쿠팡 쪽 “해당 메시지는 비위 행위로 해고된 전 임원과 제3자 간 대화로 추정”
국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사태 관련 청문회가 열린 지난 17일 서울 시내의 한 쿠팡 물류센터 모습. 연합뉴스
쿠팡이 2019~2020년께 사업을 확장하는 과정에서 김범석 쿠팡아이엔씨(Inc·미국 법인인 쿠팡 모회사) 의장 지시로 보안 및 개인정보 보호 영향 평가를 건너뛰거나 금융당국 조사에서 문제가 될 수 있는 시스템 간 데이터 흐름을 은폐하는 등 탈법적 행위를 한 정황이 포착됐다.
18일 한겨레가 입수한 쿠팡 전 최고정보책임자(CPO) 미국인 ㄱ씨와 에릭 렌 당시 풀필먼트 및 물류 엔지니어링 총괄이 2019년 1월 나눈 ‘시그널’ 메신저 대화 내용을 보면, 쿠팡은 개인 차량 배송 서비스 ‘쿠팡플렉스’ 출시(2018년 8월)에 앞서 보안 및 개인정보 보호 규정 관련 검토를 하지 않은 정황이 발견됐다.
ㄱ씨는 메신저 대화에서 “이건(쿠팡플렉스 출시) 당연히 보안·개인정보 보호 검토를 거쳤어야 한다는 걸, 당신들도 알지 않느냐”고 문제를 제기했다. 그러자 에릭 렌 당시 총괄은 “범(Bom·김 의장의 영문 이름)이 하지 말라고 했다”고 답했다. 이에 ㄱ씨는 재차 “그(김 의장)는 분명 ‘빨리, 싸게 하라’고 말했을 것이다. 하지만 이건 고객과 쿠팡플렉스 노동자들의 개인정보·개인식별정보(PII)를 다루는 일 아닌가”라고 반문했지만, 에릭 렌 총괄은 “범이 당신 팀을 참여시키지 말라고 했다”고 선을 그었다. 김 의장의 결정 아래 ㄱ씨가 몸담았던 사내 정보보호 조직은 사실상 ‘패싱’ 당했던 셈이다.
2018년 하반기에 쿠팡은 본인 차량으로 로켓배송 서비스를 할 수 있는 쿠팡플렉스 지원자를 별도 검증 절차 없이 뽑았다. 지원자들은 △이름 △휴대폰 번호 △배송 희망 지역 △자차 배송 가능 여부 등 항목만 제출하면 신청 지역 내 아파트, 빌라 현관 출입 비밀번호 등을 공유받을 수 있었다. 이렇게 공유된 개인정보가 범죄에 악용될 수 있다는 우려가 제기되기도 했다.
쿠팡이 핀테크 사업에 대한 금융감독원 검사를 받으며, 김 의장 지시로 금융사고 발생 위험이 있는 데이터 피드를 은폐한 정황도 확인됐다. ㄱ씨는 2020년 7월 알베르토 포나로 당시 최고재무책임자(CFO)로 추정되는 인물에게 메신저로 “(회사가 자체적으로 보유·운영하는) 핀테크 시스템에서 쿠팡 데이터 플랫폼 팀의 데이터 웨어하우스(중앙 저장소)로 연결되는 비준수 및 불법 데이터 피드가 있다”고 보고했다. 쿠팡페이(쿠페이)의 전자금융 시스템과 쿠팡 데이터 플랫폼을 자동·상시로 연결하는 데이터 연계 구조에 문제가 있었다는 취지다. 그러면서 ㄱ씨는 “이 데이터 피드는 법에 정해진 보안 및 개인정보 보호 검토를 한번도 거치지 않았다”고 덧붙였다. 앞서 쿠팡은 2020년 4월 쿠페이 결제 서비스를 담당하던 핀테크 자회사 ‘쿠팡페이’를 설립했는데, 시스템을 완전히 분리하는 과정에서 이 문제가 뒤늦게 발견됐던 것으로 보인다.
하지만 이런 문제는 금융감독원 검사에서 적발되지 않았다. ㄱ씨는 그 이유에 대해 “키로(Kiro·경인태 당시 쿠팡페이 CEO)가 금감원 검사가 진행되는 동안 이 데이터 피드를 삭제”했기 때문이라며 “키로는 여러 사람에게 ‘범이 이 일을 하라고 지시했다’고 말했다고 한다”고 해당 메신저 대화에서 전했다. 쿠팡이 금감원 검사에서 의도적으로 논란이 될 증거를 은폐했다고 해석할 수 있는 지점이다. 금감원은 현재 쿠팡페이에 대한 현장 점검과 함께 위법 정황과 별개로 결제 시스템의 위험성을 검토 중이다.
이에 대해 쿠팡 쪽은 “해당 메시지는 비위 행위로 쿠팡에서 해고된 전 임원과 제3자 간의 대화로 추정되며, 언급되는 당사자는 현재 퇴사해 관련 내용에 대한 사실 관계를 확인할 수 없다”고 밝혔다.
