‘3400만 개인정보 유출’ 쿠팡, 관리부실 ‘책임론’…조단위 과징금에 영업정지까지

[한국금융신문 박슬기 기자] 3370만 개 개인정보 유출. 전례 없는 대규모 사태다. 이번 사고는 인증 담당자에게 발급되는 서명키를 갱신하지 않은, 쿠팡의 명백한 잘못으로 발생했다. 쿠팡 측의 진정성 있는 반성과 대책 마련이 요구되는 대목이다.

2일 오전 10시에 개최된 국회 과학기술정보방송통신위원회(이하 과방위) 현안질의에는 류제명 과학기술정보통신부 2차관과 이정렬 개인정보보호위원회 부위원장 그리고 쿠팡의 박대준 대표와 브랫 매티스 정보보호최고책임자(CISO) 등이 참석했다. 이번 현안질의는 쿠팡에서 약 3370만 개 고객 정보가 무단으로 유출되면서 이에 대한 잘잘못을 따져 묻기 위해 열렸다.

이번 사태는 쿠팡의 장기 유효 인증키 관리 부실이 불씨가 됐다. 인증담당자에게 발급한 서명키를 갱신하지 않아 퇴사 직원이 계속 접속할 수 있는 구조가 유지됐고, 이 허점이 대규모 유출로 이어졌다는 분석이다. 유출된 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다.
류제명 차관이 이날 현안질의에서 공개한 대응 경과보고에 따르면 쿠팡 개인정보 유출 사고에서 식별된 공격 기간은 올해 6월 24일부터 11월 8일까지인 것으로 나타났다. 류 차관은 “지난해 7월부터 올해 11월까지 전수로그 분석 결과 이 기간 3000만 개 이상 계정에서 개인정보가 유출됐다”고 밝혔다.

이어 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”며 “이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다”라고 설명했다.



현안질의에 참석한 박대준 대표와 매티스 CISO는 “책임을 통감한다”면서도 민감한 질문에는 “경찰 조사 중”이라거나 “파악이 안 됐다”, “명확한 수치는 모른다”는 등의 말로 답변을 피했다. 특히 전날부터 의원들이 요청한 자료들도 다수 제출이 안 된 것으로 확인됐다.

박 대표는 “전날 많은 의원님들로부터 자료를 요청받아 물리적인 시간이 걸리고 있다”고 했지만 의원들은 곧이곧대로 듣지 않았다. 의원들은 “국감(국정감사) 할 때는 그렇게 국회에 자주 오더니 자료 요청하려니까 연락이 두절됐다”거나 “영업비밀이 아닌 자료요청에도 영업비밀이라고 줄 수 없다는 답변을 받았다”며 불만을 쏟아냈다.

김범석 쿠팡Inc 의장의 책임론도 불거졌다. 대규모 유출 사태인 만큼 실질적 쿠팡의 소유주인 김범석 의장이 직접 나서 사과를 해야 한다는 의원들의 요구가 이어졌다. 박 대표는 이와 관련해 “한국법인에서 벌어진 거고, 제 책임이기 때문에 제가 사과드릴 일이다. 끝까지 책임을 지고 최대한 노력을 다하겠다”고 선을 그었다.

아울러 쿠팡은 ‘유출’이라는 단어 대신 ‘노출’을 사용해 논란을 축소시키려 했다는 이유에서 질타를 받았다. 조인철 더불어민주당 의원은 “유출이 아닌 노출이라고 말한 것은 논점 흐리기 전략으로 대응한 것”이라고 지적했다. 황정아 더불어민주당 의원 역시 “고객 정보가 유출이 아닌 노출됐다며 말장난으로 상황을 면피했다”면서 “새벽배송이라는 유통 혁신을 견인한 회사가 유출, 노출 구분도 못하는 게 말이 안 되지 않느냐”고 따져물었다.

최민희(더불어민주당) 과방위원장은 쿠팡의 대응이 불성실하다면서 향후 청문회 개최에 대해 언급했다. 그는 “박 대표가 경찰 핑계로 답변을 회피하고 있다. 이번 회의가 끝나기 전에 여야 간사 합의로 청문회 날짜를 잡겠다”며 “박 대표를 비롯해 쿠팡의 실질 소유자인 김범석 의장도 증인으로 채택하겠다”고 말했다.


