개인정보 유출 3300만건 의심…쿠팡, 정부 조사와 충돌

클라우드와 전자상거래 인프라에 의존하는 국내 유통 플랫폼의 보안 리스크가 다시 부각되고 있다. 쿠팡에서 발생한 것으로 알려진 개인정보 유출 규모를 두고 정부와 회사 측 설명이 정면으로 갈리면서, 데이터 기반 유통·IT 산업 전반의 신뢰와 규제 환경에 파장이 예상된다. 업계에서는 대규모 계정 정보 노출이 사실로 굳어질 경우 전자상거래 기업들의 보안 투자와 개인정보보호법 집행 강도가 한층 높아지는 분기점이 될 수 있다는 해석이 나온다.

배경훈 과학기술정보통신부 장관 겸 부총리는 30일 국회에서 열린 쿠팡 개인정보 유출 관련 연석청문회에서 쿠팡의 자체 발표를 정면으로 반박했다. 배 부총리는 쿠팡이 유출 규모를 3000건 수준으로 축소 설명한 것과 달리 정부 조사에서 3300만건 이상의 이름과 이메일 정보가 외부로 빠져나간 정황을 확인했다고 밝혔다. 그는 개인정보보호위원회와 경찰청, 민관합동조사단 분석 결과를 근거로 들며 회사 측과의 인식 차이가 크다고 지적했다.

또한 배 부총리는 단순 계정 정보 외 추가 피해 가능성도 언급했다. 그는 배송지 주소와 주문 내역 등 전자상거래 플랫폼의 핵심 거래 데이터까지 유출된 것으로 보고 있으며, 현재 수사가 진행 중이라고 설명했다. 이름과 이메일에 더해 실제 거주지, 구매 패턴이 결합되면 개인 식별 위험과 2차 피해 가능성이 급격히 커진다는 점에서 산업계 충격이 클 수 있다는 분석이 따른다.

쿠팡의 대응과 관련해서도 비판적 시각을 드러냈다. 배 부총리는 쿠팡이 정부와의 조사 결과가 정리되기 전에 자체 조사 수치를 먼저 발표한 점을 거론하며 합의되지 않은 결과를 사전에 공표한 데 대해 심각한 우려를 표한다고 말했다. 사실상 플랫폼 스스로 사고 규모를 축소했다는 의혹을 제기한 셈으로, 향후 법적 책임과 행정 제재 수위에도 영향을 줄 수 있는 대목이다.

정치권의 질의도 이어졌다. 김영배 더불어민주당 의원은 쿠팡이 한국 정부의 직접적 지시에 따른 협조 과정에서 3000개 계정만 유출됐다고 보고했다며 허위 보고에 해당하는 것 아니냐고 따져 물었다. 이에 대해 배 부총리는 정부의 그런 지시사항은 없었다고 선을 그었다. 정부 측이 축소 보고를 요구했다는 해석을 차단하면서, 책임 공방의 초점을 쿠팡의 사고 인지와 공시 과정으로 돌린 셈이다.

이번 사안은 단순 기술적 사고를 넘어 데이터 거버넌스 문제로 확산될 가능성이 있다. 유통과 IT를 결합한 대형 플랫폼은 방대한 구매·위치·결제 데이터를 처리하는 만큼, 한 번 유출이 발생할 경우 금융사기, 스미싱, 표적 광고 등 다양한 2차 악용 시도가 뒤따를 수 있다. 특히 이름과 이메일, 주소, 주문내역이 결합된 데이터 세트는 익명화가 사실상 불가능해, 향후 국내 개인정보보호법과 정보통신망법 상의 중대 침해 사고 기준과 제재 선례를 가를 사건으로 거론된다.

전문가들은 정부 조사 결과와 수사 상황에 따라 전자상거래·핀테크·디지털 헬스케어 등 데이터 집적 기반 산업 전반에 대한 규제 수준이 재조정될 여지도 있다고 본다. 대규모 유출이 공식 확인될 경우, 일정 규모 이상 플랫폼에 대한 상시 보안 점검, 사고 발생 시 대국민 통지 의무 강화, 데이터 최소 수집 원칙의 실제 집행 등이 구체화될 수 있다는 관측이다. 산업계는 이번 쿠팡 사태가 얼마나 큰 법적 책임과 제도 변화를 동반할지 예의주시하고 있다.