CloudPNG

ºC

logo
IT/바이오

쿠팡 개인정보 유출 논란…정부 “조사 비협조” 정조준

최동현 기자
입력

대규모 온라인 커머스 플랫폼에서 발생한 개인정보 유출 사태가 정부의 강도 높은 조사 국면으로 전환되고 있다. 과학기술정보통신부와 개인정보보호위원회, 경찰 등이 참여한 민관합동조사단이 본격 가동된 가운데, 정부는 쿠팡이 피조사기관으로서 요구 자료를 충분히 제출하지 않고 있다며 공개적으로 문제를 제기했다. 특히 중국 현지에서 확보된 디지털 증거와 국내 조사 결과의 정합성을 따지는 과정이 핵심 쟁점으로 떠오르면서, 플랫폼 사업자의 보안 관리 수준과 규제 당국의 조사 권한, 이용자 보호 체계 전반에 영향을 줄 수 있는 분기점이라는 평가가 나온다.  

 

배경훈 과학기술정보통신부 장관 겸 부총리는 31일 국회에서 열린 쿠팡 개인정보 유출 관련 연석청문회에서 쿠팡의 조사 대응 태도를 강하게 비판했다. 배 부총리는 쿠팡이 현재 민관합동조사단과 경찰 수사, 개인정보보호위원회 조사를 동시에 받고 있는 피조사기관이라는 점을 강조하면서 조사에 대한 성실한 협조가 최우선돼야 한다고 말했다.  

배 부총리에 따르면 민관합동조사단은 쿠팡에 총 166건의 자료를 요청했지만, 현재까지 제출된 것은 50여 건에 그친다. 그는 특히 중요한 정보들이 여전히 제출되지 않은 상태라고 지적했다. 정부가 요구한 자료에는 유출이 발생한 기간의 시스템 접속 로그, 내부 접근 권한 변경 이력, 해외 접속 IP 기록, 보안 솔루션 경보 로그 등 디지털 포렌식의 기본 자료가 포함된 것으로 알려져 있다. 대형 온라인 플랫폼에서 발생한 개인정보 유출 사건에서 이런 자료는 사고 경위와 재발 방지 대책을 설계하기 위한 필수 정보로 꼽힌다.  

 

배 부총리는 중국에서 진행된 초기 수사와 국내 후속 조사 간의 연계도 쟁점으로 제기했다. 그는 중국에서 압수한 물증을 국내로 반입하는 과정에서 국가정보원과의 협조가 있었다는 보고를 받았다며, 압수물이 국내로 반입된 이후 어떤 방식으로 조사됐고 그 결과가 민관합동조사단과 개인정보보호위원회의 조사 결과와 얼마나 일치하는지 명확히 밝히는 것이 중요하다고 했다. 플랫폼에서 발생한 개인정보 유출은 국외 서버, 해외 IP 경유 등이 복합적으로 얽힐 수 있어, 국정원과 같은 정보기관의 협조를 통한 국제 공조 수사가 사실상 필수에 가까운 상황이다. 특히 이번 사안처럼 중국과 연계된 디지털 증거가 있는 경우, 증거의 연속성과 신뢰성을 입증하는 과정이 향후 법적 책임 규명에도 직접적인 영향을 줄 수 있다.  

 

쿠팡이 민관합동조사단의 공식 결과 발표 이전에 잇따라 자체 입장과 보상안을 내놓은 점도 비판 대상이 됐다. 배 부총리는 쿠팡 사태 범정부 태스크포스가 발족한 지난 25일 쿠팡이 약 3000여 개 계정의 정보만 유출됐다고 발표한 데 이어, 청문회를 앞두고 별도의 보상 방안을 내놓은 흐름을 언급하며 이런 시점이 의도적이라고 생각한다고 말했다. 정부는 조사 결과가 확정되지 않은 상황에서 부분적인 수치와 자체 추산을 토대로 한 발표가 오히려 이용자와 시장을 혼란스럽게 만들 수 있다고 보고 있다.  

 

배 부총리는 플랫폼 사업자가 개인정보 유출 사고와 관련해 대외 발표를 할 때는 명확한 사실 기반에 따라야 한다고 강조했다. 그는 조사 결과를 토대로 발표와 보상 방안이 나왔어야 했다며, 지금부터라도 쿠팡이 피조사기관으로서의 위치를 분명히 인식하고 조사에 성실하게 임해 달라고 촉구했다. 이는 기술적 원인 분석과 별개로, 사고 이후 커뮤니케이션 과정에서의 책임성과 투명성을 플랫폼 기업의 핵심 의무로 본다는 메시지에 가깝다.  

 

이번 사태는 IT 서비스 산업 전반의 개인정보 보호 수준과 규제 집행 방식에 대한 재점검으로 확산될 가능성이 있다. 대규모 트래픽과 방대한 이용자 데이터를 처리하는 커머스 플랫폼은 실시간 추천 알고리즘, 물류 최적화 시스템 등 데이터 기반 기술을 적극 활용해 왔지만, 그만큼 데이터 접근 권한 통제와 이상 행위 탐지 체계의 고도화가 뒤따라야 한다는 지적이 꾸준히 제기돼 왔다. 특히 개인정보보호위원회와 과학기술정보통신부는 최근 몇 년간 클라우드 환경에서의 로그 보관 의무, 접속 기록 위변조 방지, 내부자 위협 탐지 등 기술적 보호조치 기준을 강화해 왔다. 이번 사건이 해당 기준의 실효성을 시험하는 계기가 될 수 있다.  

 

중국과의 연계 정황, 정보기관의 협조 등도 보안 산업과 정책 측면에서 주목할 대목이다. 글로벌 IT 기업과 마찬가지로 국내 플랫폼 역시 국외 리스크를 반영한 침해 대응 시나리오를 가져야 한다는 목소리가 커지고 있다. 유출 경로와 규모, 침해된 정보의 종류가 최종적으로 확정되면, 향후 국내외 유사 사건에서 보안 규제와 조사 권한을 어떻게 설계할지에 대한 논의가 속도를 낼 가능성도 있다.  

 

업계에서는 쿠팡이 조사에 어떤 수준으로 협조하고, 정부가 향후 제재와 제도 개선을 어떤 방향으로 가져갈지가 디지털 플랫폼 전반의 개인정보 보호 투자를 가르는 기준점이 될 것으로 보고 있다. 산업계는 이번 사태가 실제 규제 강화로 이어질지, 그리고 강화된 규제가 시장에 안착할 수 있을지를 주시하고 있다.

최동현 기자
share-band
밴드
URL복사
#배경훈#쿠팡#개인정보유출