“3370만명 정보 털리고 5개월 몰랐다”…쿠팡 개인정보 유출, ‘보안 참사’ 논란
쿠팡에서 3370만명의 개인정보가 유출된 것으로 알려지면서 정치권을 중심으로 대규모 보안 사고의 원인과 책임을 둘러싼 논란이 커지고 있다. 특히 용의자가 전직 중국인 직원으로 지목되고, 퇴사 후 고객에게 협박성 이메일을 보냈다는 의혹까지 제기되면서 국가 차원의 사이버 안보 공백 지적이 이어지고 있다.
1일 국민의힘은 장동혁 당대표 명의의 SNS 입장문을 배포하고 쿠팡 개인정보 유출 사건을 “초유의 사태”로 규정했다. 장 대표는 “쿠팡에서 3370만명의 개인정보가 유출되는 초유의 사태가 발생했다”며 “더 큰 문제는 유출 사건이 전직 중국인 직원의 소행으로 알려진 것이다. 개인정보는 더 이상 단순한 데이터가 아니라 국가안보와 직결되는 마스터키”라고 밝혔다.
장 대표는 이번 유출이 단순 민생 범죄를 넘어 국제적 분쟁으로 번질 수 있다고 우려했다. 그는 “대규모 개인정보 유출 사태는 보이스피싱이나 스미싱 등의 민생범죄를 넘어 통상무역 문제로까지 비화될 수 있다”며 “기업의 자정 작용에만 맡겨둘 수 없다. 국민의 소중한 개인정보를 믿고 맡길 수 있는지, 개인정보를 처리하는 위치에 있는 모든 사람에 전수조사가 필요하다”고 강조했다.
국민의힘은 특히 민간 기업과 공공 영역을 포함한 ‘외국인 보안 인력’ 전수 점검 방침도 예고했다. 장 대표는 “국민의힘은 이미 보안사고가 발생했던 국가기관과 공공기관을 시작으로 민간 기업과 보안 관련 전담업체에서 일하는 외국인 현황 자료를 요구하고 분석에 착수하겠다”며 “국민의 개인정보를 보호하고, 국가안보 지키기보다 중요한 건 없다. 정보 보안이 곧 민생 안보이자 국가안보”라고 말했다.
당 수석대변인인 박성훈 대변인도 같은 날 논평을 통해 정부의 관리·감독 부실을 강하게 비판했다. 박 대변인은 “3370만명 정보가 털렸는데도 5개월 동안 아무도 몰랐다면 이는 단순 사고가 아니라 국가기능 마비에 가깝다”며 “국가의 개인정보보호 관리체계 인증(ISMS-P)이 사실상 제 역할을 못했다”고 지적했다.
박 대변인은 쿠팡이 국가 인증기관의 보안 인증을 두 차례 받았음에도 이후 여러 차례 유출 사고가 발생했다고 언급했다. 그는 “쿠팡은 인증을 두차례나 받았지만 그 이후에만 네차례 개인정보 유출이 발생했다. 제도와 장치는 있지만, 실제 보호 기능이 가동되지 않았단 뜻”이라며 “더 심각한 문제는 외부 해킹이 아닌 내부자 접근 가능성에 무게가 실리고 있단 점”이라고 말했다.
이어 그는 “중국인 직원이 해외에서 반복적으로 개인정보에 접속한 정황, 퇴사 후 소비자에게 협박성 메일까지 보냈단 보도까지 나왔다”며 “몇 달 동안 이런 움직임이 계속됐는데 기업도 정부도 알아채지 못했다는 건 국가 사이버 보안 컨트롤타워가 제대로 작동하지 않았다는 것”이라고 비판했다.
박 대변인은 최근 통신·금융 분야에서 제기된 중국발 사이버 공격 의혹도 함께 거론하며 정부 차원의 대응 강화 필요성을 언급했다. 그는 “최근 통신·금융 분야에서도 중국발 사이버 공격 의혹이 잇따르고 있다”며 “국경을 넘는 보안 위협에 대한 정부 차원의 대응 전략과 외국 수사기관과의 공조 체계 구축이 시급하다. 중국 정부에 요구해야 할 조치도 더 이상 머뭇거릴 이유가 없다”고 촉구했다.
국민의힘은 이번 사건을 계기로 현 정부의 전반적 보안 시스템 관리 능력에도 문제를 제기했다. 당은 국가정보자원관리원 화재 사례를 함께 언급하며 “정부 주요 시스템과 공공데이터가 손실됐다”고 주장했다. 이어 “민생과 국민 안전보단 내란몰이와 75만 공무원 사찰, 이재명 대통령 사법 리스크 지우기에만 혈안이 된 정부·여당이 원인”이라며 “이재명 정부에서 벌어진 초대형 보안참사의 책임을 반드시 따져 묻겠다”고 덧붙였다.
이번 쿠팡 개인정보 유출 사건은 전직 직원의 해외 접속, 장기간 탐지 실패, 국가 인증제도의 실효성 논란 등이 복합적으로 얽히며 구조적 한계를 드러내고 있다. 수사 및 관련 기관 조사 결과에 따라 기업의 내부자 통제 강화, 외국인 보안 인력 관리 기준, 국제 공조 체계 개선 등 제도 보완 논의가 이어질 것으로 보인다.
