머니투데이

대규모 고객 정보 유출 사태가 발생한 쿠팡이 정부 지시에 따라 정보 유출자의 자백을 받아내고 정보 유출에 사용된 기기를 회수했다는 취지의 성명서를 내면서 국문본과 영문본 표현에 미묘한 차이를 보인 것으로 27일(이하 미 동부시간) 확인됐다. 국내 성명서에선 감정적으로 호소하는 표현을, 해외 성명서에는 법적인 문제가 해소됐다는 취지의 표현을 사용한 것으로 나타났다. 지난달 말 정보 유출 사태가 알려진 뒤 뉴욕증시에서 20% 가까이 하락했던 쿠팡 모회사 쿠팡아이엔씨(Inc. ) 주가는 지난 25일 이 같은 성명서 발표 이후 하루만에 전 거래일 대비 6. 45% 상승 마감했다. 쿠팡은 국문 성명에서 "쿠팡의 조사는 '자체 조사'가 아니라 정부의 지시에 따라 몇 주간에 걸쳐 매일 정부와 긴밀히 협력하며 진행한 조사였다"며 "정부의 감독 없이 독자적으로 조사했다는 잘못된 주장이 계속 제기되면서 불필요한 불안감이 조성되고 있다"고 주장했다. 쿠팡은 이 같은 내용 중 '불필요한 불안감'이라는 표현을 영문 성명에서는 "잘못된 불안감(false insecurity)'으로 썼다.

"이렇게 중요한 소식은 중간 조사 형태라도 빨리 알려야 했다. " 쿠팡이 지난 25일 오후 고객 계정 정보유출 사건 중간 조사 결과를 정부와 협의 없이 전격 공개하면서 파장이 커졌다. 쿠팡은 정보유출자를 찾아내 범죄 행위를 자백받았다. 그동안 알려진 것과 달리 3370만개 모든 고객 계정이 빠져나간 게 아니었고 외부 저장장치를 통해 실제로 빼낸 고객 계정 정보는 3000여개에 그쳤단 게 중간 조사 결과의 핵심이다. 기본정보 외에 결제정보·로그인·개인통관고유번호는 유출되지 않았고, 제 3자에게 관련 데이터를 전송한 흔적도 없었다고 한다. 이 내용이 사실로 확인되면 그동안 쿠팡을 상대로 한 민관합동조사단의 심층 조사와 정부의 징벌적 손해배상, 세무조사 등 각종 제재가 무색해진다. 앞서 고객정보 유출 사건이 발생한 다른 기업과의 형평성 문제도 도마 위에 오를 수 있다. 그만큼 이 내용 자체가 이번 사건의 '중대 변수'란 의미다. 쿠팡이 정부의 유감 표명을 예상하고도, 조사 결과를 단독 발표한 배경엔 "더 이상 시간을 끌면 정상적인 경영이 어렵다"는 위기의식이 깔려있다.

쿠팡이 개인정보 유출 사태와 관련해 전날 발표한 조사 결과를 두고 "자체 조사가 아닌 정부와 긴밀히 협력해 진행한 조사"라고 한 데 대해 대통령실은 "모든 대처와 언론 대응은 범부처TF(태스크포스) 중심으로 이뤄질 것"이라고 밝혔다. 강유정 대통령실 대변인은 26일 청와대 춘추관에서 브리핑을 통해 "플랫폼 기업의 개인정보 유출 및 소비자 보호와 관련해 범부처TF를 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 (하는 기구로) 격상해 운영하기로 했다"며 이같이 말했다. 쿠팡은 전날 보도자료를 통해 "(고객정보) 유출자를 특정했고 고객 정보 유출에 사용된 모든 장치가 회수됐음을 확인했다"며 "유출자는 3300만개의 고객 정보에 접근했지만 약 3000개 계정만 저장했고 이 역시 모두 삭제했다"고 밝혔다. 이에 과기부는 전날 보도 설명자료를 통해 "민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 데 대해 쿠팡에 강력히 항의했다"며 "민관합동조사단에서 정보유출 종류, 규모, 유출경위 등에 대해 면밀히 조사 중"이라고 밝혔다.

