“개인정보 유출 조사중”…쿠팡, 성급 발표 논란 확산

개인정보 유출을 둘러싼 조사 과정에서 정부와 대형 플랫폼 기업 간 긴장이 고조되고 있다. 과학기술정보통신부가 쿠팡의 고객정보 유출 관련 자체 발표에 대해 공식적으로 항의하며, 민관합동조사단이 아직 사실관계를 확정하지 않았다는 점을 분명히 하면서다. 데이터가 핵심 자산이 된 디지털 경제 환경에서 유출 사고 발생 시 조사 주체와 정보 공개 범위를 둘러싼 거버넌스 논쟁이 다시 부각되는 모양새다. 업계에서는 이번 사안을 국내 플랫폼 개인정보 보호 체계 전반을 되짚는 분기점으로 보는 시각도 나타나고 있다.  

과기정통부는 25일, 쿠팡이 고객정보 유출과 관련해 조사 중인 내용을 자사 홈페이지에 먼저 공개한 데 대해 강력히 항의했다고 밝혔다. 현재 정부와 민간 전문가가 참여하는 민관합동조사단이 정보 유출 종류와 규모, 유출 경위 등에 대해 정밀 조사를 진행 중인 만큼, 쿠팡이 게시한 내용은 공식 조사 결과로 확인된 사실이 아니라는 입장을 재차 강조했다. 과기정통부는 쿠팡의 개인정보 유출 조사 관련 배포 자료가 모두 민관합동조사단의 검증과 확인을 거쳐야 할 사항이라고 못박았다.  

논란의 출발점은 쿠팡이 이번 사건과 관련한 구체적 내용을 먼저 공개한 데 있다. 쿠팡은 자사 홈페이지 공지를 통해 고객 정보 유출자를 특정했고, 유출에 사용된 모든 장치를 회수했다고 주장했다. 또 현재까지 파악된 내용이라며 유출자가 약 3300만 고객 계정의 기본 정보에 접근했지만 실제 저장된 정보는 약 3000개 계정에 불과하며, 이후 해당 정보를 모두 삭제했다고 설명했다.  

쿠팡은 저장된 정보에 공동현관 출입번호 2609개가 포함돼 있었지만, 결제정보나 로그인 정보, 개인통관고유번호는 포함되지 않았다고 밝혔다. 외부 전송 등 추가 유출 정황도 없었다고 강조했다. 이와 함께 디지털 포렌식과 유출자 진술을 통해 범행 경위와 사용 장치를 확인했다는 점을 부각하며, 자체 조사가 상당 부분 진척됐다고 주장하는 모습이다.  

특히 이번 사안은 개인정보보호법과 전자상거래법 등 관련 법제 하에서 플랫폼 사업자의 보고 의무와 정부 조사 권한이 어떻게 역할을 분담해야 하는지, 또 이용자에게 어느 시점에 어떤 수준의 정보를 공개해야 하는지라는 구조적 질문을 던진다. 대형 온라인 플랫폼에서 수천만 단위 계정 정보 접근이 발생했다는 점만으로도 이용자 신뢰와 시장에 미치는 충격이 커, 정부는 조사 단계에서 섣부른 정보 공개가 오해를 낳을 수 있다고 본 것으로 해석된다.  

글로벌 차원에서도 개인정보 유출 대응 체계는 강화되는 추세다. 유럽의 일반개인정보보호법과 미국 주요 주법은 유출 사고 발생 시 일정 시간 내 통지 의무와 함께, 조사기관과의 정보 공유 절차를 비교적 상세히 규정하고 있다. 국내에서도 디지털 헬스케어, 핀테크, 커머스 등 데이터 집약형 서비스가 늘면서 대규모 계정 정보에 대한 접근 자체를 어떻게 관리·감독할지에 대한 거버넌스 재정비 필요성이 제기돼 왔다.  

전문가들은 이번 사건이 단순한 개별 사고를 넘어 데이터 보호 체계와 플랫폼 책임성 논의로 확장될 수 있다고 보고 있다. 한 정보보호 분야 관계자는 조사 결과에 따라 법적 책임 여부와 별개로, 데이터 접근 통제, 내부자 또는 특정 계정에 의한 과다 조회 감지 시스템, 사고 발생 시 정부와 기업 간 정보 공개 프로토콜을 전면 재점검하는 계기가 될 수 있다고 전망했다.  

산업계는 쿠팡의 발표와 과기정통부의 제동 사이에서, 앞으로 대규모 개인정보 유출이 의심되는 상황에서 기업이 어떤 수준과 속도로 정보를 공개해야 할지 예의주시하고 있다. 데이터가 산업의 기반이 된 만큼, 기술과 규제, 기업 책임과 이용자 권리 사이의 균형이 새로운 성장의 전제 조건으로 떠오르고 있다.