[쿠팡 청문회] 매출 대비 정보투자비중 0.15%인 쿠팡…배경훈 “5%는 넘어야 실질 성과 나”

3370만여개 계정의 개인정보를 유출한 쿠팡에 대해 국회 과학기술정보방송통신위원회가 12월 17일 오전 청문회를 열었습니다. 바이라인네트워크는 이번 사건의 중요성을 감안해 청문회의 주요 내용을 실시간으로 업데이트하는 라이브 블로깅을 진행합니다 [편집자주]

(21시 55분) 쿠팡의 정보보호 투자액에 대해 배경훈 과학기술정보통신부 장관은 “일반적으로 매출 대비 정보보호 투자를 5% 이상으로 해야 실질적인 성과가 나는데, (쿠팡은) 투자가 적은 것으로 보인다”고 분석했다.

쿠팡의 지난해 정보보호 투자금은 약 889억원으로, 국내 소매 사업자 중에서는 1위다. 이같은 돈을 투자해도 개인정보 유출 사태가 왜 벌어지느냐는 더불어민주당 이주희 의원의 질의에 대해 배 장관은 “기술이 빨리 발전하고 있고 투자가 더 필요한 부분도 있다”고 답했다.

쿠팡의 정보기술부문 투자 대비 정보보호 투자 비중이 국내 평균, 그리고 글로벌 기업 평균보다 낮다고 이 의원은 지적했다. 그는 “쿠팡은 정보기술부문 투자 대비 정보보호 투자 비중이 계속 낮아져 (지난해) 4.6%로 낮아졌다”며 “773개 정보보호 투자 공시기업 평균인 6.28%보다도 낮은 수치고, 북미 등 글로벌 기업은 10~11% 수준으로 아는데 쿠팡은 이 기업들에 비해서도 절반 가량으로 낮아보인다”고 말했다.

특히 매출 대비 정보보호 투자 비율이 중요해 보인다는 이 의원의 질의에 배 장관은 “매출이 늘어난다는 건 인력이 늘어난다는 것과 같고, 관리할 범위가 넓어지기 때문에 정보보호 투자도 늘어나야 한다고 생각한다”고 답했다. 쿠팡의 지난해 매출 대비 정보보호 투자 비율은 0.15~0.2%에 불과하다. 


노종면 “쿠팡 개인정보 유출, 90%가 불안하다 응답”

 

(21시 40분) 쿠팡의 개인정보 유출 사태에 대해 초동 조치 및 대응 방식에 만족하지 않는 이들이 94.8%에 달한다는 조사 결과가 나왔다. 

노종면 더불어민주당 의원실이 윈지코리아컨설팅을 통해 전국 만 18세 이상 남녀 848명을 대상으로 여론 조사를 진행한 결과, 쿠팡 개인정보 유출 사태에 대해 인지한다고 답한 이들은 96.5%, 불안하다는 답변은 90%에 달했다. 쿠팡이 초기 ‘노출’ 표현을 쓴 데에 대해 적절하다고 본 이들은 16%에 불과했으며, 초동 조치 및 대응 방식에 대한 인식 또한 충분하다는 의견은 5.2%에 불과했다. 

해롤드 로저스 대표 선임 조치 적절성 또한 적절하지 않다는 답이 86.8%에 이르렀다고 노 의원은 지적했다. 그는 “국민들이 책임 회피 측면에서 매우 적절하지 않다는 판단을 하고 있다”고 말했다.

또 쿠팡이 결제 정보 등 민감 정보가 유출되지 않았다고 하는 데에 대해서도 개인정보가 2차 범죄에 사용될 것이라고 답한 이들이 91.6%였다고 지적했다. 

이번 여론조사에서 쿠팡 회원이 전체 대비 15.6% 탈퇴했으며, 와우회원 중 11.6%, 월 1회 이상 이용자 중 12.5%가 탈퇴한 것으로 조사됐다. 전체 이용을 줄일 거라 답한 이들은 63.6%, 이용 안함은 25.6%다. 

노 의원은 “이용 유지 또는 늘림에서 가장 많은 답인 ‘쿠팡 외 사용할 플랫폼이 없어서’는 점차 줄어들 것”이라며 “쿠팡 대체할 대한민국 국적 쇼핑몰이 계속 성장하고 있으며, 오프라인과 골목 상권에 대한 국민의 공감 능력도 커지고 있다”고 말했다. 이어 “쿠팡의 오만이 이에 비롯되는 것은 착각”이라고 했다. 

