[딜사이트 권재윤 기자] 쿠팡에서 국민 4분의 3에 해당하는 3370만명의 이용자 개인정보가 유출된 사건을 두고 여야가 한목소리로 질타를 쏟아냈다. 쿠팡의 허술한 보안 체계와 자료 제출 지연 그리고 책임 축소를 위한 태도 등이 도마에 올랐다. 여야는 징벌적 손해배상 도입과 과징금 부과, 영업정지 검토 등 강력한 제재와 함께 재발 방지대책 마련을 촉구했다. 나아가 실질적으로 회사를 이끌고 있는 김범석 쿠팡Inc 이사회 의장이 직접 국민들에게 사과를 해야 한다고 목소리를 높였다.

2일 국회 과학기술정보방송통신위원회(과방위)는 쿠팡 개인정보 유출사고 관련 긴급 현안질의를 열었다. 이 자리에는 박대준 쿠팡 대표와 브랫 메티스 쿠팡 정보보호 최고책임자(CISO)가 참석했다.

의원들은 질의가 시작되자 쿠팡이 '영업 기밀'을 이유로 보안 관련 자료를 제출하지 않았다고 한목소리로 지적했다. 이에 대해 김 대표는 "한꺼번에 너무 많은 자료 요청이 들어와 물리적으로 시간이 걸렸다"고 해명했지만 의원들은 이를 받아들이지 않았다. 

김현 더불어민주당 의원은 "쿠팡 대관 인력이 40~50명에 달한다"며 "회장이나 사장 증인 출석 저지는 빠르게 하면서 자료 제출 요구에는 연락이 두절됐다"고 꼬집었다. 이에 최민희 과방위원장은 쿠팡에 지난 6월부터 최근까지의 보안 관제 보고서, 시스템 취약점 점검 결과보고서 등 관련 자료 제출을 요구했다. 

이번 개인정보 유출 사고의 경위에 대해 쿠팡 측은 내부 인증키가 유출돼 악용됐을 가능성이 있다고 밝혔다. 브랫 메티스 CISO는 "공격자로 추정되는 인물이 훔친 서명키를 이용해 실제 피해자가 서명한 것처럼 사용자를 가장했다"며 "쿠팡 내부에 있던 프라이빗 서명키가 취득된 것으로 보인다"고 설명했다.

이번 유출 사건의 개요에 대해 김승주 고려대학교 정보보호대학원 교수는 '호텔 방 키'에 비유했다. 김 교수는 "호텔에 들어갈 때 주민등록증으로 신원 확인한 뒤 방 키를 발급받는다. 그 방 키를 발급하는 비밀번호를 내부 개발자가 갖고 나간 상황"이라며 "호텔 방 키를 무한 생성해 고객 정보를 빼낸 것으로 볼 수 있다. 원래 직원이 퇴사하면 키 생성 비밀번호를 리셋해야 하는데 그런 기본 관리가 이뤄지지 않은 것으로 보인다"고 말했다.

이 과정에서 쿠팡은 고객의 공동현관 비밀번호도 일부 유출된 점을 시인했다. 앞서 쿠팡은 고객 이름, 이메일 주소, 배송지 주소록, 주문정보 일부가 노출됐다고 안내했으나 공동현관 비밀번호 역시 포함된 것으로 드러났다. 

박 대표와 브랫 메티스 CISO는 이번 사건의 용의자가 중국 국적의 전직 직원이라는 의혹에 대해 "경찰 수사 중인 사안이라 구체적으로 밝힐 수 없다"는 답변을 반복했다. 이에 최민희 과방위원장은 "박 대표가 경찰을 핑계로 답변을 회피한다면 이 회의가 끝나기 전에 여야 간사 합의로 청문회 날짜를 잡겠다"고 경고했다.

이번 개인정보 유출 용의자로 지목된 전직 중국 직원과 관련해 박 대표는 해당 인물이 인증 시스템을 개발하던 개발자였다는 점을 인정했다. 다만 그는 "여러 인원으로 구성된 개발팀이 각기 다른 역할을 맡고 있다"며 "피의자의 규모를 단수나 복수로 단정하기는 어렵다"고 덧붙였다. 

