 있다. 

이는 쿠팡뿐 아니라 네이버·컬리·배민·토스 등 대형 플랫폼 기업들이 상시적인 규제 압력 아래 놓일 수 있다는 의미다. 개별 사고가 전체 섹터의 밸류에이션 멀티플을 누르는 방향으로 작동하는 구조가 만들어질 수 있다는 우려도 나온다.

이러한 흐름 속에서 기관투자자의 평가 기준도 변화하는 모양새다. 과거에는 성장 스토리·시장 점유율·유저 수 확대가 핵심 지표였다면, 이제는 사고 발생 시 예상 손실 규모, 규제 노출도, 정보보호 역량, 내부통제 체계가 사업모델의 '핵심 변수'로 들어왔다는 평가다. 성장 곡선이 가팔라질수록 규제·보안 리스크도 함께 기하급수적으로 커지는 구조를 더 이상 무시할 수 없게 됐다는 의미다.

일부 벤처캐피탈(VC)들은 스타트업과 유니콘 기업의 실사 과정에서 보안·데이터 거버넌스 항목을 별도 평가 영역으로 분리하는 작업도 준비 중인 것으로 전해진다. 기업이 어느 규제 트랙에 올라타 있는지, 사고 발생 시 과징금·소송 비용이 재무제표에 미치는 영향이 어느 정도인지, 정보보호 인력·예산·권한 수준이 사업 규모와 정합적인지 등을 본격적으로 들여다보겠다는 것이다.

국정감사에서 국민연금의 책임투자(ESG) 운용체계가 문제된 이후, 연기금·공제회들이 ESG를 실제 투자 의사결정에 반영하는 비중도 커지는 추세다. 그동안 ESG 평가에서 중대재해가 감점 요인으로 작동해 왔다면, 앞으로는 '대형 보안 사고'가 별도의 감점 기준으로 자리 잡을 가능성도 있다.

자연스럽게 쿠팡 모델을 참고해온 다른 유니콘들에 대한 투자자들의 질문도 달라지고 있다. 과거 쿠팡과 함께 대표적인 이커머스 유니콘으로 평가받았던 컬리는 새벽배송·풀필먼트 중심의 고비용 구조에서 보안·내부통제 투자가 추가될 경우, IPO 추진과 밸류에이션 방어가 더 까다로워질 수 있다는 시각이 나온다.

배달의민족은 기존의 수수료·라이더 이슈에 더해 데이터·보안 의무가 결합되면 규제 부담이 한층 확대되는 그림이 예상된다. 온플법 논의가 재점화할 경우 '자사 우대·데이터 남용·수수료 구조'가 세트로 규제 대상에 포함될 가능성도 배제하기 어렵다. 생활 밀착형 플랫폼인 배달앱이 사실상 지역 인프라 성격을 띠고 있다는 점을 감안하면, 향후 규제 강도는 오히려 높아질 수 있다는 분석도 나온다.

토스는 금융업에 준하는 감독을 받는 영역으로 확장해온 만큼, 전산 안정성과 정보보호 체계가 상장 과정에서 주요 평가 지표가 될 것이라는 관측이 기관투자자 사이에서 조심스럽게 언급된다. 성장성·이용자 수·사업 다각화보다 '전통 금융지주 수준의 사고 대응 능력을 갖추고 있느냐'가 프리미엄을 결정하는 변수로 떠오르는 분위기다.

쿠팡 사태를 기점으로 자본시장에서 플랫폼·유니콘 섹터는 구조적 리레이팅 구간에 진입했다는 평가가 힘을 얻는다. 성장률과 점유율만으로 높은 멀티플을 인정하던 구조가, 보안·규제 비용·잠재 과징금을 선반영해 디스카운트하는 방식으로 바뀌고 있다. 반대로 규제 대응을 위한 보안·데이터 관리·레그테크(RegTech) 분야는 정책 수요와 시장 수요가 동시에 늘어나면서 새로운 투자처로 부상할 수 있다는 전망도 뒤따른다.

한 대형 VC 관계자는 "미국 VC들은 보안을 '사고를 막기 위한 비용 센터'가 아니라 클라우드·AI와 같은 성장 섹터로 본다"라며 "한국은 여전히 플랫폼·유니콘에 프리미엄을 주고 보안은 최소 비용으로 떼우려는 인식이 강한데, 쿠팡 사태 이후에는 이 시각이 완전히 뒤집어질 수 있다"라고 말했다. 

다른 VC업계 관계자는 "이제는 어느 스타트업이 더 빨리 크느냐보다, 대형 사고가 났을 때도 버틸 수 있는 구조를 갖추고 있느냐가 기관투자가의 핵심 질문이 될 것"이라며 "전통적인 유니콘 BM이 흔들리고 있는 상황에서, VC들도 투자 프레임을 서둘러 재점검하고 있다"라고 말했다.