‘자체조사’ 논란 반박한 쿠팡…전문가 “발표 원칙 흔든 물타기"

[이데일리 김현아 기자] 쿠팡이 개인정보 유출 사건과 관련해 ‘자체 발표’에 나선 것을 두고 논란이 이어지는 가운데, 쿠팡은 26일 “정부 지시에 따라 몇 주간 거의 매일 협력하며 조사했다”며 ‘자체조사’ 비판을 정면 반박했다.

쿠팡은 유출자 접촉, 진술서·장비 확보, 정부 제출까지의 경과를 공개하며 지난 25일 고객 공지는 “불필요한 불안을 줄이기 위한 사실관계 정리”였다고 설명했다.

하지만 보안 전문가는 쿠팡의 해명을 “하고 싶은 말만 하는 것”이라고 일축했다. 김승주 고려대 정보보호대학원 교수는 이데일리와의 통화에서 “민간 합동조사단이 투입되더라도 기업은 자료 제공과 확인을 함께 할 수밖에 없다. 자료를 요청하면 회사가 가져오고 조사단이 더 들여다보는 구조”라며 “SKT든 KT든 다 똑같다”고 말했다. 이어 “통신사 사례에서도 보듯 해킹 사건은 정부가 발표하고 기업은 배석하는 게 원칙”이라며, 쿠팡이 ‘공조’를 근거로 선공개에 나선 것을 두고 “물타기처럼 보일 수 있다”고 지적했다.

“공조 조사” vs “원래 함께 하는 절차…발표 원칙이 핵심”

쿠팡은 이번 사건에서 정부 지시에 따라 공조했고, 유출자 접촉과 장비 회수도 협의 아래 이뤄졌다고 밝혔다. 회사 측에 따르면 12월 1일 정부와 협력 방침을 정했고, 9일에는 정부가 유출자와 직접 접촉할 것을 제안했다. 이후 14일 유출자 첫 대면, 16일 데스크톱·하드 드라이브 회수, 18일 하천에서 맥북 에어 회수, 21일 진술서·노트북·하드 드라이브를 경찰에 제출하는 등 일정을 제시했다. 쿠팡은 “정부의 감독 없이 독자적으로 조사했다는 주장이 불필요한 불안을 키운다”며 공조 과정을 공개한 배경도 설명했다. 수사 기밀 유지와 조사 내용 비공개 등 정부 지시를 준수해 왔다고도 덧붙였다.

반면 김 교수는 민관합동조사에서는 ‘공조 여부’보다 ‘발표 주체’와 ‘확인 절차’가 더 중요하다고 강조했다. 그는 “민간 합동조사단이 들어가면 혼자 일할 수가 없다. 회사가 자료를 제공해야 조사 자체가 진행된다”고 설명하며, ‘공조’는 특별한 방어 논리가 아니라 민관합동조사 방식의 기본이라고 했다.

김 교수는 특히 “정부가 얘기하는 건 ‘쿠팡이 발표한 내용은 중간 결과고 우리가 컨펌한 게 아니다. 니들이 그냥 얘기한 거다’라는 것”이라고 해석했다. 조사 과정에서 기업이 협조한 사실과, 수사·조사기관이 확인해 공식화하는 발표는 구분돼야 한다는 주장이다.

이어 “도대체 쿠팡은 어떤 로펌의 자문을 받길래 이런 황당한 짓을 하고 있나 이런 얘기들이 나온다”며 “수사기관이 발표할 때까지 기다려야 한다”고도 했다. 기업의 선공개가 수사 체계를 흔들고 혼선을 키울 수 있다는 우려에서다.

결국 쿠팡은 정부와의 협력 과정을 근거로 발표의 정당성을 강조하는 반면, 전문가는 검증 이전의 ‘선공개’가 오히려 혼선을 키울 수 있다고 보는 구도다.

과학기술정보통신부 민관합동조사단 조사와 경찰 수사가 진행 중인 만큼, 향후 최종 조사 결과와 수사기관 판단이 쿠팡 발표 내용과 얼마나 일치할지도 관심사로 남는다.