“데이터 조사를 민간이 먼저”…정부, 쿠팡 선제 발표에 제동

개인정보 유출 사고 이후 기업의 자체 조사와 정부의 공식 발표 간 역할 분담이 정보통신 정책의 새 쟁점으로 부상하고 있다. 대형 플랫폼의 보안 사고가 반복되면서, 민간 기업이 선제적으로 수치를 공개하는 관행을 정부가 어디까지 인정할지가 향후 규제 방향을 가르는 기준이 될 수 있어서다. 업계에서는 이번 쿠팡 사태를 둘러싼 국회 청문회를 데이터 주권과 플랫폼 책임 범위를 다시 정립하는 분기점으로 보는 분위기다.

배경훈 과학기술정보통신부 장관 겸 부총리는 30일 국회에서 열린 쿠팡 개인정보 유출 관련 연석청문회에 출석해 쿠팡의 자체 조사 발표를 정부가 지시했다는 의혹을 부인했다. 그는 플랫폼 기업 관할 주무 부처가 과학기술정보통신부라는 점은 인정하면서도 이번 유출 건과 관련해 쿠팡에 조사나 발표를 요청하거나 지시한 바 없다고 선을 그었다.

배 부총리의 발언은 쿠팡이 한국 정부의 요청에 따라 자체 조사를 진행했다는 취지로 설명한 기존 입장에 대한 정부 차원의 반박이다. 국내외 투자자와 이용자 신뢰를 의식해 기업이 먼저 사고 규모를 밝힌 셈이지만, 정부는 공식 통계와 괴리가 발생할 수 있다며 절차 위반에 가까운 행위로 본다는 기류가 강하다.

국가정보원의 역할을 둘러싼 논란에 대해서도 배 부총리는 개입이 아니라 물리적 증거 이송 지원에 그쳤다고 강조했다. 국정원은 국제적·국가 배후 연관 사이버 침해 사고에 대응할 법적 근거를 갖고 있으나, 이번 사안에서는 노트북과 데스크톱, SSD 등 디지털 포렌식 대상 장비를 해외에서 국내로 옮기는 과정에서 훼손과 분실을 막기 위한 운송 지원만 했다는 설명이다.

정부의 공식 피해 규모 집계 절차도 언급됐다. 배 부총리는 정부가 3000건 유출이라는 수치를 공식 발표하려면 민관합동조사단과 개인정보보호위원회, 경찰청의 분석 결과를 취합해 최종 정리하는 단계가 필요하다고 말했다. 이미 로그 분석으로 이름과 이메일 등 일부 개인정보 유출 사실은 확인된 상태지만, 배송 주소처럼 데이터 양이 방대하고 구조가 복잡한 항목은 추가 분석이 진행 중이라고 덧붙였다.

현재 경찰청과 개인정보보호위원회는 쿠팡 배송 이력 데이터를 정밀 분석하는 과정에서 일부 추가 유출 정황도 포착한 상황이다. 배 부총리는 이런 중간 결과를 종합해 최종 조사 보고서를 만든 뒤에야 쿠팡이 공식 입장을 내는 것이 순서라고 지적하며, 기업이 정부 확정치 이전에 선제 발표를 진행한 것은 바람직하지 않다고 비판했다.

이번 논쟁은 대규모 플랫폼의 보안 사고에서 민간 주체의 자율 공시와 공공기관의 공식 통계 간 경계 설정 문제를 드러낸다. 미국과 유럽에서는 개인정보 침해 사고 발생 시 신고 기한과 공시 방식이 법제화돼 있는 반면, 국내에서는 신고는 의무화돼 있지만 기업의 대외 발표 시점과 내용 통제는 상대적으로 느슨한 편이다.

개인정보 보호와 디지털 신뢰를 둘러싼 규제 환경이 강화되는 흐름 속에서, 정부는 조사와 발표의 최종 책임 주체를 명확히 해 데이터 유출 규모와 경위에 대한 혼선을 줄이려는 방향에 무게를 두는 모습이다. 산업계는 대형 보안 사고 때마다 반복되는 책임 공방을 줄이기 위해, 조사 가이드라인과 공시 절차를 구체화하는 제도 개선 여부를 예의주시하고 있다.