머니투데이

쿠팡이 생체 기반 인증 방식인 '패스키'를 이미 개발해 애플리케이션(앱)에 적용했으나 수익성 저하를 이유로 철회했다는 의혹이 제기됐다. 쿠팡은 그간 패스키에 대해 "도입을 검토하고 있다"는 입장을 밝혀왔다. 19일 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원이 쿠팡 관계자 등으로부터 받은 제보에 따르면 쿠팡은 지난해 9월 국내에서도 패스키를 개발해 앱에 적용했으나 수익성 저하를 이유로 비밀리에 철회했다. 패스키는 비밀번호 대신 지문이나 안면인식 등을 활용하는 보안 인증 방식이다. 최 의원실은 패스키를 실제 도입할 경우 결제성공율, 구매전환율(방문자가 구매자로 전환되는 비율) 등 지표에서 저조한 결과를 확보해 도입을 철회한 것으로 보인다고 밝혔다. 이용자 보안보다 기업 수익성을 우선시해 보안 강화를 포기했다는 것이다. 의원실에선 쿠팡이 패스키를 도입해 앱에 적용한 증거도 제보자를 통해 입수했다고 밝혔다. 제보자는 "이전과 다른 로그인 방식이 추가돼 당시 장면을 캡처했는데 이후 패스키 로그인 방식이 사라졌다"며 "이번 쿠팡 청문회에서 패스키 도입 여부를 두고 쿠팡이 '도입된 적 없다'는 위증을 해 제보하게 됐다"고 밝혔다.

공정거래위원회가 쿠팡의 고객 개인정보 유출 사태로 촉발된 온라인 플랫폼의 불공정 이용약관을 점검하기로 했다. 공정위는 19일 정부서울청사에서 열린 대통령 업무보고에서 '디지털 소비 환경 개선 방안'을 발표했다. 공정위는 주요 온라인 플랫폼 사업자의 개인정보 유출 및 손해배상 범위 제한 관련 불공정 이용약관을 점검하겠다고 밝혔다. 앞서 쿠팡은 지난해 '서버에 대한 제3자에 의한 불법 접속 등으로 발생한 손해에 대해 회사가 책임을 지지 않는다'는 취지의 내용을 이용약관(제38조7항)에 추가한 사실이 최근 개인정보 유출 사태 이후 부각돼 논란을 일으켰다. 공정위는 해당 약관이 '약관의 규제에 관한 법'(약관법)상 무효 사유에 해당하는지 살펴보고 있는 것으로 전해진다. 공정위는 주요 온라인 플랫폼들이 이와 유사하게 소비자의 권리를 제약할 여지가 있는 약관을 운용하고 있는지 점검해 시정한다는 방침이다. 아울러 공정위는 플랫폼 이용 소비자의 피해 예방을 위해 전자상거래법 개정도 추진한다. △플랫폼이 판매자인 것처럼 행동시 입점업체(판매자)와 연대책임 △플랫폼의 업무 수행 중 피해발생 시 플랫폼이 단독책임 △플랫폼이 대금수령시 환불책임 부담 등 플랫폼의 소비자에 대한 직접 책임을 확대할 계획이다.

국회 과학기술정보방송통신위원회가 청문회에 출석하지 않은 김범석 쿠팡Inc 의장을 검찰에 고발했다. 과방위는 이날 청문회에 증인으로 채택됐음에도 불출석한 김 의장과 강한승·박대준 쿠팡 전 대표들을 국회에서의 증언·감정 등에 관한 법률(증감법) 위반 혐의로 검찰에 고발했다고 밝혔다. 앞서 과방위는 개인정보 유출 사고가 발생한 쿠팡에 대한 청문회를 17일 열기로 하면서 김 의장 등에 대한 증인 채택을 의결했다. 하지만 김 의장은 "해외에 거주하고 근무하는 중"이라며 불출석 사유서를 제출했다. 강 전 대표와 박 전 대표도 "쿠팡 대표에서 사임해 책임 있는 답변을 할 수 있는 위치에 있지 않다"며 청문회에 나오지 않았다. 증감법에 따르면 증인 출석 요구를 받으면 사람은 누구든 이에 따라야 한다. 정당한 이유 없이 출석하지 않은 이에 대해서는 3년 이하의 징역 또는 1000만 원 이상 3000만 원 이하의 벌금에 처하도록 규정하고 있다. 최민희 과방위원장은 "쿠팡이 그동안 대관을 통해 어떤 잘못을 해도 대충 넘어갔으니 이번에도 그럴 것이라고 믿고 있다면 크게 착각하는 것"이라고 지적했다.

