“보안 구멍에 셀프 조사까지”… 입법조사처, 쿠팡 국정조사 ‘현미경 검증’ 예고

국민의 65%에 달하는 3,370만 명의 개인정보가 유출된 ‘쿠팡 사태’를 두고 국회입법조사처가 국정조사에서 다뤄야 할 핵심 쟁점을 제시했다. 입법조사처는 이번 사건을 단순한 외부 해킹이 아닌 기업 내부 통제 시스템의 ‘구조적 붕괴’로 진단하고, 수사 중인 사안에 대해 사측이 자체 조사를 강행한 행위의 적절성을 따져 물어야 한다고 지적했다.

국회입법조사처는 2일 ‘쿠팡 국정조사에서의 개인정보 침해 관련 쟁점’ 보고서를 발간하고, 내부 보안 체계의 허점부터 데이터 관리 부실, 부적절한 사후 대응 등 5가지 분야를 집중 점검해야 한다고 밝혔다.

퇴사자가 쥔 ‘마스터키’… 무너진 내부 통제 시스템
보고서가 지목한 가장 뼈아픈 실책은 내부 보안 관리의 부실이다. 유출자로 지목된 전직 직원은 퇴사 후에도 내부자 전용 보안 인증 수단인 ‘토큰 서명키’를 보유하고 있었고, 이를 이용해 가짜 인증 토큰을 생성해 시스템에 무단 접근했다.

입법조사처는 서명키 유출을 두고 “호텔 방 열쇠를 복사한 수준이 아니라, 열쇠를 만드는 기계 자체를 들고 나간 꼴”이라고 비유했다. 엄격하게 관리돼야 할 서명키가 퇴직 후에도 유효하게 작동한 점은 단순 실수가 아닌 전사적 보안 프로세스의 구조적 결함이며, 3천만 건이 넘는 비정상 접근을 실시간으로 탐지하지 못한 보안 관제 시스템의 작동 여부도 규명 대상이다.

탈퇴자 정보에 ‘배송지 주소록’까지… 데이터 관리 ‘총체적 난국’
개인정보 데이터베이스(DB) 관리의 적정성 문제도 제기됐다. 이번 사고에서는 활성 회원뿐만 아니라 이미 탈퇴한 회원의 정보, 심지어 제3자의 정보가 포함된 ‘배송지 주소록’까지 유출된 것으로 확인됐다.

현행법상 탈퇴 회원의 정보는 즉시 파기하거나, 법적 의무로 보관하더라도 별도로 분리해야 한다. 보고서는 유출자가 활성·비활성 정보에 모두 접근했다는 사실은 이러한 ‘분리 보관 원칙’이 지켜지지 않았을 가능성을 시사한다며, 법적 예외 사유와 무관한 정보까지 과도하게 보관하고 있었던 것은 아닌지 따져야 한다고 강조했다.

수사 중 ‘셀프 포렌식’ 강행… “미국 우버 사태 연상”
사고 수습 과정에서의 행보도 도마 위에 올랐다. 쿠팡은 경찰 수사가 진행 중인 상황에서 독자적으로 용의자를 특정하고 자체 포렌식을 실시했다. 입법조사처는 “수사기관과 사전 협의 없는 자체 조사는 증거 은닉이나 회유 가능성을 배제할 수 없다”며 강한 우려를 표했다.

특히 보고서는 2016년 미국 우버(Uber) 사태를 언급했다. 당시 우버는 해커에게 돈을 주고 유출 사실을 은폐하려다 보안 책임자가 사법방해 혐의로 유죄 판결을 받은 바 있다. 입법조사처는 정부가 쿠팡이 확보한 것과 동일한 원본 데이터를 확보했는지, 자체 포렌식이 특정 방향으로 유도된 것은 아닌지 확인이 필요하다고 제언했다.

“유출 아닌 노출?” 말장난 논란과 ‘쿠폰’ 보상
이 밖에도 보고서는 사고 초기 쿠팡이 ‘유출’ 대신 ‘노출’이라는 표현을 고수하며 사태를 축소하려 했다는 의혹과, 현금 배상 대신 자사 플랫폼에서만 쓸 수 있는 ‘구매이용권’을 지급한 보상 방식의 적절성도 짚었다. 이는 피해 구제보다 소비자를 다시 플랫폼으로 유인하려는 마케팅 수단에 가깝다는 지적이다.

입법조사처 관계자는 “쿠팡이 상장된 미국 시장 일부에서는 ‘한국 소비자는 개인정보 유출에 익숙해 기업 가치 영향은 제한적’이라는 분석까지 나오고 있다”며 “대규모 개인정보 침해가 구조적으로 용인되는 것을 막기 위해 이번 국정조사에서 철저한 진상 규명과 책임 추궁이 필요하다”고 강조했다.