단체소송 참여 의향 또한 ‘참여의사 있음’에 72.4%가 답했다. 노 의원은 “이전 사례와는 전혀 다른 양상으로 진행될 것임을 강력하게 시사한다”며 “쿠팡을 대체할 온라인 쇼핑몰 검색량, 게시물 양이 늘고 있고 단체소송 안내를 원하는 검색도 급증하고 있다”고 쿠팡 측에 경고했다. 

그는 “국민 정서에 빗대면 조 이상이 나와야 사태가 진정될 것”이라며 “이 점을 쿠팡이 유념해 사태가 확산되지 않도록 국민 정서를 이해하고 합당한 배상책 마련해야 한다”고 했다. 

한편, 노 의원실에서 의뢰한 이번 조사의 표본오차는 ±3.37%포인트(95% 신뢰수준)다. 


“최민희 “쿠팡, 김범석 나오지 않으면 아무것도 할 수 없는 조직”

 

(21시 05분) 최민희 과방위원장은 쿠팡이 “김범석이 나오지 않으면 아무것도 할 수 없는 조직”이라고 지적했다.

청문회 11시간이 지난 시각에서도 해롤드 로저스 쿠팡 대표는 이번 개인정보 유출 사태에 대한 책임을 김범석 쿠팡Inc. 의장이 아닌, 자신이 진다는 입장을 고수했다. 최 위원장이 로저스 대표에게 김범석의 사과가 필요하겠느냐고 묻자, 그는 “쿠팡 대표는 저이기 때문에 사과해야 한다고 생각한다”고 말했다. 

최 위원장은 해롤드 로저스 대표와 강한승 전 쿠팡 대표의 계약서를 들며, ‘임원은 (모회사) 최고경영자에게 보고한다’는 조항이 동일하다고 말했다.

이날 최 위원장은 김 의장이 쿠팡Inc.의 의결권 74.3%를 차지한다고도 짚었다. 그는 “(김범석) 증인이 1주당 의결권 29표가 있는 구조의 클래스B 주식을 보유하고 있다”며, “김범석 보유 주식은 8.8%이나 의결권 74.3%를 차지한다”고 강조하기도 했다.

최 위원장은 “김범석 증인은 국회를 소모적으로 운영, 진을 뺴게 하기 위해 박대준 전 대표를 자르고, 한국말을 모른다는 외국인 대표를 내세워서 국회를 우롱하고 있을 뿐만 아니라 대한민국 국민을 우롱하고 있다”고 힘줘 말했다. 

그는 이번 개인정보 유출 사태의 과징금 집행 정지도 우려했다. 최 위원장은 이에 앞서 쿠팡의 주요 계열사 5곳의 대표와 주요 임원 7명이 전부 김앤장 출신 혹은 판검사 출신임을 지적하며 “정부에서 백날 과징금 때려봐야 이긴다는 자신감 때문에 저러는 것이라는 판단이 든다”고 말하기도 했다. 

출처=국회방송

“과징금으로 기금 마련해 피해자 구제해야”


(21시 00분)
과징금을 재원으로 한 기금을 마련해 개인정보 유출 사고 피해자의 피해 회복과 구제를 도모하자는 주장이 제기됐다.

김도승 개인정보보호법학회장은 김현 더불어민주당 의원의 현재 법 체제 하 개인정보 유출 피해자가 소외된다는 지적이 있다는 질의에 “신속한 구제를 어떻게 할 것인가에 대해 과징금을 활용하는 구제책 마련해야 한다고 본다”고 답했다.

김 학회장은 “가장 중요한 건 피해 회복과 2차 피해 예방이라 생각한다”며 “우리나라의 손해배상 제도는 개인정보보호법 뿐만 아니라 모든 법에서 한계가 있다”고 짚었다.

이어 “미국에서는 징벌적 손해배상에서 막대한 손해배상이 가능하지만, 학자 입장에서 우리나라에서 운영되기 어렵다는 게 학계 중론”이라고 답했다. 현재도 한국에 징벌적 손해배상이 있지만, 미국은 소송에 참여하지 않더라도 모두가 보상받는 집단소송제가 있기 때문에 가능하다는 설명이다.

김 학회장은  “막대한 과징금 부과에도 불과하고 직접적 구제와 연결되지 않는 현실을 개선하고 과징금 재원으로 하는 기금을 통해 국민의 신속한 구제와 개별 기업에 필요하면 구상권 청구 형태로 압력을 줄 수 있다고 본다”며, “우리는 징벌적 손해배상이 있지만 집단소송제가 없어 위력이 없기 때문에 과징금을 통해 신속하게 처리, 구제하자는 주의다”고 말했다. 