고객 계정 정보유출 사건의 중간조사 결과를 공개한 쿠팡이 "자체 조사가 아닌 정부 공동조사 결과"라고 주장하자 경찰은 쿠팡과 별도 협의가 없었다고 반박했다. 26일 경찰에 따르면 쿠팡의 중간조사 결과 발표와 관련해 경찰과 사전 협의가 이뤄진 사실은 없다. 경찰은 쿠팡의 조사 과정 전반에 대해서도 사실관계를 면밀히 들여다보고 있다. 앞서 쿠팡은 이날 오후 입장문을 내고 이번 조사가 '자체 조사'가 아니라 정부 지시에 따라 수주간 정부와 협력해 진행한 공동조사였다고 주장했다. 개인정보 유출 사실 확인 이후 정부와 협력해 유출자 추적, 관련 기기 회수, 진술 확보 등을 진행했고 확보한 자료는 즉시 정부에 제출했다는 설명이다. 쿠팡이 협력했다는 정부에 경찰이 포함됐는지는 따로 언급하지 않았다. 사건을 조사 중인 서울경찰청 사이버수사과는 전날 언론 공지를 통해 "지난 21일 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출 받았다"며 "피의자의 실제 작성 여부와 범행에 사용된 증거물인지 여부 등을 면밀히 분석하고 있다"고 밝혔다.

쿠팡이 개인정보 유출 사태와 관련해 자체 조사 결과를 발표해 논란이 일고 있다. 비인가 권한으로 접근이 가능했던 고객 정보는 약 3370만건이었지만, 이 가운데 실제로 저장된 정보는 제한적이었고 외부 전송이나 추가 유출은 없었다는 설명이다. 하지만 수사기관에 앞선 섣부른 발표가 혼란과 피해를 더 키울 수 있다는 지적이 나온다. 쿠팡은 25일 오후 고객정보 유출 사건 관련 자체 조사 결과를 긴급 발표했다. 쿠팡은 "유출자는 탈취한 보안 키를 사용하여 3300만 고객 계정의 기본적인 고객 정보에 접근했고 약 3000개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)만 실제 저장했다"고 밝혔다. 이어 "여기에 포함된 공동현관 출입 번호는 2609개였고 사태에 대한 언론보도를 접한 후 저장했던 정보를 모두 삭제했으며 고객 정보 중 제3자에게 전송된 데이터는 일절 없다"고 덧붙였다. 쿠팡이 제시한 3370만건과 3000건은 서로 다른 의미의 숫자다. 탈취한 보안키를 통해 3370만건의 쿠팡 가입자의 개인정보에 접근이 가능했지만 실제로 유출자가 파일에 저장한 것은 3000건에 불과했고 제3자 유출은 없었다는 얘기다.

쿠팡이 개인정보 유출 피해 규모를 "3000명 수준"으로 축소 발표한 것을 두고 소비자단체와 법조계에서 반발이 잇따르는 가운데 국내 소비자단체들이 26일 대규모 소비자 공동소송에 착수했다. 소비자단체가 주도하는 공동소송으로는 이례적으로 원고단 목표를 1000만명으로 잡았다. 금융소비연맹, 소비자와함께 등 9개 소비자단체가 연대한 한국소비자단체연합은 이날 오후 전현희 더불어민주당 의원과 함께 국회 소통관에서 '쿠팡 개인정보 유출 손해배상 공동소송 출범식'을 진행하고 대규모 개인정보 유출로 피해를 입은 소비자들을 대상으로 공동소송을 추진한다고 밝혔다. 쿠팡 사건의 경우 1인당 착수금은 1만원, 청구금액은 30만원으로 책정했다. 한국소비자단체연합 홈페이지를 통해 국민원고단 모집에 돌입했다. 이들은 이번 소송이 소비자단체 주도의 공익적 소송이라고 강조했다. 조연행 금융소비자연맹 회장은 "소송 참가 규모가 작으면 패소해도 그 사람만 배상해주면 되고 참석 안 한 사람들의 소비자 권리는 지켜지지 못한다"며 "소비자단체가 공익적으로 나서서 국민원고단을 1000만명 모아 소비자 주권을 행사하도록 하겠다는 것"이라고 말했다.

