[현장] 전 국민의 현관이 털렸다…국회 “쿠팡 과징금 1.2조 이상 부과해야”

쿠팡 3370만 정보유출에 국회 긴급 현안질의
외국인 전직 개발자 연루 가능성 경찰 조사 중
자료 지연 논란…김범석 의장 소환 가능성도

[마이데일리 = 방금숙 기자] 박대준 쿠팡 대표는 2일 서울 여의도 국회 과학기술정보방송통신위원회 긴급 전체회의에 출석해 쿠팡 개인정보 유출 사태와 관련 “퇴직 직원은 시스템에 접근할 수 없으며, 이번 사건의 사실 관계는 수사를 통해 명확히 밝혀질 것”이라고 말했다.

과방위는 이날 쿠팡의 대규모 개인정보 유출 사태와 관련한 긴급 현안질의를 열고 정부 감독 부실과 쿠팡의 보안 거버넌스 문제를 집중 추궁했다.

회의에는 과기정통부·개인정보보호위원회·한국인터넷진흥원(KISA) 관계자와 함께 박대준 쿠팡 대표, 브랜 매티스 쿠팡 정보보호책임자(CISO), 민간 전문가 등이 참석했다.

류제명 과기정통부 2차관은 사고 발생 후 조사 경과를 보고하며, 지난 11월 19일 쿠팡의 침해 사고 신고 접수 이후 현장 조사와 로그 분석 결과, 지난해 6월부터 올해 11월까지 약 3300만개 계정 정보가 무단 조회된 것으로 확인됐다고 밝혔다. 유출 정보에는 이름, 이메일, 전화번호, 배송지 주소 등이 포함됐다.

류 차관은 “쿠팡 서버의 인증 취약점을 악용해 로그인 절차 없이 정보가 조회됐다”며 “인증용 토큰 서명키가 장기간 갱신되지 않고 악용된 정황이 있다”고 설명했다.

정부는 민관합동조사단을 구성해 원인 조사와 책임 규명을 강화하고, 스미싱 등 2차 피해 모니터링을 확대하겠다고 밝혔다.

이훈기 더불어민주당 의원은 “쿠팡은 5개월간 침입을 전혀 탐지하지 못했다. 인증키를 방치한 전형적인 보안 부실”이라며 “3300만건 유출은 국내 최대 규모 사고”라고 지적했다.

또 쿠팡이 이용자에게 보낸 안내문에서 ‘유출’ 대신 ‘노출’이라는 표현을 사용한 점을 지적하며 “과징금 감경을 의식한 표현 아니냐”며 “국민을 기만하는 행위”라고 질타했다.

이에 대해 박대준 쿠팡 대표는 “책임을 모면하고자 하는 의도는 없었다”며 “부족했던 것 같다”며 말했다.

김범석 의장의 직접 사과 여부를 묻는 질문에는 “한국 법인 대표로서 제가 책임지고 사과드린다”라며 고개를 숙였다.

박정훈 국민의힘 의원은 외국인 전직 개발자 연루 의혹을 언급하며 “중국 국적자가 범죄 조직에 정보를 넘겼을 가능성을 배제할 수 없다”고 추궁했다.

박대준 대표는 “수사 중이라 특정하기 어렵다”며 “현재 확인된 2차 피해 사례는 없다”고 밝혔다. 하지만 “퇴사자 권한 관리가 허술했던 것 아니냐”는 질문에는 명확한 설명을 내놓지 못했다.

이준석 개혁신당 의원의 “고객 정보 탈취한 목적이 무엇이라고 생각하느냐”는 질문에 브랫 매티스 쿠팡 최고정보보호책임자(CISO)는 “경찰조사가 진행 중이기 때문에 답변할 수 없다”고 말했다.

현재 알려진 이름, 이메일, 주소, 일부 주문 정보 외에 다른 정보가 유출됐을 가능성에 대해서는 “인증키를 확인했다. 이 사람이 일부의 API(응용프로그래밍 인터페이스)에만 접근할 수 있었다. 다른 정보 접근 증거는 찾지 못했다”고 답했다.

이날 국회에서는 쿠팡이 의원이 요청한 자료를 즉시 제출하지 않은 점이 논란이 됐다.

국회는 지난 6월부터 최근까지의 보안 관제 보고서, 시스템 취약점 점검 결과, 침해 사고 대응 훈련 결과 보고서를 요구했으나, 쿠팡 측은 영업 기밀을 이유로 제출을 지연했다.

박대준 대표는 “자료를 준비 중이며 물리적 시간 소요가 있다”고 해명했지만, 의원들은 이를 투명성 부족과 시간 끌기용이라고 지적했다.

최민희 과방위원장은 “답변을 보면 내부 조사는 상당히 진행된 것으로 보인다”며 “자료 제출을 거부하거나 지연하는 것은 국민 안전과 피해 예방 차원에서 용납될 수 없다”고 말했다.

그러면서 “이처럼 비협조적인 태도를 보일 시 추후 청문회에서 김범석 의장도 출석시킬 것”이라고 강조했다.

이날 여야 의원들은 “쿠팡이 40조원대 매출 규모의 공룡 기업임에도 반복적으로 노동환경 논란, 갑질 문제, 개인정보 보호 실패를 일으켰다”고 비판하며 강력한 제재 필요성에 한 목소리를 냈다.

현행 개인정보보호법은 매출액의 최대 3%까지 과징금 부과할 수 있으며, 쿠팡 매출(2024년 기준 41조원)을 감안하면 최대 1조2000억원까지 부과될 수 있다는 점이 거론됐다.

의원들은 “사상 초유의 유출”이라며 “솜방망이 처벌은 안 된다”며 강력 제재를 주문했다.

방금숙 기자 mintbang@mydaily.co.kr
- ⓒ마이데일리(www.mydaily.co.kr). 무단전재&재배포 금지 -