![쿠팡본사 [사진=연합뉴스]](https://images-cdn.newspic.kr/detail_image/601/2026/2/2/c9e75983-4d0e-435f-97a6-f231164addb2.jpg?area=BODY)
3370만명.
국민의 절반을 훌쩍 넘는 숫자다. 이번 쿠팡 개인정보 유출 사태의 규모다. 그러나 국회입법조사처가 2일 내놓은 분석은 사건의 무게를 다른 곳에 둔다. 해킹 기술의 정교함이 아니라, 기업의 보안 설계와 대응 방식이 더 큰 문제라는 것이다.
이번 사건의 출발점은 외부 해커가 아니라 퇴사자였다. 퇴사자가 내부자 전용 토큰 서명키를 외부로 반출했고, 그 키를 이용해 가짜 토큰을 만들어 시스템에 접근했다는 것이 쿠팡 측 설명이다. 토큰 서명키는 기업 보안의 핵심 자산이다. 원칙적으로 외부 반출이 불가능하고, 퇴사와 동시에 무효화돼야 한다. 그러나 이 키는 그대로 살아 있었다. 키 하나로 수천만명의 개인정보에 접근이 가능했다는 사실 자체가 쿠팡 내부 통제 체계가 사실상 작동하지 않았음을 보여준다.
입법조사처는 이를 단순 실수로 보지 않는다. 퇴사자 권한 회수 절차, 이상 징후 탐지 시스템, 비정상 접근 차단 장치가 제대로 설계돼 있었는지부터 따져야 한다고 지적한다. 이런 기본 장치가 정상 작동했다면 ‘키 하나로 3370만명 접근’이라는 상황은 발생할 수 없었다는 것이다. 이번 사건은 외부 침입보다 내부 설계 실패에 가깝다. 더 심각한 대목은 유출된 정보의 성격이다. 활성 회원 정보뿐 아니라 이미 탈퇴한 회원 정보까지 한꺼번에 유출됐다.
입법조사처에 따르면, 현행 개인정보보호법은 탈퇴 시 개인정보를 즉시 파기하도록 규정한다. 예외적으로 보관하더라도 다른 정보와 분리해야 한다. 그러나 이번 사고에서는 이런 원칙이 지켜지지 않은 정황이 뚜렷하다. 공동현관 비밀번호 같은 민감 정보까지 포함돼 있었다. 탈퇴 후 보관할 합리적 이유가 거의 없는 정보다.
입법조사처는 쿠팡의 개인정보 데이터베이스 관리 방식 자체를 점검해야 한다고 본다. 비활성 정보 파기 의무와 분리보관 의무가 제대로 이행됐는지, 법이 정한 예외 사유 범위를 넘어 과도하게 정보를 보유한 것은 아닌지 따져보라는 것이다. 이는 해킹 기술의 문제가 아니라 데이터 관리 철학의 문제다. 사고 이후의 대응 과정도 논란을 키웠다. 쿠팡은 초기 공지를 팝업이 아닌 작은 배너 형태로 노출했고, ‘유출’ 대신 ‘노출’이라는 표현을 사용했다. 일부 유출 항목은 통지에서 빠졌고, 담당 기관 연락처도 직접 기재하지 않았다. 정보주체가 스스로 보호 조치를 취하도록 돕는다는 통지 제도의 취지가 충분히 구현됐는지 의문이 남는다.
입법조사처는 이런 대응이 정보주체 보호보다 기업 평판 관리에 무게를 둔 결정이었는지 확인할 필요가 있다고 본다. 피해 규모가 명확히 확인되기 전부터 소극적 통지를 선택한 경위, ‘유출’ 표현을 회피한 의사결정 구조가 국정조사의 핵심 쟁점이 될 수 있다는 지적이다. 수사 중 자체조사를 강행한 대목은 더 큰 파장을 낳았다. 민관합동조사와 경찰 수사가 진행 중이던 시점에 쿠팡은 독자적으로 포렌식을 실시하고 “실제 저장된 정보는 약 3000개 계정뿐”이라는 결론을 먼저 발표했다. 정부 기관들은 즉각 반박했다. 경찰은 유출 규모가 더 클 가능성을 언급했고, 개인정보보호위원회는 자체조사 결과 공지가 조사 방해에 해당할 수 있다고 경고했다.
입법조사처는 미국 우버 사례를 함께 언급한다. 과거 우버가 유사한 사건에서 자체 은폐를 시도하다 사법방해 혐의로 처벌받은 전례다. 수사가 진행 중인 상황에서 기업이 먼저 결론을 공표한 이유가 무엇이었는지, 그 의사결정 과정과 책임 구조를 국정조사에서 규명해야 한다는 것이다. 배상 방식 역시 도마에 올랐다. 쿠팡은 피해 고객에게 1인당 5만원 상당의 구매이용권을 지급하겠다고 발표했다. 그러나 현금이 아닌 쿠폰 형태였고, 사용처는 쿠팡 계열사로 한정됐다. 사용기한은 3개월, 잔액 환불도 불가능했다. 사고 이후 탈퇴한 고객은 보상을 받기 위해 다시 회원가입을 해야 했다.
입법조사처는 이를 사실상 마케팅 수단에 가깝다고 본다. 법의 원칙은 금전을 통한 손해배상인데, 피해자의 의사를 묻는 절차도 없었다는 것이다. 국정조사 과정에서 금전 배상 가능성과 탈퇴 고객에 대한 별도 보상 방안을 점검해야 한다는 제안이 뒤따른다.
입법조사처의 마지막 대목은 더 날카롭다. 미국 자본시장은 이번 사태가 쿠팡 기업 가치에 미칠 영향이 제한적일 것이라고 봤다. 이유는 단순했다. “한국 소비자들이 개인정보 유출에 상대적으로 익숙하다”는 분석 때문이다. 입법조사처는 이 인식을 가장 위험한 신호로 본다. 대규모 유출이 반복돼도 사회가 무감각해지면, 규제의 틈새를 이용하는 행위가 사실상 용인되는 구조가 굳어질 수 있다는 경고다. 이번 사건의 본질은 기술이 아니라 문화다.
기업의 안일함과 사회의 무관심이 만나면 개인정보 보호는 공허한 구호가 된다. 이번 국정조사는 단순히 한 기업을 조사하는 절차가 아니다. 한국 사회가 개인정보를 어떻게 다룰 것인지에 대한 분기점이다. 제대로 들여다보지 않으면 3370만명은 끝이 아니라 시작이 될 수 있다.
[뉴스로드] 최지훈 기자 jhchoi@newsroad.co.kr
Copyright ⓒ 뉴스로드 무단 전재 및 재배포 금지
