김범석 사과에도 쿠팡 '셀프 면죄부' 논란 확산⋯ 보안 허점은 뒷전

사과문에도 ‘성공적 회수’ 강조…피해 축소·치적 포장 논란
정부와 사실 공방 격화
전문가들 “저장 여부 아닌 비인가 접근 자체가 중대 침해”

김범석 쿠팡 Inc 의장이 국내 대규모 개인정보 유출 사태가 발생한 지 한 달여 만에 처음으로 사과문을 냈다. 하지만 논란은 오히려 더 확산하는 양상이다. 김 의장은 “막중한 책임감 속에 유출된 개인정보를 성공적으로 회수했다”고 강조했으나, 쿠팡이 내세운 자체 조사 결과와 ‘회수 완료’ 프레임이 사태의 본질을 흐린다는 비판이 커지고 있다.

28일 본지 취재를 종합하면 이번 사태의 핵심은 권한 없는 접근이 가능했던 보안 시스템의 허점인데 쿠팡 측은 개인의 일탈로 사태를 축소하며 본질을 흐리고 있다는 지적이 나온다.

쿠팡과 정부 간 사실 공방은 쿠팡이 25일 단독으로 조사 결과를 공개하면서 본격화했다. 쿠팡은 유출자가 약 3370만 명의 고객 정보에 접근했지만 실제로 저장한 계정은 3000명 수준에 그쳤고, 고객 정보와 관련 저장 장치를 모두 회수했다고 밝혔다. 하지만 과학기술정보통신부는 쿠팡의 발표 직후 “민관합동조사단에 의해 확인되지 않은 내용이며 일방적 주장”이라며 즉각 선을 그었다.

김 의장은 이날 사과문을 통해 “사고 직후 미흡했던 초기 대응과 소통 부족에 대해 진심으로 사과드린다”면서도 “사태 직후 2차 피해 가능성부터 차단해야 한다는 막중한 책임감으로 문제 수습을 최우선 과제로 삼았다. 한 달간의 노력과 정부와의 협력을 통해 유출된 고객 정보 100%를 회수 완료했다”고 재차 강조했다. 정부는 공식 조사 결과가 나오기 전에 기업이 자체 수치를 앞세워 피해 범위를 규정하는 데 대해 우려를 표한 것으로 전해졌다.

이 과정에서 쿠팡은 ‘셀프 면죄부’ 논란에 직면했다. 핵심 증거물을 사설 업체에 맡겨 포렌식을 진행한 점을 두고 증거 인멸 교사 혐의를 적용할 수 있다는 지적도 제기됐다. 그럼에도 쿠팡이 ‘3000명 저장’과 ‘성공적 회수’를 반복적으로 강조하는 배경에 대해 황석진 동국대 국제정보보호대학원 교수는 “업무상 관리 소홀이라는 구조적 책임을 개인의 범죄로 축소해 과징금이나 집단소송 부담을 낮추려는 의도가 깔려 있다”고 분석했다.

전문가들은 이 같은 접근이 오히려 사태의 본질을 흐린다고 지적한다. 쟁점은 얼마나 저장됐느냐가 아니라, 권한 없는 인물이 수천만 명의 개인정보를 장기간 조회·열람할 수 있었다는 사실 자체다. 김명주 ETRI 인공지능안전연구소장은 “쿠팡은 외부로 유출될 가능성이 있는 정보가 3000건이라고 주장하지만, 데이터는 조회되는 순간부터 이미 유출된 것”이라며 “3370만 명에 대한 비인가 조회 자체가 중대한 개인정보 침해”라고 지적했다.

대형 플랫폼 기업의 경우 정보유출방지(DLP) 시스템을 통해 직원이 고객 정보를 조회·저장하거나 외부로 전송하면 ‘누가·언제·어디로’ 접근했는지가 자동 기록·보고되도록 설계하는 것이 일반적이다. 쿠팡이 약 5개월간 정보 유출을 인지하지 못한 점이 내부 관리 체계 허술 논란으로 이어지는 이유다. 김 소장은 “DLP가 정상적으로 작동했다면 조회와 저장 단계에서 이미 윗선에 자동 보고가 이뤄졌어야 한다”며 “수개월 동안 어떤 보고가 있었는지, 관리 책임 라인이 이를 인지했는지가 핵심 조사 대상”이라고 강조했다.

황석진 교수는 개인정보를 대규모로 보유한 기업이 지켜야 할 기본 원칙으로 개인정보 암호화, 비식별화, 접근 권한 통제를 꼽았다. 그는 “메인 서버에서 접근 등급을 세분화하고, 왜 접근했는지 무엇을 열람했는지가 명확히 기록·보고되는 구조여야 한다”며 “보안에 수천억 원을 투입했다고 하면서도 기본적인 통제 원칙이 지켜지지 않은 정황이 드러나고 있다”고 지적했다.