개인정보 유출 사태에 대해 쿠팡의 대응 태도를 두고 국회 여야 의원들의 비판이 쏟아졌다. 사고 규모에 비해 대응이 안일했던 쿠팡의 보안 의식과 함께 2차 피해에 대한 우려도 제기됐다.
국회 과학기술정보방송통신위원회가 2일 쿠팡 개인정보 유출 사태와 관련한 현안질의를 실시하고 박대준 쿠팡 대표를 증인으로 출석시켰다.
이 자리에서 과방위 의원들은 여야를 막론하고 쿠팡의 대응에 부족함이 있었다고 꼬집었다. 특히 가입자 안내 문자에서 '개인정보 유출' 대신 '개인정보 노출'이라는 표현을 사용한 점이 집중 추궁 대상이 됐다.
이훈기 더불어민주당 의원은 “쿠팡이 사고 안내 문자에서 '유출'이 아닌 '노출'이라는 표현을 썼다”며 “과징금 등을 의식해 표현을 축소한 것이라면 국민을 기만한 것”이라고 비판했다. 조인철 민주당 의원 역시 “3370만명의 이름·이메일·주소가 유출돼 국민 4명 중 3명이 사이버 공간에서 사실상 발가벗겨진 상황”이라며 “쿠팡의 대응은 지나치게 허술하고 안일하다”고 지적했다.
박대준 대표는 “책임을 모면하려는 의도는 전혀 없었다. 생각이 부족했다”며 사과했다. 아울러 창업주인 김범석 의장의 직접 사과 가능성에 대해서는 “한국 법인 대표로서 전체 책임을 지고 사태 수습에 최선을 다하겠다”고 밝혔다.
2차 피해 가능성도 도마에 올랐다.
박정훈 국민의힘 의원은 최근 국회 비서관에게 발송된 쿠팡 명의 인증번호 문자 사례를 제시하며 “결제·배송 등 범죄로 악용될 수 있는 상황”이라고 우려했다. 박 대표가 “현재까지 2차 피해는 없다”고 답했지만, 박 의원은 “단정할 수 없다”며 관련 보안 규정 자료 제출을 요구했다. 한민수 민주당 의원도 “본인 정보가 모두 노출됐는데 피해가 없다고 단언할 수 없느냐”고 따져물었다.
유출자로 지목된 중국인 보안 인력에 관심이 이어졌다. 박충권 국민의힘 의원이 “유출자가 중국 국적이 맞느냐”고 묻자, 박 대표는 “수사 중인 사안에 대해 범인을 특정해 언급하는 것은 위험하다”며 답변을 피했다.
기술적 쟁점을 둘러싼 공방도 진행됐다. 이준석 개혁신당 의원은 브랫 매티스 쿠팡 최고정보보호책임자(CISO)를 상대로 “탈취된 인증 토큰 암호키가 일반 이용자용인지, 개발자·관리자 계정용인지 명확히 밝혀야 한다”고 요구했다. 이어 “프라이빗 키만으로 데이터베이스 해시와 불일치하는 토큰이 어떻게 인증되는지 구조적으로 이해하기 어렵다”며 해시·솔트 등 핵심 정보 유출 여부를 명확히 설명하라고 추궁했다.
그러나 브랫 CISO가 “경찰 수사 중이라 답하기 어렵다”며 구체적 설명을 피하자, 최민희 과방위원장은 강하게 제지했다. 그는 “수사는 범죄 여부 판단이고, 국회는 기업의 보안 체계와 책임을 따지는 자리”라며 “이 정도 수준의 답변이 계속된다면 청문회를 열어 김범석 의장까지 증인으로 부르겠다”고 경고했다. 또 쿠팡이 보안 시스템과 관리 규정 등 기본 자료 제출도 거부하고 있다며 “이런 태도는 용납할 수 없다”고 지적했다.
정부와 국회는 이번 사태를 계기로 민관 합동조사단을 중심으로 사고 전 과정과 쿠팡의 보안 거버넌스 전반을 재점검한다는 방침이다. 필요할 경우 과징금·영업정지 등 법이 허용하는 최고 수준의 제재도 검토한다.
류제명 과학기술정보통신부 2차관은 “정보통신망법상 해외 법인이라도 우리 국민에게 영향을 미치면 처벌 대상”이라며 “이번 기회에 주요 통신사와 플랫폼 기업 전반의 보안 실태를 엄정하게 조사해 필요한 조치를 취하겠다”고 밝혔다.
박윤호 기자 yuno@etnews.com