최근 6년간 국회 퇴직 공직자의 취업 심사를 분석한 결과 97% 이상이 '취업 가능' 혹은 '승인' 결정을 받은 것으로 나타났다. 퇴직자들 절반 이상이 민간기업에 입사했고, 쿠팡 비중이 가장 높았다. 경제정의실천시민연합(경실련)이 19일 서울 종로구 경실련에서 발표한 '국회 공직자 퇴직 후 취업 현황'에 따르면 취업제한 심사를 신청한 국회 퇴직자 405건 중 394건(97. 28%)이 '취업 가능' 결정을 받은 것으로 나타났다. 취업 심사를 받은 국회 공직자 중 보좌진이 251명으로 전체의 57. 3%를 차지했다. 경실련은 2020년부터 올해 12월까지 최근 6년간 국회의원과 보좌진 등 국회 공직자의 취업 심사 438건을 전수 분석했다. 취업 심사 제도는 퇴직 공무원의 재취업 시 퇴직 전 업무와 새 직장에서의 업무 간 연관성을 심사하는 제도다. 경실련 조사에 따르면 취업승인 심사를 신청한 국회 퇴직자 33건은 모두 '승인' 결정을 받았다. 다만 경실련은 취업이 제한되거나 보류된 11건도 추후 취업 가능 또는 취업 승인을 받은 것으로 의심된다고 주장했다.

'관봉권 띠지 폐기 의혹'을 수사하는 안권섭 상설특검팀이 한국은행 발권국에 대한 영장 집행에 나서며 첫 강제수사에 착수했다. 19일 법조계에 따르면 특검팀은 이날 오전 9시부터 한국은행 발권국에 대한 수색, 검증 영장을 집행 중이다. 압수는 별도로 이뤄지지 않을 예정이다. 집행에는 김기욱 특검보와 한주동 부부장검사, 수사관 5인, 포렌식 요원 1인이 참여한다. 이번 영장 집행은 제조권 및 사용권으로 불리는 한국은행 관봉권의 제조·정사·보관·지급과 관련된 제반 정보를 확인하기 위한 것으로 알려졌다. 관봉권은 관(정부기관)이 밀봉한 화폐를 말하며, 통상 시중은행들이 한국은행에서 현금을 인출할 때 사용된다. 화폐 상태나 수량에 이상이 없음을 한국은행이 보증한 것이다. 관봉권 의혹은 서울남부지검이 지난해 12월 건진법사 전성배씨의 자택을 압수수색하는 과정에서 확보한 현금다발 5000만원의 한국은행 관봉권 띠지와 스티커를 분실한 사실이 뒤늦게 알려지면서 불거졌다. 남부지검은 돈다발 지폐의 검수 날짜, 담당자, 부서 등 정보가 적힌 띠지와 스티커를 분실했는데, 직원이 현금을 세는 과정에서 띠지 등을 잃어버렸다는 입장이다.

송경희 개인정보보호위원회 위원장이 쿠팡 개인정보 유출 사고와 관련해 징벌적 과징금을 매기지 못하더라도 특별법을 통해 제재하는 방안을 검토할 필요가 있다고 말했다. 17일 송 위원장은 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 쿠팡 개인정보 유출 청문회에서 이훈기 더불어민주당 의원의 징벌적 과징금 관련 질의에 "(법 체계 상) 소급 적용하는 것은 어렵겠지만, (정부 입법이나 특별법 등) 쿠팡에 대한 전반적인 것은 살펴볼수 있다"고 답했다. 앞서 이훈기 의원은 이날 국회 정무위를 통과한 개인정보보호법 개정안에 대해 쿠팡 소급 적용이 가능한지 질의했다. 해당 개정안은 대규모 개인정보 유출 피해가 발생했을 경우 과징금 상한을 현재 전체 매출액의 3%에서 최대 10%로 올리는 내용을 담았다. 이에 송 위원장이 "개정안으로 소급 적용이 어렵다"고 답하자 사실상 쿠팡 제재가 어려울 것이라는 인식이 대중에 확산됐다. 이 의원은 그러자 '소급이 안되니 정부 입법이나 안되면 특별법이라도 하겠다'는 입장을 내비치며 어떻게 생각하는지 재차 송 위원장에 물었다.