“쿠팡에서 유출된 개인정보, 물리적 위협까지 초래할 수 있어”


(20시 51분) 김도승 개인정보보호법학회장이 연구자 입장에서 미국 법령상 문제가 없다는 로저스 대표 말에 “동의하지 않는다”며, 결제 정보 외 한국 환경상 쿠팡에서 유출된 정보가 물리적 위협까지 초래할 수 있다고 지적했다. 

김 학회장은 최형두 국민의힘 의원이 “SEC 공시 내 허가되지 않은 접근이라 표현한 게 온당한가”는 질문에 이같이 답했다. 

김 학회장은 “쿠팡 대표가 표현한 미국 법령상 적법하고 문제 없는 유출이라고 판단한 부분에 대해 연구한 사람 입장에서 동의하기 어렵다”고 지적했다. 또 “미국은 우리와 같은 독립적인 개인정보 규범이 따로 있지는 않고 주마다도 조금씩 다르다”며, 계좌 등 우리입장에서 민감정보 등을 강조해 제재하는 부분이 있어, 우리와 다른 이질적인 규정을 두고 (책임을) 피해가는 발언”이라고 설명했다.

또 한국과 같은 환경에서는 결제 정보보다 실제 유출된 주소와 주문 정보 등의 유출이 더 위험할 수 있다고 짚었다.

김 학회장은 “(쿠팡) 대표 발언 중 상당히 stolen이라는 표현을 써서 피해자처럼 말하고, 결제정보가 유출되지 않았다는 점을 강조하고 있다”며 “우리나라와 같은 금융 환경에서는 금융정보는 안전할 수 있지만, 주소과 주문 정보 등 쿠팡의 유출 정보는 물리적 위협을 초래할 수 있다는 점에서 결제 정보가 유출되지 않아 중대하지 않다는 (쿠팡 측의) 의견에 동의하기 어렵다”고 지적했다.   


로저스 쿠팡 대표 “글로벌 보안 업체 조사에서 결제 정보 유출 없는 것 확인해”


(20시 20분) 
해롤드 로저스 쿠팡 대표는 회사가 고용한 글로벌 보안 업체를 통해 결제 정보가 유출되지 않았다는 사실을 확인했다고 강조했다.

이날 이해민 조국혁신당 의원은 여러 결제 정보 유출 의심 사례와 보도를 제시하며, “결제정보 유출 안됐다고 100% 확신하는가”라고 쿠팡 경영진 측에 질의했다.

이에 로저스 대표는 “저희는 글로벌 사이버 보안 업체 2곳을 고용해 들여다 보는 조사를 진행했고, 그 결과 결제 로그인 정보가 유출되지 않았음을 확인했다”고 답했다. 

매티스 CISO 또한 현재까지의 모든 증거는 전 직원이 웹크롤링 방식으로 데이터에 접근한 것으로 파악돼, 마스킹된 카드 정보와 비밀번호 등을 조회할 수 없다고 말했다. 이 의원은 이날 “정보 유출 방식에는 DB 직접 접속 혹은 API에 접속해 빼낼 수 있고 웹크롤링도 가능한데, 쿠팡이 웹 크롤링 방식으로 빼간 걸 100% 확신하느냐”고 물었다.

또 이 의원은 배경훈 장관에게 ISMP 인증 관련해 “보안 문제 발생했을 때 클라우드 문제인지, 아니면 클라우드 사용 기업의 문제인지 가이드라인을 만들 수 있는 보안 인증 관련 조항을 마련해달라”고 요청하기도 했다. 



배경훈 과기부총리 “연말까지 KT 마무리 후 쿠팡 개인정보 유출 조사 집중”


(20시 15분)
과학기술정보통신부가 연말까지 KT 개인정보 유출 사고 조사를 마무리하고 쿠팡 조사에 집중한다는 목표를 내세웠다.

배경훈 부총리 겸 과학기술정보통신부 장관은 민간합동조사 마무리 시기를 묻는 최수진 국민의힘 의원의 질의에 “KT 조사를 연내 빨리 마무리 짓고 그 인력을 투입해 발표하겠다”고 했다. 현재 KT 조사로 인해 쿠팡에 인력이 많이 투입되지 않은 상황이다.

배 부총리는 “로그데이터를 분석하고 있으며 조사하고 있는 분량이 500테라바이트로, 추측건대 1페타바이트가 넘을 것이라고 보고 있다”며, “방대한 데이터 분석을 빨리 진행할 것이고, 모의해킹 결과 등에 대해서도 받아보고 추가조사한다는 계획이다.

