쿠팡의 대규모 개인정보 유출 사고 파문이 좀처럼 가라앉지 않으면서, 내부 보안 관리와 피해자 배상 방식 등을 국정조사에서 중점적으로 점검해야 한다는 지적이 나왔다. 개인정보 유출 사고 위험에 익숙해지고 이를 구조적으로 용인할 수 있다는 우려다.

국회입법조사처가 최근 공개한 ‘쿠팡 국정조사에서의 개인정보 침해 관련 쟁점’ 보고서를 보면, 쿠팡은 2020년과 2021년, 2023년 등 여러 차례 개인정보 침해 사고를 경험했음에도 이번에 대규모 침해가 발생했다.

보고서는 “반복되는 사고를 볼 때 내부 보안 관리와 대응 체계가 근본적으로 개선되지 않았다”며 내부 보안체계 상황, 개인정보 데이터베이스 관리 방식, 통지내용과 방식에 대한 의사결정 과정, 자체 조사 이유와 방식, 피해자 배상 방식 등을 향후 검토해야 할 쟁점으로 짚었다.

내부 보안체계와 관련해선 엄격하게 관리해야 하는 내부자 전용 토큰 서명키가 퇴직 이후에도 유효하게 작동했다는 점을 지적했다.

보고서는 “단순한 실수를 넘어 전사적 내부 통제 프로세스에 구조적 결함이 있을 가능성을 시사한다”며 “퇴사자에 대한 접근 권한 회수 절차, 실시간 탐지·차단의 운영 방식, 유사한 접근이 추가로 발생했을 가능성은 없는지 확인이 요구된다”고 밝혔다.

활성회원 정보뿐 아니라 탈퇴회원 정보까지 일괄 유출됐다는 것은 유출자가 비활성 정보에도 별다른 제약 없이 접근할 수 있었을 가능성을 시사한다는 지적도 나왔다.

보고서는 “탈퇴 회원 정보 등 비활성 정보 관리가 적정하게 이뤄졌는지 아닌지를 점검해볼 필요가 있다”며 “(사후 정산이나 제품 보증 등) 예외 사유를 기준으로 계속 보유할 개인정보를 구체적으로 선별하는 절차가 적정하게 이뤄졌는지도 확인해야 한다”고 말했다.

개인정보 유출 피해 통지 시기와 방식을 소극적으로 운영했다는 점도 문제점으로 지적했다. 보고서는 “쿠팡이 유출 사실을 명확히 인지하기 전에도 유출 정황을 파악하고 있었던 것은 아닌지, 그런데도 법이 정한 형식적 기준에 맞춰 통지 의무를 뒤늦게 이행했던 것은 아닌지 확인해야 한다”며 “3370만개 계정에 대한 비정상적 접근이 확인된 상황에서 ‘유출’ 표현을 회피하는 판단은 누구에 의해 어떠한 기준과 책임하에 결정됐는지에 대한 설명이 요구된다”고 밝혔다.

보고서는 경찰 수사가 진행 중인 상황에서 쿠팡이 자체적으로 전직 직원을 유출자로 특정하고 접촉해 그의 노트북을 포렌식한 자체 조사와 관련해서도 의문을 제기했다. “포렌식이 진술을 전제로 범위를 한정해 이뤄진 것은 아닌지, 정부 및 수사기관 조사 결과가 나오기 전에 이를 대외적으로 공지한 필요성과 정당성은 무엇이었는지, 정부·수사기관이 쿠팡이 자체 포렌식한 원본 자료를 같은 상태로 확보하고 있는지를 확인해야 한다”는 것이다.

쿠팡이 피해 고객에게 1인당 5만원 상당의 구매이용권을 지급한 일방적인 배상 방식과 관련해서도 “손해배상의 원칙적인 방식은 ‘금전’을 통한 배상”이라며 “금전이 아닌 수단에 의한 배상도 가능하나 피해자의 자유로운 의사에 기초한 선택을 전제로 한다”고 지적했다.

그러면서 “배상 방식의 적절성에 대한 검토와 함께 구매이용권 지급 방식을 원치 않는 피해자, 혹은 탈퇴한 피해자에 대한 별도 배상 가능성이나 그 계획을 점검해볼 필요가 있다”고 덧붙였다.

보고서는 이번 사태와 관련해 미국 자본시장에서 쿠팡 기업 가치에 미치는 영향이 제한적일 것으로 전망한 JP모건 분석에 주목했다. JP모건은 그 이유로 한국 소비자들이 개인정보 유출 사고에 상대적으로 익숙하다는 점 등을 들었다.

그러나 보고서는 “이러한 시각이 굳어질 경우 대규모 유출과 규제 틈새를 이용하는 행위가 사실상 용인되는 구조로 이어질 우려가 있다”며 “이를 방지하기 위한 대응이 필요하다”고 강조했다.