이에 외국인이 국민의 개인정보를 관리하는 것에 대한 우려도 제기됐다. 박충권 국민의힘 의원은 쿠팡 보안 IT 인력의 국적 분포를 질의했으나 박 대표는 "국적을 기준으로 직원을 평가할 수 없다"고 답했다. 

박 의원은 "국가기관의 경우 안보나 기밀 관련 분야에는 외국인이 종사할 수 없도록 규정돼 있다"며 "기업이라 하더라도 국민의 민간 정보를 다루는 핵심 부서에서 중국인이 근무하다가 수천만명의 개인정보를 유출한 것은 국민 정서상 용납되기 어렵다"고 지적했다.

이어 이상휘 국민의힘 의원도 "돈은 대한민국에서 벌고, 채용은 중국인하고, 수익은 김범석 의장이 가져가느냐"며 "대한민국을 통째로 흔들어놓고 한국을 우습게 보는 것 아니냐"고 목소리를 높였다.

여야 의원들은 쿠팡에 대해 최대 1조원 이상의 과징금을 부과해야 한다며 강력한 제재를 촉구했다. 필요하다면 영업정지도 검토해야 한다는 의견도 나왔다. 현행 개인정보보호법은 법 위반 시 전년도 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있다. 지난해 쿠팡의 매출액이 약 42조원에 달한 점을 고려하면 과징금 규모는 최대 1조2000억원 수준에 이를 것으로 추산된다.

박정훈 국민의힘 의원은 류제명 과학기술정보통신부 차관을 향해 "공정거래위원회에서 영업정지 가능 여부를 검토했느냐"고 질의하며 "전자상거래법 32조 2항에 따르면 통신판매로 재산상 손해가 발생한 경우 영업정지를 명할 수 있다. 이번 사안은 그 정도의 조치가 고려될 수준"이라고 말했다.

아울러 쿠팡이 사과문에서 의도적으로 '유출' 대신 '노출'이라는 표현을 사용해 책임을 회피하려 한 것 아니냐는 지적도 제기됐다. 개인정보보호법상 '노출'은 처벌 규정이 없지만 '유출'의 경우 5000만원 이하의 과태료, 매출액의 3% 이하 과징금, 5년 이하의 징역 또는 5000만원 이하의 벌금이 부과될 수 있다. 

이에 일각에서는 쿠팡이 법적 책임을 피하기 위해 의도적으로 '노출'이라는 표현을 사용한 것 아니냐는 비판도 나왔다. 또한 사과문이 일시적으로 배너에만 게시됐다가 이날을 기점으로 사라졌다는 점도 도마에 올랐다. 이에 대해 박 대표는 "어떤 책임을 모면하려는 의미는 아니었다"며 "다른 의도는 없었다"고 해명했다.

이번 사상 최악의 개인정보 유출 사태에 김범석 쿠팡Inc 이사회 의장이 직접 사과해야 한다는 요구도 나왔다. 김 의장은 한국 쿠팡 지분 100%를 보유한 쿠팡Inc의 최대주주로 의결권 74.3%를 보유하고 있다.

하지만 박 대표는 자신이 책임을 지겠다는 입장을 보이며 김 의장의 책임에 대해서는 선을 그었다. 이훈기 더불어민주당 의원이 "국민들은 김범석 의장이 직접 사과하기를 원한다. 그분은 항상 뒤에 숨어 있느냐, 사과할 의향이 없는 것이냐"고 추궁했지만 박 대표는 "한국법인 대표로서 제 책임 하에 사태 수습에 최선을 다하겠다"고 답했다. 또한 김 의장의 거취나 이번 사안에 대한 미국 이사회 보고 현황에 대해서는 답변을 회피했다. 

한편 김승주 교수는 이번 해킹 사태의 2차 피해를 막기 위해 ▲결제 카드 등록 해제 ▲카드 비밀번호 변경 ▲쿠팡 로그인 비밀번호 교체 등을 권고했다. 반면 박 대표는 "아직 유출됐다고 확신할 수 없으며 지나친 대응은 오히려 불안감을 조성할 수 있다"고 신중한 입장을 보였다.