與 "쿠팡 개인정보 유출 규모 美에 축소 공시 바로 잡기로"

"3300만여건인데 3000여건으로 공시"
"공정위, 전자상거래법상 영업정지는 아냐"

더불어민주당은 19일 쿠팡이 개인정보 유출 규모를 미국 증권거래위원회(SEC)에 만배가량 적게 공시했다며 이 부분을 바로 잡기로 했다.

민주당 을지키는민생실천위원회(을지로위원회)는 이날 국회에서 쿠팡 바로잡기 태스크포스(TF) 간담회를 열고 개인정보 유출 사건과 관련해 과학기술정보통신부와 공정거래위원회, 개인정보보호위원회 등 정부 합동조사단의 보고를 받았다.

김남근 의원은 간담회를 마친 뒤 기자들과 만나 "개인정보 유출 사태 규모가 3300만건인데 이에 대해선 쿠팡 코리아가 어느 정도 인정하고 있다고 했다. 다만 미국 쿠팡 본사는 3000여건만 유출됐다고 해서 이 부분을 바로잡기로 했다"고 전했다.

이와 관련해 이훈기 의원은 "미국 SEC에는 정보 유출이 3000건으로 공시돼 있다. 만배가량 차이가 나는 것"이라며 "미국에서 공시 내용만 보고 한국이 쿠팡에 대해 가혹하게 한다고 우려하는 것 같다. 이 부분이 정확히 반영될 수 있게 하는 게 중요한 것 같다"고 했다.

다만 정부나 의회 차원에서 미국에 직접 내용을 전달하기보다는 해롤드 로저스 쿠팡 한국 대표가 미국 하원에 참석할 때 정확한 내용이 전달되도록 한다는 방침이다.

또한 당정은 쿠팡 회원이 아니더라도 배송지 주소가 유출된 사례 등에 대해서도 정보 유출 피해가 예상된다고 통지하기로 했다.

쿠팡은 개인정보 유출 사건과 관련해 2월 중에 재발 방지 이행계획을 제출할 것으로 보인다. 김 의원은 "비정상 발급된 전자 출입증 토큰에 대해 사전에 차단하는 체계를 도입하거나 모의 해킹에서 발견된 취약점에 대해선 그때그때 근본적인 개선 방안을 마련토록 했다"고 했다.

아울러 쿠팡의 조사 방해 행위나 조사 결과 축소 행위와 관련해선 경찰 수사에 넘길 계획이다.

쿠팡 제재와 관련해선 개보위에서는 과징금을, 공정위에서는 시정조치 등을 검토 중이라고 전했다. 다만 쿠팡 영업정지와 관련해선 아직 제3자에게 도용된 사례가 확인되지 않아 전자상거래법상 영업정지 대상이 아니라고 밝혔다. 이와 관련해 이 의원은 "과거 SKT는 정보 유출만 된 상황에서 스스로 50일 영업 정지했다"고 부연했다.

TF총괄분과위원장인 민 의원은 이날 모두발언에서 "(쿠팡 개인정보 유출) 공격자는 인증 취약점을 악용해 정상 로그인 없이 계정에 접속했다"며 "인증 시스템 개발자가 퇴사한 이후에도 서명키를 갱신하지 않았고 사고 인지 후 24시간이 지나 신고했으며 자료 보존 명령 이후 접속 기록을 삭제한 정황까지 확인됐다"고 꼬집었다. 그러면서 "이 정도면 보안 관리체계 전반의 문제일 뿐만 아니라 의도적으로 사태를 숨긴 범죄 행각"이라고 했다.

지혜진 기자 heyjin@asiae.co.kr