박대준 쿠팡 대표이사가 2일 서울 여의도 국회에서 속개한 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사고 관련 현안질의에 출석해 의원들 질의를 받고 있다. 연합뉴스

박대준 쿠팡 대표이사가 3370만명의 개인정보 유출을 ‘노출’이라고 표현한 것에 대해 “생각이 부족했다”며 고개를 숙였다. 공동현관 비밀번호의 유출 사실도 인정했다.

박 대표는 2일 국회 과학기술정보방송통신위원회가 연 긴급 현안질의에 증인으로 출석해 이같이 밝혔다.

여야 의원들은 이날 한목소리로 쿠팡의 책임 회피 태도를 질타했다. 이훈기 더불어민주당 의원은 “유출을 노출이라고 한 것은 국민 기만”이라고 일갈했고, 같은 당 노종면 의원은 “법적으로 ‘유출’에만 처벌 규정이 있다는 것을 알고 의도적으로 바꿔 쓴 것 아니냐”고 추궁했다. 박 대표는 “책임을 모면할 의도는 없었다”고 답했다.

쿠팡이 용의자로 지목된 퇴직 직원의 국적을 강조해 책임을 벗어나려 한다는 지적도 나왔다. 조인철 민주당 의원은 “퇴직 직원이 중국인이라는 것을 강조해 내뱉는 등 논점 흐리기 전략으로 대응하고 있다”고 비판했다. 같은 당 김현 의원 역시 “해킹 주체는 빠르게 특정할 수 없음에도 처음부터 중국인 소행이라고 언론 보도가 나간 경위를 확인해야 한다”며 “얄팍한 상술로 국민을 호도하지 말라”고 했다.

의원들은 2차 피해를 우려했다. 조 의원은 “기존 개인정보 유출 사례들의 공통점은 전화번호로, 전화번호로 정보를 묶으면 심각한 2차 피해가 우려된다”고 말했고, 박정훈 국민의힘 의원 역시 “이름·전화번호·주소까지 종합세트 같은 정보가 나간 경우는 처음인 것 같다”고 말했다. 박 대표는 “아직 2차 피해는 없는 것으로 안다”고 말했다.

미국 국적의 김범석 이사회 의장이 전면에 나서지 않는 것을 두고는 “배달의민족은 (모회사가 있는) ‘독일의민족’이 된 지 오래이고, 쿠팡은 괴도 루팡이 된 지 오래”(이상휘 국민의힘 의원)라는 지적도 나왔다.

쿠팡은 이날 기존에 알려진 개인정보 항목 외에 ‘공동현관 비밀번호’도 유출된 사실을 확인했다. “공동현관 비밀번호가 포함된 경우 그 내용이 안내 문자에 들어가야 번호 교체 등 대응을 할 수 있지 않느냐”(노 의원)라는 지적이 나오자, 박 대표는 “추가로 세심하게 신경쓰겠다”고 답했다. 박 대표는 다만 수입품의 통관 과정에서 주민등록번호 대신 사용되는 개인통관고유부호에 대해선 “유출되지 않았다”고 했다.

쿠팡 측은 이날 답변 과정에서 유출 사태가 내부 ‘서명키’ 보안 소홀에서 비롯됐음을 간접적으로 언급하기도 했다. 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 “공격자는 쿠팡 내부 서명키를 획득해 로그인 시 발급되는 토큰을 가짜로 만들었다”면서 “(공격자가) 키에 대한 접근권이 있었다는 것”이라고 말했다.

다만 대규모 정보 유출이 발생한 과정을 묻는 질문에 박 대표와 매티스 CISO는 대체로 “알지 못한다”거나 “조사 중”이란 이유로 답변을 피해 소비자 의문이나 불안을 해소하기엔 역부족이었다는 평가가 나온다.

아울러 정부는 이번 공격이 지난 6월24일부터 11월8일까지 약 5개월간 지속됐다고 공식 확인했다. 장기간 비정상 정보수집을 탐지하지 못했다는 점에서 쿠팡의 보안 부실 논란은 계속될 것으로 보인다.

이날 의원들은 대규모 정보 유출 재발 방지를 위한 징벌적 손해배상 필요성을 잇따라 제기했다. 배경훈 부총리 겸 과학기술정보통신부 장관은 “국민에게 직접 피해를 주고 금융 불안감을 높이는 일들에 대해서는 징벌적 손해배상을 통해 반복되지 않도록 하는 게 중요하다”며 영업정지와 같은 제재에 대해서도 “(관계부처와) 적극 논의하겠다”고 말했다.