[전문가 리포트] 여의도에서 보는 한국경제
‘셀프 면죄부’ 자체조사 결과 발표
미 법정 제출할 방어용 증거 빌드업
소비자 집단소송·증거개시 제도 필요
‘셀프 면죄부’ 자체조사 결과 발표
미 법정 제출할 방어용 증거 빌드업
소비자 집단소송·증거개시 제도 필요
지난 8일 서울 시내의 한 쿠팡 물류센터 앞 배송차량 모습. 연합뉴스
최근 발생한 쿠팡의 3370만 명 고객 개인정보 유출 사고는 국내 플랫폼 기업이 안고 있는 구조적 문제를 총체적으로 드러냈다. 사실상 쿠팡의 전 고객 정보가 무단 노출된 사상 최악의 유출 사례다. 쿠팡은 용의자로 지난해 12월 퇴사한 중국 국적의 개발자를 지목했다. 그는 인증시스템 개발팀 소속으로, 퇴사 후에도 내부 접근 토큰을 악용해 약 147일간 무단 접근을 지속하며 정보를 빼돌린 것으로 드러났다.
결국 전직 직원 단 한 명에게 전 국민의 정보가 털렸다는 사실은 쿠팡의 개인정보 관리 체계가 얼마나 허술했는지, 그리고 보안의 ‘기본’이 얼마나 철저히 무시되었는지를 적나라하게 보여준다.
1. 설계부터 무너진 보안
근본적인 질문을 던질 수밖에 없다. 개발자라는 이유로 전체 회원 정보에 접근할 수 있는 권한이 주어지는 것이 과연 정상적인 시스템인가? 현대적인 보안 프로세스에서 개발자가 실제 운영 데이터베이스(DB)에 직접 접근하는 것은 금기 사항이다. 개발자는 보안을 위해 ‘가림 처리(Masking)’되거나 ‘변조(Scramble)’된 테스트 데이터만을 사용해야 한다. 실제 고객의 이름, 주소, 연락처가 담긴 운영 데이터베이스에 접근이 필요한 경우, 이는 반드시 데이터베이스 관리자(DBA)의 엄격한 승인 하에 한시적으로(예: 30분~1시간) 이루어져야 하며 모든 내역이 기록되어야 한다.
그러나 쿠팡의 통제 구조는 유명무실했다. 퇴사한 직원이 5개월간 데이터를 빼가는 동안 아무런 경보가 울리지 않았다는 것은, 마치 퇴직자가 회사의 ‘마스터키 발생기’를 가지고 나가 마음대로 인증서를 발급해 출입하는 것을 방치한 것과 같다. 회사가 개인정보로 접근하는 출입구를 전혀 통제하지 못하였음을 보여 주는 것이다. 내부 보안통제 부재, 즉 개발자에게 실제 고객 데이터베이스에 대한 광범위한 접근권한을 부여한, 기본이 지켜지지 않은 것이다. 특히 인도·중국 등 글로벌 거점에서 원격 작업을 수행하는 쿠팡의 환경에서 이러한 통제 장치는 필수적이다. 더욱이 유출된 정보에 탈퇴자나 휴면 계정의 정보까지 포함되었다는 점은 비정상적인 접근을 탐지하는 부정사용방지시스템(FDS·Fraud Detection System)조차 제대로 작동하지 않았음을 시사한다. 이는 기업 내부통제의 중대한 오류이자 명백한 개인정보보호법 위반이다.
2. ‘셀프 조사' 발표, 미국 소송 향한 방어기제
사고 이후 쿠팡의 대응은 더 큰 문제다. 민관합동조사기구의 조사에 적극 협조해 원인을 규명하고 재발 방지책을 세우기보다, 책임을 경감하는 데 급급한 태도로 일관하고 있기 때문이다. 국회 청문회 출석 거부와 “수사 중인 사안이라 확인해 줄 수 없다”는 식의 답변은 플랫폼 기업의 사회적 책임을 외면하는 처사다.
특히 지난 25일 쿠팡이 일방적으로 발표한 자체 조사 결과는 그 전략적 의도가 다분하다. 쿠팡 측은 이 직원이 “단독으로 범행을 저질렀고 3300만개 고객계정에 접근했지만 약 3000개 계정의 제한적인 고객정보만 저장했다”며 “개인정보 유출자가 사용한 데스크톱 피시(PC)와 맥북에어 등 관련장치를 모두 회수했으며 저장했던 정보도 언론보도 이후 모두 삭제했다는 진술을 확보했다”고 주장했다.
하지만 이는 정부(개인정보보호위원회 및 한국인터넷진흥원)의 조사가 완료되지 않은 시점에서 나온 성급하고 아전인수격인 결론이다. 민관합동조사단의 교차 검증과 증거 훼손 가능성에 대한 확인이 없는 상태에서 나온 이러한 ‘셀프 면죄부' 발표는 국내 소비자들을 위한 해명이라기보다, 미국 법정에 제출할 ‘자기방어용 증거'를 선제적으로 구축하려는 행위로 볼 수 있다.
