쿠팡 개인정보 유출 공조 수사 주장에 정부 반박 파장
대규모 개인정보 유출 사고를 둘러싼 쿠팡의 잇단 단독 발표에 대해 정부가 공개적으로 제동을 걸었다. 정보통신망을 기반으로 한 대형 이커머스 사업자가 보안 사고 이후 조사 과정과 공조 수사 성격을 자체 해석해 발표하면서, 사이버 보안 거버넌스와 공적 커뮤니케이션의 원칙이 도마에 오른 모양새다. 업계에서는 개인정보 유출 대응에서 민간 기업의 역할과 정부 조정 기능이 어디까지 허용돼야 하는지, IT 플랫폼 산업 전반의 신뢰 구조를 되짚어야 한다는 목소리도 나온다.
과학기술정보통신부는 26일 쿠팡 개인정보 유출 관련 범정부 테스크포스를 대표해 공식 입장을 내고, 정부가 발표한 적 없는 내용을 쿠팡이 자체적으로 공지해 국민 혼란을 초래했다고 유감을 표했다. 앞서 쿠팡은 25일 자체 조사 결과를 언론에 공개한 데 이어, 논란이 커지자 정부의 지시에 따라 조사를 진행해 왔다고 재차 주장한 상황이었다.
범정부 테스크포스는 입장문에서 쿠팡이 언론에 밝힌 조사 경과와 공조 내용 전반을 다시 점검하겠다고 예고했다. 조사 결과는 투명하게 공개하겠다고 덧붙이며, 개인정보 유출 대응 체계와 발표 권한이 민간 기업 단독이 아니라 공적 관리 범주에 들어간다는 점을 강조한 셈이다. 특히 이번 사안은 단일 서비스의 기술 결함 수준을 넘어 국가 차원의 정보보안 역량과 사후 통제 구조를 시험하는 사례로 받아들여지고 있다.
쿠팡은 같은 날 별도 입장을 내고, 정부 감독 없이 독자적으로 조사했다는 주장이 퍼지며 불필요한 불안이 커지고 있다며 정부와의 협력 과정을 사실에 기반해 밝힌 것이라고 주장했다. 또 정부 지시에 따라 유출자로부터 완전한 자백을 확보했고, 유출에 사용된 모든 기기를 회수해 유출된 고객 정보 관련 핵심 사실을 파악했다고 설명했다. 대규모 플랫폼 운영사가 침해 사고 후 포렌식 장비와 로그 분석 시스템을 가동해 내부 조사를 수행하는 것은 일반적이지만, 이번처럼 조사 주도권과 공조 지위를 언론에 적극적으로 해석해 밝히는 방식은 이례적이라는 평가가 뒤따랐다.
국가정보원은 쿠팡 측 주장에 즉각 선을 그었다. 국정원은 출입기자단에 보낸 문자 메시지를 통해 쿠팡 사태와 관련해 쿠팡에 어떠한 지시를 할 위치에 있지 않고 실제로 지시한 사실도 없다고 밝혔다. 아울러 외국인에 의한 대규모 정보 유출을 국가안보 위협으로 인식하고 있다며, 관련 정보 수집과 분석을 위한 업무 협의만 진행 중이라고 설명했다. 이는 정보보호 분야에서 국정원이 수행하는 역할이 직접 지시보다는 정보 분석과 지원 중심이라는 기존 프레임을 재확인한 것이기도 하다.
보안 업계에서는 이번 공방을 두고 민간과 정부 간 침해사고 대응 프로토콜을 보다 명확히 제도화해야 한다는 지적이 나온다. 현재 대형 정보통신서비스 제공자는 정보통신망법 등에 따라 침해 사실 인지 즉시 신고 의무를 지며, 이후 방송통신 관련 부처와 국정원, 수사기관 등과 단계별로 대응에 나선다. 그러나 실제 현장에서는 조사 주체와 발표 타이밍, 공조 범위를 두고 이해관계자 간 인식 차이가 생기기 쉽다.
글로벌에서도 클라우드와 이커머스, 핀테크 사업자를 중심으로 개인정보 유출 사고가 빈번해지면서, 기업의 위기 커뮤니케이션 전략이 핵심 리스크 관리 수단으로 부상했다. 미국과 유럽에서는 일정 규모 이상의 데이터 유출 발생 시 감독기관이 공식 브리핑을 주도하고, 기업은 기술적 조치와 소비자 보호 대책을 보완 설명하는 구조가 자리 잡는 추세다. 반면 국내에서는 기업이 먼저 공지를 내고 이후 정부 발표가 뒤따르는 경우가 반복되면서, 발표 간 내용 불일치가 신뢰도에 영향을 주는 사례가 적지 않았다.
전문가들은 이번 쿠팡 사례를 계기로 대규모 개인정보 유출 사고에 대한 ‘원스톱 컨트롤타워’와 표준 커뮤니케이션 가이드라인을 마련할 필요가 있다고 본다. 피해 이용자 통지, 사고 원인 공개, 재발 방지 대책을 어느 수준까지, 언제, 누가 설명할지에 대한 원칙이 정교해질수록, IT 플랫폼 산업 전반의 신뢰도도 함께 높아질 수 있어서다.
정부는 향후 쿠팡 관련 조사 결과를 토대로 책임 소재와 기술적·관리적 보안 조치의 적정성을 평가하고, 제도 개선 필요 여부도 검토할 계획으로 보인다. 산업계는 이번 논란이 쿠팡 한 곳의 이슈를 넘어, 국내 IT 서비스 기업 전반의 보안 거버넌스와 위기 대응 문화를 재정비하는 계기가 될지 주목하고 있다.