쿠팡의 대규모 개인정보 유출사건과 관련해 과학기술정보통신부 주도로 운영되고 있는 민관합동조사단에 국가정보원도 참여한다. 배경훈 부총리 겸 과기정통부 장관은 17일 국회에서 진행된 '쿠팡 침해사고 관련 청문회'에 출석해 국정원의 민관합동조사단 참여를 거부했냐는 박정훈 의원(국민의힘)의 질의에 "우리(과기정통부) 답변이 늦어서 (국정원이) 오해한 것"이라며 "앞으로 (민관합동조사단에 국정원을) 적극 포함시키겠다"고 밝혔다. 정부에 따르면 국정원은 과기정통부에 쿠팡 민관합동조사단에 참여시켜줄 것을 요청했다가 거부당했다는 취지의 서면답변을 박 의원실에 제출했다. 국정원은 쿠팡에서 3370만명의 개인정보가 유출된 과정에 중국 국적 외국인이 유력한 용의자로 지목되는 만큼 대규모 개인정보 유출이 국가안보에 위협이 될 수 있다는 이유에서 민관합동조사단 참여를 요청했다. 한편 배 부총리는 행정지도를 통해 쿠팡 앱에서 고객들이 개인정보 유출 여부를 확인할 수 있는 코너를 만들도록 하겠다고 했다. 이와 별도로 경찰은 박대준 전 쿠팡 대표와 쿠팡 법인을 상대로 개인정보보호법 위반 등 혐의로 제기한 고소사건에 대한 수사에 착수했다.

배경훈 부총리 겸 과학기술정보통신부(이하 과기정통부) 장관이 쿠팡 앱이나 홈페이지에 개인정보 유출 여부를 확인할 수 있는 코너를 만들겠다고 밝혔다. 17일 한민수 더불어민주당 의원은 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 쿠팡 개인정보 유출 청문회에서 배경훈 부총리 겸 과기정통부 장관에게 "쿠팡 내 다른 사람의 배송지 목록에 있던 비회원 개인정보가 노출됐을 가능성이 있다"면서 "그런데 비회원 개인정보 유출 여부는 여전히 (쿠팡이) 밝히지 않고 있다"고 지적했다. 그러면서 "쿠팡 앱에 내 개인정보 유출 여부 확인할 수 있는 공지를 만들어서 그걸 띄워야 한다"고 했다. 이에 최민희 과방위 위원장이 "쿠팡 홈페이지 들어가서 내 정보 유출됐는지 확인하는 코너, 링크를 만들어야 할 것"이라며 "또 탈퇴 쉽게 하도록 숨겨놓지 말고. 눈에 띄게 해놓으라는 것이 의원님들의 요청"이라고 재차 짚었다. 배 부총리는 "행정 지도 통해서 시행하겠다"고 답했다. 옆에 앉아있던 송경희 개인정보보호위원회 위원장도 "유출 사실을 명확히 통지하라고 개인정보위 의결을 통해서 개선촉구를 했고 (쿠팡이) 하겠다고 했는데 방식에 여전히 문제가 있다고 생각돼서 확인하고 조치할 것"이라면서 "탈퇴 조치 역시 기존 6단계, 많게는 8단계였는데 현재 두 단계까지 줄였고 더 개선할 것 있으면 진행하겠다"고 밝혔다.

경찰이 쿠팡 대규모 고객정보 유출 사태와 관련해 박대준 전 대표이사와 쿠팡 법인 등을 고소한 사건 수사에 착수했다. 서울 송파경찰서는 쿠팡 주식회사와 박대준 전 대표이사, 쿠팡의 인증업무자·인증업무관리자 등을 개인정보보호법 위반 및 업무상 배임 혐의로 고소한 A씨 법률대리인인 장지운 법무법인 대륜 변호사를 지난 11일 조사했다고 17일 밝혔다. 경찰은 조사 과정에서 쿠팡의 고객정보 유출 사태와 관련해 개인정보 유출 혐의, 업무상 배임 혐의 등 고소장에 적힌 혐의 내용을 확인했다. 같은 날 해당 사건을 서울경찰청 사이버수사대로 이첩했다. 경찰 관계자는 "고소장에 적힌 부분 외에 추가로 보충할 부분이 있는지 확인하는 고소보충조사였다"고 밝혔다.