미국 법정에서 쿠팡은 사고의 ‘고의성’ 여부를 두고 주주들과 다투게 될 것이다. 쿠팡 입장에서는 “시스템 결함이 아닌 개인의 일탈이며, 회사는 즉각 조사하여 피해를 최소화했다”는 기록을 남기는 것이 소송에서 유리하기 때문이다.
김범석 쿠팡 아이앤씨(Inc) 의장이 2022년 7월8일 미국 아이다호주 선밸리에서 열린 콘퍼런스에 참석하고 있다. AFP 연합뉴스
3. 미국 SEC 규정 위반과 ‘늑장 보고’의 대가
쿠팡이 이토록 미국 소송에 집중하는 이유는 미국 증권거래위원회(SEC)의 엄격한 규제 때문이다. 쿠팡은 11월18일께 유출 사실을 인지했음에도 한 달 가까이 침묵하다 12월16일에서야 미 증권거래위원회에 ‘8-케이(K) 보고서’를 제출했다.
미국 증권거래위원회의 새로운 사이버 보안 공시 규정(Form 8-K, Item 1.05)에 따르면, 상장 기업은 ‘중대한(Material)’ 보안 사고를 인지한 후 영업일 기준 4일 이내에 이를 공시해야 한다. 쿠팡은 이 보고서에서 “3300만 건이 유출되었으나 사업 운영에 중대한 차질은 없다”고 서술했으나, 늑장 공시와 리스크 축소 의혹은 피할 수 없게 됐다.
이미 지난 18일 미국 주주들은 쿠팡과 김범석 쿠팡 아이앤씨(Inc) 의장 등을 상대로 주주대표 집단소송을 제기했다. 이들은 쿠팡이 연차보고서 등을 통해 “보안 위험을 관리하고 있다”고 강조하면서도, 실제로는 전직 직원이 장기간 시스템에 접근하도록 방치한 점을 지적했다. 또한 공시 지연 기간 동안 주가가 약 18% 급락하며 투자자들이 입은 손실에 대해 “허위·오해 유발 공표”의 책임을 묻고 있다. 2017년 에퀴팩스(Equifax) 사례처럼 중대한 리스크를 숨긴 기업은 천문학적인 합의금을 지불해야 할 수도 있다.
4. ‘아이폰 게이트' 교훈: 한국 사법제도 혁신 필요하다
쿠팡이 우리 정부의 조치보다 미국의 소송 방어에 주력하는 현실은 한국 법제도의 한계를 극명히 보여준다.
소비자 구제의 격차는 2017년 ‘아이폰 배터리 게이트' 사건에서 여실히 드러났다. 미국 소비자들이 집단소송을 통해 6000억원대의 합의금을 받아내는 동안, 한국 소비자들은 5년간의 소송 끝에 단 7명만이 1인당 7만원의 배상을 받는 데 그쳤다. 한국 집단소송·증거개시 제도의 부재가 원인이다.
원고 측 변호사는 “우리나라는 증권 분야에만 집단소송제가 있고 소비자 분야는 도입되지 않았다”고 지적하면서, 증거개시(디스커버리) 제도가 없어 기업이 자료를 숨겨도 제재받지 않으니 소송이 지지부진하고 배상 규모도 작아진다고 했다. 한국은 증권 분야에만 제한적으로 집단소송제가 도입되어 있을 뿐, 소비자 분야에는 적용되지 않는다.
무엇보다 기업이 내부 자료를 숨겨도 이를 강제할 ‘증거개시(Discovery, 디스커버리)' 제도가 없다 보니 소송은 지지부진해지고 배상 규모는 초라해진다. 우리나라에 주주대표소송제도가 도입되었지만 그 발동요건이 너무나 엄격(예: 발행주식의 1% 이상 주주)하고 그 피해에 대한 징벌적 배상제도가 유효성을 갖지 못해 기업의 위법행위를 실효적으로 제어하지 못한다.
결론: 플랫폼 권력에 걸맞은 ‘책임의 제도화’
쿠팡이 정부 조사 결과가 나오기도 전에 내놓은 성급한 자체 발표는 역설적으로 그들이 미국의 사법 시스템을 얼마나 두려워하는지를 보여준다. 거대 플랫폼 기업은 연결을 통해 막대한 부를 쌓지만, 그 바탕이 되는 데이터 보호라는 ‘기본'을 저버렸을 때는 그 권력만큼이나 무거운 책임을 져야 한다.
이제 우리도 ‘혁신'이라는 명분 아래 보안과 내부통제를 뒷전으로 미루는 관행을 끝내야 한다. 한국형 디스커버리 제도의 도입과 소비자 집단소송제의 확대, 그리고 주주대표소송의 실효성 강화는 3300만 국민의 권리를 지키기 위한 최소한의 안전장치다. 이번 사태가 쿠팡 한 기업의 심판을 넘어, 대한민국의 개인정보 보호 체계와 사법 정의를 재정립하는 중대한 전환점이 되기를 기대한다.
이용우 전 국회의원