쿠팡이 전일 발표한 정보유출 실질 고객 규모가 3000명이란 조사 결과에 대해 "자체 조사가 아닌 정부와 긴밀히 협력해 진행한 조사"란 입장을 밝혔다. 쿠팡은 26일 이같이 주장하면서 12월 초부터 현재까지 정부와 협력하에 진행한 조사 타임라인을 공개했다. 쿠팡은 "정부의 감독 없이 독자적으로 조사했다는 잘못된 주장이 계속 제기되면서 불필요한 불안감이 조성되고 있다"며 "이에 이번 데이터 유출 사건이 국민 여러분께 큰 우려를 끼친 만큼, 정부와의 공조 과정에 대한 사실을 명확히 밝히고자 한다"고 공개 배경을 설명했다. 쿠팡에 따르면 지난 1일 정부와 만나 조사 협력을 약속했다. 2일 쿠팡은 정부로부터 유출 사고에 대한 공식적인 공문을 받았다. 이후 몇 주간 거의 매일 정부와 협력해 유출자를 추적, 접촉하며 소통해왔다. 정보유출자로부터 완전한 자백을 받아내고, 유출에 사용된 모든 기기를 회수한 점, 유출 고객 정보에 대한 중요한 사실을 확보한 것도 모두 정부의 지시에 따른 것이란 게 쿠팡 측의 설명이다.

쿠팡의 개인정보 유출 사태 대응을 두고 대통령실과 각 부처에서 "선을 넘었다"는 목소리가 나온다. 대통령실과 관계부처가 조속한 사태 해결을 위한 범부처 장관 회의를 시작하는 시점에 맞춰 쿠팡이 '셀프조사' 결과를 발표하면서다. 26일 대통령실에 따르면 김용범 대통령실 정책실장은 성탄절인 전날 오후 4시쯤 배경훈 부총리 겸 과학기술정보통신부 장관·조현 외교부 장관·김윤덕 국토교통부 장관과 송경희 개인정보보호위원장·주병기 공정거래위원장·임광현 국세청장 등과 관계장관 회의를 열었다. 대통령실에서는 김 실장 등 정책실뿐 아니라 국가안보실 인사들도 자리했다. 전날 회의는 이재명 대통령의 지시로 소집된 것은 아니었던 것으로 전해졌다. 대통령실과 각 부처가 쿠팡 사태 해결과 관련 진행 상황을 점검하고 실효적 대책 마련을 위한 '속도전'을 논의하기 위해 마련됐다. 사태 발생 후 약 한달이 지났음에도 부처별로 국민들이 피부로 느낄만한 해법이 나오지 않았다는 판단에서다. 앞서 이 대통령은 지난 2일 국무회의에서 "쿠팡 때문에 우리 국민들께서 걱정이 많다"며 "관계부처는 해외 사례들을 참고해 과징금을 강화하고 징벌적 손해배상 제도도 현실화하는 등 실질적이고 실효적인 대책 마련에 나서주시기 바란다"고 주문한 바 있다.

더불어민주당 주도로 추진되는 쿠팡 연석청문회를 두고 당 내부에서도 실효성 비판이 제기된다. 국회 6개 상임위원회가 쿠팡과 관련한 여러 현안을 종합적이고 다각도로 다루겠단 취지에는 공감하지만 열흘도 남기지 않고 일정이 확정된 탓에 준비할 시간이 부족하다는 지적이다. 김범석 쿠팡Inc 의장의 출석마저 불투명한 상태서 맹탕청문회 우려가 번지는 모습이다. 25일 정치권에 따르면 이번 청문회는 과학기술정보방송통신위원회(7명)가 주관하고 △정무위원회(3명) △국토교통위원회(2명) △기후에너지환경노동위원회(3명) △기획재정위원회(2명) △외교통일위원회(1명) 등이 참여하는 이번 청문회는 민주당·조국혁신당·사회민주당 소속 의원 18명이 청문위원으로 합류했다. 청문회 위원장은 민주당 소속 최민희 과방위원장이 맡았다. 과방위 여당 간사인 김현 민주당 의원이 청문회단 총괄 간사를 맡았다. 각 청문위원은 상임위별로 구성했다. 혁신당에선 과방위 소속 이해민 의원이, 사회민주당에서는 정무위 소속 한창민 의원이 각각 청문회단에 포함됐다.

