광고닫기

국회 "소유주 김범석 왜 사과 않나" 쿠팡 대표 "어디 있는지 모른다"

중앙일보

2025.12.01 21:46 2025.12.02 06:11

  • 글자크기
  • 인쇄
  • 공유
글자 크기 조절
기사 공유

1년 전 퇴사한 직원이 반년 동안 뒷문으로 드나들어도 회사는 이를 전혀 눈치채지 못했다. 3370만 쿠팡 가입자의 이름·이메일·집주소 등 개인정보를 퇴사한 직원이 빼돌리도록 방치한 쿠팡 얘기다.

2일 열린 국회 과학기술정보방송통신위원회의 쿠팡 정보 유출 사태 긴급 현안질의에서는 지난 6월부터 5개월 간 고객 3770만명의 개인정보를 유출한 쿠팡 전 직원이 지난해 12월 이미 퇴사한 것으로 확인됐다. 퇴사 전 훔친 비밀번호(서명키)를 활용해 가짜 출입증(토큰)을 반복 생성하며 쿠팡 시스템에 접속하는 방식으로 고객 정보에 접근했다. 국회에선 “김범석 의장을 체포해야 한다”는 강경한 목소리도 나왔다.

박대준 쿠팡 대표(왼쪽)가 2일 국회 과학기술정보방송통신위원회전체회의에서 열린 쿠팡 개인정보 유출 사태와 관련 현안질의에서 의원 질의에 굳은 표정을 짓고 있다. 오른쪽 둘째는 브랫 매티스 쿠팡 CISO. 임현동 기자
이날 국회에선 쿠팡의 허술한 퇴사자 관리에 대한 질타가 쏟아졌다. 퇴사 시점 관련 질의에 대해 박대준 쿠팡 대표는 “인증 시스템을 개발하는 개발자다. 지난해 12월 퇴사했다”며 “퇴직 후 시스템 접근 권한이 모두 말소됐다”고 말했다. 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 “쿠팡의 인증 토큰은 개인적인 서명키가 필요하다. 정보 유출자는 회사를 떠나기 전 쿠팡 내부의 서명키를 탈취한 것으로 보인다”며 “이를 활용해 가짜 토큰을 만든 것”이라고 설명했다. 훔친 비밀번호(서명키)를 활용해 현직에 있는 다른 직원인 척 출입증(토큰)을 만들고 시스템에 로그인했다는 의미다.

5개월간 이를 몰랐던 데 대해 매티스 CISO는 “다른 소스에서 다른 IP(네트워크상 기기 고유번호) 주소 여러 개를 사용한 것으로 보인다. 관제 시스템 임계치 밑으로 기록돼 알지 못했다”고 말했다. 출입증을 여러개 만들어 조금씩 정보를 가져가는 수법을 써서 쿠팡의 감시망을 피했다는 해명이다.

질의를 마친 이준석 개혁신당 의원은 자신의 페이스북을 통해 “서명키가 털렸다 한들, (유출자가) 수천만 사용자 계정을 뚫으려면 각 사용자 이메일 주소를 다 알아야 하는데, 이 방대한 이메일 목록을 유출자가 알아낸 건 쿠팡의 보안 시스템의 구조적 결함 때문”이라고 지적했다. 고객 식별값을 암호화된 난수로 설정하지 않아, 해커가 숫자 1, 2, 3…을 차례로 대입하면 모든 사용자의 이메일 계정에 접근할 수 있는 방식이었다는 것이다. 또 이 의원은 “내부에서만 써야할 문이 밖으로 열려 있었다”고도 비판했다. 이에 대해 쿠팡은 별도의 입장을 밝히지 않았다.

약 3370만 명에 이르는 쿠팡 이용자 개인정보 유출 사태로 이용자들이 집단소송을 준비하는 가운데 2일 대구의 쿠팡 이용자가 집단소송 카페를 살펴보고 있다. 이 카페는 이미 가입자가 13만 명을 넘었다. 뉴스1
창업자인 김범석 쿠팡Inc. 이사회 의장의 책임론도 불거졌다. “한국에서 전체 매출의 80%를 올리는데 실질적 소유주가 책임에서 비켜나선 안 된다”며 김 의장의 직접 사과도 요구했다. 그러나 박 대표는 김 의장 책임론에 선을 그었다. 그는 “현재 한국 법인의 대표로서 이 사건에 관해 전체 책임을 지고 있으며, 사태가 완전히 수습될 수 있도록 최선을 다하고 있다”고 말했다.

김 의장의 사과 여부에 대해 박 대표는 “사건은 한국 법인에서 발생한 일이고 대표로서 책임을 다하는 것이 맞다”고 재차 답했다. 그러면서 “사고 발생 이후 이사회를 통해 관련 내용을 (김 의장에게) 보고했다. 해외에서 글로벌 비즈니스를 담당하고 있어 (김 의장이 어디에 있는지) 장소는 모른다”고 덧붙였다. 이에 이상희 국민의힘 의원은 “사태가 이 정도로 심각한데 소유주 위치도 파악 못 한다는 게 말이 되느냐”고 질타했다.

이날 국회에선 쿠팡이 사고 경과를 설명하면서 ‘유출’이란 표현 대신 ‘노출’이라는 용어를 사용한 점에 대해서도 문제를 제기했다. 한민수 더불어민주당 의원은 “정확한 피해 규모와 성격조차 명확히 밝히지 않은 채 용어로 책임을 희석하려는 것이 아니냐”며 목소리를 높였다. 쿠팡이 홈페이지에 게시했던 사과문을 사흘 만에 삭제한 사실도 논란이 됐다. 이에 박 대표는 “사과문 철회 의도는 없었으며, 고지 방식 재정비 과정에서 발생한 문제”라고 해명했다.

다수 의원들은 3370만건의 개인정보가 5개월간 무방비로 외부에 유출된 데 대해 질책을 쏟아냈다. 쿠팡은 내부 조사와 외부 수사를 통해 보안 점검을 진행 중이라고 밝혔다. “이름, 전화번호, 주소가 딱 나온 종합세트 같은 정보가 나간 건 처음이다. 영업 정지도 가능한 상황이다. 2차 피해 가능성은 없나”(박정훈 의원)는 질문에 박 대표는 “아직 2차 피해는 없는 것으로 안다”고 답했다.

의원들은 정부가 쿠팡에 대한 과징금 부과에 나서야 한다고 주장했다. 이에 개인정보보호위원회는 1조원 이상 과징금 부과 필요성에 대해 중점적으로 검토하겠다고 답했다. 이정렬 개인정보위 부위원장은 “매출 규모 확정 뿐 아니라 위반행위 중대성을 위원회에서 판단해 종합적으로 결정할 예정”이라고 말했다.

개인정보보호법에 따르면 개인정보 도난·유출 시 전체 매출의 최대 3%를 과징금으로 부과할 수 있도록 규정하고 있다. 지난해 쿠팡의 매출은 41조원으로 최대 비율을 적용하면 과징금은 1조2300억원에 이른다. 배경훈 과학기술정보통신부 장관은 “국민에게 직접 피해를 주고 금융 불안을 초래하는 사건은 징벌적 손해배상을 통해 반복되지 않도록 해야 한다”며 징벌적 손해배상 도입 등 제도 개선을 예고했다. 박 대표는 이번 사태로 과징금이 1조2000억원이 부과될 수도 있다는 이훈기 더불어민주당 의원의 지적에 "저희의 책임을 회피할 생각은 없다"고 말했다.



강기헌.김경미([email protected])

많이 본 뉴스

      실시간 뉴스