또 전자금융사기 등 2차 피해 사례에 대해 배 부총리는 “아직 확인된 바 없다”고 말했다.



“쿠팡, 한국 자존심 건드렸다…김범석-박대준, 고발 조치”


(18시 20분)
이상휘 의원은 쿠팡 김범석 의장이 청문회에 출석하지 않은 것에 대해 “오만한 태도”라며 강도 높게 비판했다.

이 의원은 “쿠팡이 (이번 사태로) 한국의 자존심을 건드리고 있다”며 “위기를 대하는 태도를 근본적으로 바꿔야 한다”고 지적했다. 이어 “이번 청문회를 통해 김범석 의장의 진정성을 확인하고자 했으나, 해결하려는 의지가 전혀 보이지 않는다. 쿠팡과 한국의 절연까지도 생각해야 한다”고 지적했다.

한편, 최민희 위원장은 “정당하지 않은 이유로 출석하지 않은 김범석 의장, 박대준 전 대표를 결코 이해할 수 없다“며, 청문회 불출석 증인들에 대한 고발 조치를 의결했다.



황정아 “데이터 삭제, 유출 은폐 아니냐”…판매자협회장 “쿠팡, 제2의 티몬 될 수도” 경고


(18시 04분)
황정아 의원은 “쿠팡이 지난 7월 중순부터 15개월 이상 된 데이터를 모두 삭제했다”며 “이미 내부적으로 유출 피해를 감지하고 증거 인멸이나 리스크 회피를 위해 데이터를 지운 것 아니냐”고 강하게 의혹을 제기했다. 이에 쿠팡 대표는 “데이터 삭제는 유출 은폐가 아니며, 내부 데이터 프로세스 강화를 위한 업데이트의 일환이었다”고 해명했다.

이어 참고인으로 출석한 김홍민 한국통신판매사업자협회장은 쿠팡의 불공정 관행을 비판하며 ‘제2의 티메프(티몬·위메프) 사태’ 가능성을 언급했다.

김 협회장은 “네이버는 8일 만에 정산해주는데 쿠팡은 70~90일이 걸린다”며 “판매자들이 자금난에 시달려 ‘선정산’ 서비스를 이용하면 업계 최고 수준인 18.9%의 고금리를 물어야 한다”고 토로했다. 이어 “쿠팡이 무너지면 40만명 판매자의 대금이 공중분해 될 수 있다”며 우려를 표했다.

또한 김 협회장은 ‘로켓직구’의 불공정함도 지적했다. 그는 “쿠팡 해외 법인은 통신판매업 신고도 없이 영업 중”이라며 “해외 직구가 3일 만에 오는 것은 미리 물류를 확보했다는 뜻으로, 일반 판매자와의 공정한 경쟁을 저해한다”고 비판했다. 끝으로 그는 “독과점 플랫폼의 횡포를 막고 정산 기일을 단축하기 위해 22대 국회에서 ‘온라인 플랫폼법’을 반드시 통과시켜 달라”고 호소했다.

출처=국회방송


김승주 교수 “조사 안 끝났다, 쿠팡 주문 자제해야”… CISO “보안 우수” 자평에 일침


(17시 53분)
보안 전문가인 김승주 교수는 국민들을 향해 “쿠팡 주문을 자제하라”며 우려를 표했다.

김 교수는 이날 마무리 발언에서 “아직 해킹 사태의 결론이 나지 않았다”며 “개인정보 노출을 최소화하기 위해 당분간 주문을 자제하는 편이 좋다. 3개 살 것이 있으면 1개만 사는 등 스스로 안전 조치를 취해달라”고 당부했다.

앞서 브랫 매티스 CISO가 쿠팡의 보안 우수성을 강변한 데 대한 정면 반박도 이어졌다. 매티스 CISO는 “내부자 위협에 대비해 ‘테이블 탑 엑서사이즈(Table Top Exercise·모의 훈련)’를 활용하고 있으며, 지난 3월 외부 기관(엑센추어 추정) 보고서에서도 쿠팡을 ‘책임감 높은 회사’로 평가했다”고 주장했다.

이에 대해 김 교수는 “내부자 통제 시스템을 구비했다는 외부 평가에도 불구하고 사고가 발생했다면, 이는 조직이 제대로 작동하지 않고 있다는 반증”이라며 “전면적인 조사와 검토가 필요하다”고 일침을 가했다. 최민희 위원장 또한 “내부자 해킹을 막는 장치를 조속히 마련하라”고 거듭 촉구했다.

