“쿠팡 로그 5개월 증발”…정부, 조직적 은폐 의심 고조

대형 이커머스 플랫폼의 개인정보 보호 체계가 국가 차원의 보안 이슈로 번지고 있다. 정부가 쿠팡 개인정보 유출 사건을 직접 조사하는 과정에서 홈페이지 접속 로그 5개월 분량이 통째로 삭제된 사실이 드러나면서, 단순 사고를 넘어 조직적 은폐 의혹까지 제기되는 분위기다. 정보통신망을 기반으로 하는 국내 디지털 유통 산업 전반의 신뢰도와 규제 체계가 시험대에 올랐다는 지적이 나온다. 업계에서는 이번 사안을 개인정보보호법과 정보통신망법 등 데이터 규제 집행 강화를 가를 분기점으로 보는 시각도 형성되고 있다.

배경훈 과학기술정보통신부 장관 겸 부총리는 31일 국회에서 열린 쿠팡 개인정보 유출 관련 연석청문회에서 쿠팡 측 조사 과정에서 확인된 정황을 공개했다. 배 부총리는 쿠팡이 피조사기관으로 지정된 이후에도 홈페이지 접속 로그가 삭제돼 5개월 분량의 기록이 사라진 사실이 확인됐다며, 이를 명백한 법 위반으로 규정했다. 과학기술정보통신부가 관련 자료 제출을 지속적으로 요구해온 상황에서 로그 삭제가 발생했다는 점을 들어, 조사 비협조와 관리 소홀을 동시에 문제 삼은 것이다.

접속 로그는 이용자 접속 시간과 IP, 접속 경로와 같은 기록으로, 해킹 경로 추적과 피해 범위 산정의 핵심 근거로 활용된다. 전자상거래 플랫폼의 경우 주문·결제·배송 시스템과 맞물려 있어, 로그 보존은 정보통신망법과 개인정보보호법 해석상 안전조치 의무에 해당한다. 특히 이번 사건처럼 대규모 개인정보 유출 정황이 포착된 상태에서 로그가 대량 삭제된 점은, 기술적 결함을 넘어 증거 인멸에 준하는 행위로 해석될 수 있다는 것이 정부의 시각이다.

배 부총리는 쿠팡의 유출 규모 축소 시도도 강하게 비판했다. 그는 용의자가 최초 협박 메일에서 1억2000만 건의 배송 정보와 3300만 건의 이메일 주소 유출을 주장했는데, 쿠팡이 이를 3000건 수준으로 축소해 발표한 것은 매우 위험한 접근이라고 지적했다. 배 부총리는 쿠팡이 용의자 진술을 그대로 인용하면서도 실제로는 극히 일부 데이터만 유출된 것처럼 설명하고 있다며, 정부가 의뢰한 3개 기관의 조사 결과가 용의자 진술과 거의 일치하는 점을 들어 의심을 거둘 수 없는 상황이라고 강조했다.

유출 데이터의 저장 위치와 삭제 여부도 핵심 쟁점으로 떠올랐다. 배 부총리는 쿠팡이 3000건이 삭제됐다고 주장하고 있지만, 해당 정보가 실제로 삭제됐는지, 또 어디에 저장돼 있었는지가 더 중요하다고 언급했다. 특히 정보가 클라우드 인프라에 저장돼 있었다면 추적 자체가 어려워지고, 해외 서버를 경유하는 과정에서 국제적 사이버 공격에 악용될 가능성도 배제하기 어렵다고 분석했다. 국내 디지털 플랫폼이 활용하는 클라우드 인프라의 물리적 위치와 로그 관리 수준이 글로벌 보안 리스크로 직결될 수 있다는 의미다.

정부가 확인한 유출 규모는 쿠팡 자체 발표보다 훨씬 크다. 배 부총리는 이미 이메일과 성명 정보 3300만 건이 유출된 사실을 확인했다고 밝혔다. 이는 단순 마케팅 정보가 아니라 개인 식별이 가능한 기초 개인정보에 해당해, 피싱, 스팸, 타깃형 스미싱, 계정 탈취 시도의 토대가 될 수 있다는 점에서 파급력이 크다. 특히 이메일과 성명 정보가 대규모로 외부에 노출될 경우, 다른 온라인 서비스 계정과의 연계 공격 가능성이 높아져 2차·3차 피해가 연쇄적으로 발생할 위험도 지적된다.

배 부총리는 쿠팡의 전반적 대응 태도에 대해서도 문제를 제기했다. 그는 쿠팡이 정부 조사에 충분히 협조하지 않은 채, 무엇을 우려한 것인지 먼저 유출 규모를 스스로 발표하고 보상 방안을 내놓았다고 꼬집었다. 그러면서 이러한 선제 발표에 악의적 의도가 있다고 판단한다며, 정부 조사에 앞서 시장과 여론을 겨냥해 사건을 축소·관리하려 한 것 아니냐는 시각을 드러냈다. 플랫폼 기업이 자체 발표를 통해 여론을 선도한 뒤, 규제·수사기관의 판단 여지를 좁히는 방식의 리스크 관리 관행에 대한 비판으로 해석된다.

정부는 쿠팡 사태를 정보보호 정책 전반을 재점검하는 계기로 삼겠다는 입장이다. 배 부총리가 쿠팡 사태 범정부 TF 팀장을 맡은 만큼, 과학기술정보통신부를 중심으로 개인정보보호위원회, 경찰청, 산업부 등 유관 부처와 기관이 참여하는 합동 조사와 제도 개선 논의가 병행될 가능성이 크다. 특히 대규모 트래픽과 방대한 데이터를 다루는 이커머스와 핀테크, 모빌리티 플랫폼을 중심으로 로그 보존 의무, 클라우드 사용 기준, 침해사고 보고 체계 등을 다시 설계하자는 요구가 커질 수 있다.

국제적으로도 개인정보 유출 사고에 대한 대응과 제재 수위는 갈수록 높아지는 추세다. 유럽에서는 GDPR을 근거로 글로벌 IT 기업에 막대한 과징금을 부과하고 있고, 미국 역시 각 주별 데이터 유출 통지법과 연방 차원의 규제 논의가 병행되고 있다. 한국에서도 대형 플랫폼을 겨냥한 개인정보보호법 개정 논의가 이어져 왔지만, 실제 집행 과정에서는 기업의 자율 보호 조치를 상당 부분 신뢰해온 것이 사실이다. 이번 사건을 계기로 정부가 로그 관리, 사고 보고 지연, 축소 공시 등에 대한 제재 기준을 한층 강화할 가능성이 제기된다.

배 부총리는 정부가 이번 사안을 끝까지 밝혀내겠다고 강조했다. 그는 최초 용의자가 협박 메일을 보낼 당시 확보했을 것으로 보이는 수준 이상의 유출 가능성도 염두에 두고 조사를 이어가고 있다며, 조사 결과를 최대한 신속하게 도출해 공개하겠다고 밝혔다. 플랫폼 기업의 데이터 보안 책임과 정부의 감독 권한, 이용자의 정보 자기결정권이 정면으로 충돌하는 사건인 만큼, 향후 제도 정비 방향에 따라 국내 디지털 산업 생태계의 신뢰 구조가 크게 재편될 수 있다는 분석이 나온다. 산업계는 이번 유출 사고가 시장 차원의 자율 규율로 수습될지, 강력한 규제 강화로 이어질지 예의주시하고 있다.