이번 사태는 쿠팡에서 퇴사한 중국인 인증담당자의 소행으로 알려졌다. 하지만 정부와 쿠팡 경영진은 연일 “경찰 수사 중”이라는 말뿐, 속시원히 답하지 않고 있다.

이준석 개혁신당 의원은 개인정보 유출자가 조선족인지 중국인인지 물었다. 이에 박 대표는 “현재 수사가 진행 중”이라며 말을 아꼈다.

박충권 국민의힘 의원 또한 “유출자가 중국 국적자인 전직 직원이라는 게 맞느냐?”고 물었지만 박 대표는 “제가 범인을 특정한다거나 수사 진행 중인 사안에 대해서 말씀드리는 것은 위험하다”고 답했다.

정부도 마찬가지다. 박정훈 국민의힘 의원은 배경훈 과기정통부 장관에 “해당 중국인이 한국에 있나?”라고 물었다. 그러자 배 장관은 “국가를 특정하기 힘들다”고 했다.

이에 박정훈 의원은 “중국인이라는 게 알려지면 안되냐”며 “외교적 마찰 때문에 그러냐. 해당 범죄자가 중국으로 출국한 것으로 아는 상황이니 않냐. 중국정부와 소통하는 것에 대해서 알고 있는 건 없느냐”고 따졌다.

그러자 배 장관은 “국내뿐만 아니라 경찰에서 조사하는 것으로 알고 있다”며 말을 아꼈다.



이번 사태로 쿠팡이 물어내야 할 과징금과 처벌 수위에 대한 관심이 커지고 있다. 적게는 1조 원, 많게는 4조 원까지 언급된다. 여기에 영업정지까지 거론되고 있다.

2023년 개정된 개인정보보호법에 따르면 법 위반 시 매출액의 3%까지 과징금을 부과할 수 있다. 지난 4월 발생한 개인정보 유출 사고로 SK텔레콤은 역대 최대치인 1347억9000만 원의 과징금을 부과받았다. 지난해 매출액 41조를 기록한 쿠팡의 경우, 1조3000억 원에 달할 수 있다.

이재명 대통령은 이번 사안과 관련해 징벌적 손해배상제도 적용을 포함, 실질적인 대책을 마련하라고 지시했다. 이 대통령은 이날 제52회 국무회의를 주재한 자리에서 “피해 규모가 3400만 건으로 방대한데도 사건이 발생하고 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다. 이 정도인가 싶다”고 말했다.

이어 “관계부처는 해외 사례들을 참고해서 과징금을 강화하고 징벌적 손해배상제도도 현실화하는 등 실효적인 대책 마련에 나서 달라”고 주문했다.

이와 관련해 이훈기 더불어민주당 의원은 “대통령이 징벌적 손해배상이 필요하다고 했는데 이렇게 되면 매출액의 10%, 즉 쿠팡은 4조를 내야 한다”고 했다. 이 의원은 과징금을 10%로 상향한 개인정보보호법 개정안을 제출했다. 실제 대통령실에서도 관련 이야기가 나온 것으로 전해진다.

황정아 의원은 박 대표에게 “과징금 나오면 소송 안 걸고 수용할 거냐”고 물었다. 그러자 박 대표는 “저희 책임에서 회피하고 싶지 않다”고 답했다.

이정렬 개인정보보호위원회 부위원장은 “현재 조사단을 꾸린 상태고, TF를 꾸려서 상주하는 상태다. 법에서 정한 대로 엄정하게 처분하겠다”고 말했다.

영업정지 가능성도 있다. 박정훈 의원은 배 장관에게 “전자상거래법상 통신 판매로 재산상의 손해가 났을 경우 영업정지를 할 수 있는데 그렇게 할 것인가”라고 물었고 배 장관은 “논의해보겠다”고 답했다.

박슬기 한국금융신문 기자 seulgi@fntimes.com