2일 현안질의에는 과학기술정보통신부와 한국인터넷진흥원(KISA) 등 관계기관 실무진이 참석했으며 개인정보보호위원회와 쿠팡 측 인사, 외부 보안 전문가도 자발적으로 회의에 참여했다.
출석자는 △이정렬 개인정보보호위원회 부위원장 △박대준 쿠팡 대표이사 △브랫 매티스 쿠팡 정보보호최고책임자(CISO) △김승주 고려대학교 정보보호학과 교수 등이다.
더불어민주당 이훈기 의원은 이날 질의에서 “쿠팡은 5개월간 해외 서버를 통한 무단 개인정보 접근을 전혀 인지하지 못했다”며 “매출 40조 원이 넘는 기업이 보안을 소홀히 해 국민을 스미싱·보이스피싱 범죄에 그대로 노출시켰다”고 비판했다. 이어 그는 “쿠팡이 유출 공지문에서 ‘유출’이 아닌 ‘노출’이라는 표현을 사용한 것은 책임 회피성 대응”이라며 문제를 제기했다.
이 의원은 또 “쿠팡은 가입자 정보 생성 즉시 폐기돼야 하는 인증키를 갱신하거나 삭제하지 않고 방치해 사고를 초래했다”며 “이는 과거 KT의 팸토셀 관리 부실 사태와 유사한 구조”라고 지적했다.
이에 대해 박대준 쿠팡 대표는 “다른 악의적인 의도는 없었으며 사고에 대한 책임은 본인의 소관”이라며 사과했다. 그러나 국회의 유출 경로와 방식 등에 대해서는 “수사 중이라 답변이 어렵다”는 원론적 입장을 반복했다.
이어 질의에 나선 국민의힘 박정훈 의원은 “쿠팡 가입 계정이 약 6000만 개인데 이번 유출 건수인 3370만 건은 사실상 서비스 이용자 대부분이 포함됐다고 볼 수 있다”고 말했다. 또한 “유출 주체가 중국계 해커인지 조직적으로 거래가 이뤄졌는지 여부를 국민들이 알고 싶어 한다”며 관련 자료 제출을 요구했다.
박 의원은 “주소, 연락처, 구매내역 등이 포함된 형태는 범죄 악용 가능성이 매우 높다”며 “보이스피싱뿐 아니라 특정 피해자 추적, 밀수 등에 쓰일 수 있는 심각한 수준”이라고 우려를 표했다.
이어 그는 “개인통관번호까지 유출됐다면 국가 안전망과 소비자 보호 체계가 흔들릴 수 있는 사안”이라며 정부에도 엄정 대응을 촉구했다.
이번 긴급대책회의에서는 개인정보보호법상 매출액의 3%까지 과징금 부과가 가능하다는 규정도 언급됐다. 이를 적용할 경우 쿠팡의 과징금 규모는 최대 약 1조2000억 원에 달할 수 있다는 전망이다.
박 대표는 “2차 피해는 아직 확인되지 않았으며 모든 조사에 협조 중”이라고 반복적으로 답했다.
[소비자가만드는신문=이정민 기자]