쿠팡이 고객계정에 접근해 개인정보를 빼낸 전 중국인 직원을 찾아내 범행 일체를 자백받았다. 이 직원이 정보유출에 사용한 PC 등을 포렌식(데이터복원)한 결과 실제 외부 저장장치를 통해 빠져나간 고객계정은 당초 알려진 3370만개가 아닌 3000여개로 확인됐다. 제3자에게 전송한 데이터는 일절 없는 것으로 파악됐다. 쿠팡은 이같은 내용의 고객정보 유출 관련 긴급 자체조사 결과를 25일 발표했다. 앞서 쿠팡은 사건이 발생한 직후 글로벌 3대 사이버보안업체에 조사를 맡겨 디지털지문(digital fingerprints) 등 포렌식 증거를 근거로 고객정보를 유출한 직원을 특정했다. 이 정보 유출자는 쿠팡 측에 범죄행위 일체를 자백하고 고객정보에 접근한 방식을 구체적으로 진술한 것으로 전해졌다. 쿠팡 측은 "단독으로 범행을 저질렀고 3300만개 고객계정에 접근했지만 약 3000개 계정의 제한적인 고객정보만 저장했다"며 "개인정보 유출자가 사용한 데스크톱PC와 맥북에어 등 관련장치를 모두 회수했으며 저장했던 정보도 언론보도 이후 모두 삭제했다는 진술을 확보했다"고 밝혔다.

정부가 쿠팡 개인정보 유출 사태 대응 컨트롤타워를 과학기술정보통신부(과기부) 2차관에서 과기부 장관으로 격상했다. 과기부는 25일 "플랫폼 기업의 개인정보 유출 및 소비자 보호와 관련해 이날 관계부처 대책 회의를 개최했다"며 "쿠팡 개인정보 유출 및 소비자 보호와 관련해 현재까지 진행 상황 및 향후 계획과 2차 피해 예방대책을 공유했다"고 밝혔다. 이어 "현재 류제명 과기부 제2차관이 팀장인 범부처 TF(태스크포스)를 향후 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 확대 운영하기로 했다"고 밝혔다. 쿠팡 고객정보 유출 사태와 관련해 대응 강도를 높이는 조치로 풀이된다. 또 이번 조치와 별개로 플랫폼 기업의 정보 유출과 소비자 피해를 막기 위한 제도 개선 방안도 준비하겠다고 했다. 이날 회의는 대통령실 주재로 열렸다. 대통령실에서는 김용범 정책실장, 하준경 경제성장수석, 하정우 AI미래기획수석, 오현주 국가안보실 3차장 등이 참석했다. 이 밖에도 배경훈 부총리 겸 과기정통부 장관, 주병기 공정위원장, 송경희 개인정보보호 위원장, 김종철 방송미디어 통신위원장, 이억원 금융위원장, 김진아 외교부 2차관, 여한구 산업부 통상교섭본부장 등이 참석했다.

경찰이 쿠팡 대규모 개인정보 유출 사태와 관련해 피의자가 작성한 것으로 추정되는 진술서와 범행에 사용된 것으로 의심되는 노트북을 쿠팡으로부터 임의제출 받아 분석하고 있다. 서울경찰청 사이버수사과는 25일 언론 공지를 통해 "지난 21일 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출 받았다"며 "피의자의 실제 작성 여부와 범행에 사용된 증거물인지 여부 등을 면밀히 분석하고 있다"고 밝혔다. 또 "기타 내용은 분석이 진행 중인 상황"이라고 했다. 경찰은 이번 사태와 관련해 중국 국적 전직 쿠팡 직원 A씨를 정보통신망법 위반 등 혐의로 입건해 수사 중이다. A씨를 피의자로 명시한 압수수색 영장을 발부받은 경찰은 쿠팡 사옥에서 지난 9일부터 16일까지 7차례에 걸쳐 압수수색을 진행했다. A씨에 대한 신병 확보는 아직 이뤄지지 않았다. 경찰은 쿠팡으로부터 A씨 진술서, 관련 장치 등 자료를 제출받아 증거물을 분석하고 있다. 다만 쿠팡 자체 조사와 별개로 경찰도 정식 절차를 거쳐 A씨의 피의사실을 조사하고 있다는 입장이다.