1일 서울경찰청 사이버수사대에 따르면 쿠팡 정보 유출 협박성 메일은 쿠팡과 고객 양쪽에 전달됐다. 지난달 25일 쿠팡 고객센터에 보내진 메일은 “회원 개인정보를 갖고 있다. 보안을 강화하지 않으면 언론에 알리겠다”는 내용이었다. 앞서 16일엔 쿠팡 고객 다수도 비슷한 이메일을 받았다고 한다. 일부 고객이 쿠팡 측에 민원을 제기했고, 쿠팡이 자체 조사에 나섰다(중앙일보 11월 30일자 1면).
경찰은 고객과 쿠팡 측이 받은 발신자 이메일 계정이 각각 다른 2개라고 밝혔다. 2개 이메일을 보낸 사람이 동일인인지, 또 이메일 발신자와 고객 정보 유출자가 같은 사람인지 여부를 수사하고 있다. 경찰은 “범행에 사용된 IP 주소를 확인해 국제공조를 통해 추적 중”이라고 설명했다. 이번 유출 사태의 핵심 관련자가 중국 국적의 쿠팡 전 직원이고, 해당 직원은 한국을 떠난 상태란 주장과 관련해 경찰은 “수사로 확인된 사실은 아니다”고 말했다.
정보 유출에 대한 추가 피해 우려에 대해 회원 탈퇴는 물론 집단소송까지 움직임이 확산하고 있다. 법조계에 따르면 쿠팡 이용자 14명은 이날 쿠팡을 상대로 한 손해배상 청구 소장을 서울중앙지법에 제출했다. 1인당 위자료 20만원을 청구했다. 쿠팡 집단소송 카페들에는 20만 명이 넘는 회원이 가입해 소송 의사를 나타냈다.
이번 사태는 쿠팡이 급격히 성장했지만 내부 관리 체계가 이를 따라가지 못해서 벌어진 오버스케일링(Over-scaling)의 결과라는 분석이 나온다. 황용식 세종대 경영학과 교수는 “보안이나 사망사고가 반복되는 건 우연이 아니다”며 “경영진이 반복되는 사고에도 위기의식을 느끼지 못하거나 문제 원인을 제대로 파악하지 못한 채 투자만 늘리고 있는 건 아닌지 원점에서 점검해야 한다”고 말했다.
━
고객정보 쌓여가는데 내부보안은 낙제점
…‘몸만 큰’ 쿠팡
그동안 쿠팡은 e커머스, 신선식품 물류, 인터넷 동영상 서비스(OTT) 등으로 사업 영역을 빠르게 확장하며 방대한 데이터 생태계를 구축했다. 그러나 데이터 축적 속도에 맞춰 내부 보안 인력, 접근 권한 모니터링 시스템 등 인프라가 충분히 확보되지 못했다는 게 쿠팡 안팎의 지적이다. 김용진 서강대 경영학과 교수는 “실적과 성과에 집중한 기업이 빠르게 성장하며 내부통제를 포함한 컴플라이언스가 제대로 갖춰지지 않아 발생한 사고라고 본다”며 “단순히 투자액을 늘린다고 해서 기업 내부에 숨어 있는 문제가 완전히 사라지는 게 아니라는 걸 역설적으로 보여주는 사례”라고 말했다.
이번 정보 유출로 쿠팡은 역대 최대 규모의 관련 과징금 부과 위기에 놓였다. 법조계와 업계에 따르면 사안의 중대성과 쿠팡의 매출 규모(지난해 기준 41조원)를 고려하면 과징금 규모는 최대 1조원대에 달할 수 있단 전망도 나온다. 지금까지 국내에서 개인정보보호법 위반으로 가장 큰 과징금이 부과된 기업은 SK텔레콤으로, 2324만 명의 개인정보를 유출해 1347억9100만원을 부과받았다.
개인정보보호법은 개인정보 유출 시 전체 매출액의 최대 3%까지 과징금 부과가 가능하도록 규정하고 있다. 이때 전체 매출액에서 위반 행위와 무관한 매출은 제외하며, 위반의 중대성과 개인정보 보호 인증 여부 등에 따라 가중 또는 감경이 이뤄진다. 홍대식 서강대 법학전문대학원 교수는 “쿠팡은 이커머스와 직매입 비중이 절대적으로 높아 유출된 개인정보는 사업 전반에 활용된 것으로 볼 여지가 크다”며 “역대 최대 규모의 과징금이 책정될 수 있다”고 말했다.
최경진(인공지능·데이터 정책연구센터장) 가천대 법학과 교수는 “이론상 쿠팡에 대한 과징금은 최대 1조2300억원이지만, 쿠팡은 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 보유하고 있어 50%가 감경이 가능하다”며 “만약 정보보호 관련 직원 교육 등 추가 소명이 인정될 경우 3000억~4000억원 수준으로 내려갈 수도 있다”고 말했다.
박지순 고려대 법학전문대학원 교수는 “개인정보 유출 사례가 잇따르는 만큼 과징금을 포함한 실효적 제재 강화가 필요하다”며 “소비자가 체감할 수 있는 보호 장치가 마련돼야 한다”고 말했다.
강기헌.임선영.노유림.문상혁([email protected])