배경훈 부총리 겸 과학기술정보통신부 장관이 최근 개인정보 유출 사고와 관련해 쿠팡의 영업정지를 적극 검토하겠다는 입장을 밝혔다. 17일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 청문회에서, 박정훈 국민의힘 의원은 "국민들은 유출자가 누구인지, 정보를 어디에 팔았는지, 심지어 중국 정부에 넘긴 건 아닌지 불안해하고 있다"며 "정부가 이에 대해 명확히 설명하지 못하고 있다"고 지적했다. 박 의원은 이어 "쿠팡이 처벌을 받을 것인지, 영업정지 조치는 가능한지에 대해 국민적 관심이 크다"며 "과기정통부가 공정위와 논의하겠다고 했는데 구체적인 결과는 무엇이냐"고 질의했다. 이에 대해 배 부총리는 "우선 민관합동조사단의 결과가 나와야 하며, 이를 바탕으로 공정위도 필요한 조치를 취하게 될 것"이라며 "영업정지와 관련해서는 적극적으로 논의할 것"이라며 답했다.

경찰이 대규모 개인정보 유출 사고가 벌어진 쿠팡에 대한 현장 압수수색을 7일 만에 마무리했다. 유출 규모가 방대하고 진상을 규명할 사안이 많은 만큼 장기간 강제수사를 벌였다. 경찰은 압수물 분석을 통해 유출 경위에 대한 본격적인 수사에 돌입했다. 전문가들은 수사 범위가 방대하고, 중국 등 국제공조가 필요해 수사에 상당한 시간이 걸릴 것으로 예상했다. ━7일간 압수수색, 초기 대상 두고 경찰·쿠팡 이견━17일 경찰에 따르면 서울경찰청 사이버수사과는 지난 9일부터 전날까지 서울 송파구 쿠팡 사옥에서 압수수색을 진행했다. 압수수색은 일요일을 제외하고 7일간 이뤄졌다. 사이버수사과 전담수사팀은 전날 현장 압수수색을 끝내고, 압수물 분석에 돌입했다. 7일간 이어진 압수수색은 하루 평균 9시간40분 가량 진행됐다. 최대 11시간30분 압수수색이 이뤄진 날도 있었다. 경찰은 장기간 압수수색의 주된 이유로 방대한 자료량을 꼽았다. 쿠팡 기술자가 동석해 협조하는 형태로 압수수색이 진행됐고, 대상 자료를 조회·검색·추출하는 과정에서 상당한 시간이 걸렸다는 설명이다.

쿠팡이 로그인 절차에서 개인정보보호에 필수적인 2단계 인증을 적용하지 않은 것으로 드러났다. 이해민 조국혁신당 의원은 17일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 쿠팡 개인정보 유출 청문회에서 쿠팡 대표에 "MFA(다중인증)을 도입했냐"고 질의했다. 이에 지난 10일 쿠팡 대표로 신규 선임된 해롤드 로저스 대표가 '하고 있다'는 취지로 대답하자 이 의원은 "쿠팡이 2021년 5월 판매자 2단계 인증을 도입하지 않아 개인정보보호위원회에서 과태료를 받았다"면서 "그 이후에야 2단계 인증수단을 도입했다"고 지적했다. 그는 "고객들은 유출된 정보로 내 계정에 누가 로그인하면 어쩌지부터 걱정하고 있는데, 이용자에게 2단계 인증도 적용 안하면서 글로벌 테크 회사라고 우기고 있다"고 질타했다. 개인정보보호법이 2024년 개정되면서 개인정보 유출 및 침해 위험을 줄이기 위해 다중 인증(MFA) 등 추가 보안 수단 도입이 의무화됐다. 다중 인증은 비밀번호 외에 추가 인증 수단(지문, OTP 등) 을 요구해 계정 접근의 안전성을 높이는 조치로, 2024년 이후 개인정보 보호법 개정으로 MFA 도입이 법적 의무가 된 상태다.