쿠팡 “정부 지시 따른 조사” 해명에도…커지는 '셀프 조사' 리스크

▲25일 서울 시내 한 쿠팡 센터 모습.대통령실이 쿠팡의 대규모 개인정보 유출 사태와 관련해 범정부 관계장관 회의를 소집해 경영진 처벌 방안과 소비자 피해 구제책 등을 논의한다. 쿠팡 경영진이 사태 수습에 상당 기간 비협조적 태도를 보이고 있는 데다, 최근 쿠팡 사태가 한·미 간 무역 협상에 부정적 변수가 될 조짐이 나타나자 대통령실이 특단의 대책 마련에 나선 것으로 풀이된다. 2025.12.25. kch0523@newsis.com (뉴시스)

대규모 정보 유출 사태에 대한 조사 결과를 직접 발표해 ‘셀프 조사’ 논란에 휩싸인 쿠팡이 정부의 지시에 따른 조사였다고 해명했다. 하지만 쿠팡의 선제적 대응이 오히려 사건 축소∙은폐 논란으로 번지면서 과징금 부과 규모가 커질 수 있다는 지적이 제기된다.

26일 쿠팡은 보도자료를 통해 "정보 유출자로부터 알게 된 새로운 사실, 진술서, 장비 등을 받은 즉시 정부에 제출했다"며 "정부의 지시에 따라 유출자의 완전한 자백을 받아내고, 유출에 사용된 모든 기기를 회수했으며 유출 고객 정보에 대한 중요한 사실도 확보했다”고 밝혔다.

쿠팡이 유출자의 자백을 받고 해킹에 사용된 장비 등을 회수했다고 발표한 데 대해 정부가 “쿠팡의 일방적 주장이며 민관합동조사단에서 확인되지 않은 사안”이라고 대응하자 쿠팡이 재반박 입장을 발표한 것이다.

전날(25일) 쿠팡은 고객 개인정보를 유출한 전직 직원을 특정했으며, 해당 인물이 범행 전반을 인정하고 고객 정보 접근 경로와 방식을 구체적으로 진술했다고 밝혔다. 쿠팡은 해당 직원이 탈취한 보안 키를 이용해 약 3300만 개 고객 계정의 기본 정보에 접근했지만 실제로 저장한 정보는 약 3000개 계정에 그쳤다고 주장했다.

하지만 보안 전문가들은 ‘접근이 곧 해킹’이라고 입을 모은다. 비인가 접근이 가능한 시스템 자체가 문제인데 쿠팡이 접근한 정보의 수와 저장한 정보의 수를 구분하면서 사건을 축소시키려는 의도가 아니냐는 지적이 나온다.

김명주 ETRI 인공지능안전연구소장은 “정보 수가 중요한 게 아니라 접근 권한이 없는 사람이 조회를 한 것 자체가 침해”라며 “일반적으로 데이터를 조회하는 순간에 데이터가 다운로드되기 때문에 3300만 명에 대한 정보유출 가능성도 배제할 수 없다”고 강조했다.

‘한국 전산학 박사 1호’인 문송천 한국과학기술원(KAIST) 경영대학원 명예교수는 “주 전산기에서 벌어진 일인데 개인용 데스크톱 PC나 노트북 같은 단말기를 언급하는 것은 본질을 흐리는 것”이라며 “해당 직원이 퇴사 전에 개인정보를 빼돌리지는 않았는지도 살펴봐야 한다”고 말했다.

수사 중인 사안에 대해 쿠팡이 셀프 조사 중 증거인멸을 했다면 매출의 1.5% 수준의 과징금에 더해 가중금이 부과될 수 있다는 전망도 나온다. 이성엽 고려대 기술경영전문대학원 교수는 "쿠팡이 임의 제출한 노트북에 담긴 내용을 포렌식해 사실 관계부터 확인하는 작업이 중요하다"며 “쿠팡이 증거 인멸을 시도한 정황이 포렌식 작업 이후 수사당국으로부터 확인되면 가중금 부과로 이어질 수 있다”고 설명했다.

황석진 동국대 국제정보보호대학원 교수도 “수사를 하는 주체가 따로 있고 기업은 협조 의무자이기 때문에 정부가 기업과 공동으로 조사하는 구조는 매우 제한적”이라며 “정부의 수사 독립성을 침해하거나 사실 왜곡 논란으로도 번질 수 있다”고 지적했다.