출처=국회방송


송경희 개보위원장 “특별법 제정하면, 별도로 징벌적 과징금 소급 적용 가능”


(17시 43분)
송경희 개인정보위 위원장이 앞서 밝힌 ‘소급 적용 불가’ 입장에서 한발 나아가, 입법 여하에 따른 제재 강화 가능성을 열어뒀다.

송 위원장은 추가 질의응답에서 “현행법상 이번 사건에 대한 직접적인 소급 적용은 어려우나, 국회에서 특별법을 제정하거나 관련 입법이 이뤄질 경우에는 가능하다”고 밝혔다. 이어 “여러 사건을 연계해 포괄적으로 살펴볼 수 있다면 그 방식(소급 적용)도 가능해 보인다”고 덧붙여 여지를 남겼다.

아울러 현재 국회에서 논의 중인 ‘징벌적 과징금 상향(매출액의 10%)’ 법안에 대해서도 “그러한 강력한 법을 만들어야 한다고 본다”고 말했다.



김장겸 “중국 채용 공고 의심, 싱가포르 백업 안전한가”…전문가 “개발·운영 미분리로 접근 가능성 여전”

 

(17시 15분) 김장겸 국민의힘 의원이 쿠팡의 중국 내 개발자 채용과 싱가포르 백업 데이터의 보안 취약성을 집중적으로 파고들었다.

김 의원은 “중국 사이트에 올라온 쿠팡 채용 공고를 보면 용의자가 단순 개발자가 아닌 소프트웨어 엔지니어 수준으로 보인다”며 “이미 2021년 국감 때도 중국 유출 우려가 제기됐는데, 외국인 채용 현황조차 밝히지 않는 것은 의심스럽다”고 지적했다. 특히 “싱가포르에 백업 데이터가 있다고 했는데, 내부자 관리가 부실하다면 훨씬 많은 정보가 나갔을 가능성도 있다”며 우려를 표했다.

이에 해롤드 로저스 대표는 “미국 법률상 비차별 원칙에 따라 전 세계에서 인재를 채용하고 있다”며 원론적인 답변을 내놨다. 브랫 매티스 CISO 또한 “중국인 개발자가 핵심 데이터베이스(DB) 접근 권한은 가지고 있지 않으며, 데이터는 모두 토큰화·암호화돼 있어 직접 접근할 방법은 없다”고 설명했다.

하지만 김승주 교수는 쿠팡 측의 주장을 정면으로 반박했다. 김 교수는 “외국인 개발자가 접근할 수 없다고 주장하지만, 앞서 지적했듯 쿠팡은 개발 영역과 운영 영역이 완전히 분리되어 있지 않다”며 “구조적으로 데이터에 접근할 수 있는 가능성은 여전히 존재한다”고 꼬집었다.

출처=국회방송


김승주 교수 “키 반출 방지는 글로벌 표준, 쿠팡이 안 지켜”


(17시 08분)
보안 전문가인 김승주 교수는 쿠팡의 인증키 보안 관리가 ‘글로벌 스탠다드(국제 표준)’에 미치지 못했다고 지적했다.

박정훈 의원이 “이번 사태가 보안 관리로 막을 수 없는 불가항력적인 사고였느냐”고 묻자, 김 교수는 “개발자라 할지라도 (마스터)키를 들고 나가지 못하게 통제하는 것이 글로벌 스탠다드”라고 단언했다. 이어 “쿠팡이 이를 지키지 않은 것으로 보인다”며 “이번 기회에 내부자 보안 문제를 심각하게 인식하고 글로벌 수준으로 업그레이드해야 한다”고 강조했다.

정부의 부실 인증에 대한 시인도 나왔다. 김 교수가 “정부가 ISMS-P(정보보호 및 개인정보 보호 관리체계) 인증 과정에서 이 부분을 검사했어야 했다”고 지적하자, 배경훈 과기정통부 장관은 “기존에 항목이 추가되었음에도 불구하고 (심사 과정에서) 놓친 부분이 있었던 것 같다”며 정부의 관리 감독 부실을 일부 인정했다.



한민수 “내 정보 털렸나 직접 확인하게 해야”…쿠팡에 ‘유출 조회 서비스’ 마련 촉구


(16시 48분)
 한민수 더불어민주당 의원이 쿠팡의 개인정보 유출에 대해 이용자가 확인할 수 있는 서비스를 마련하라고 제안했다.

한 의원은 아이디와 비밀번호를 입력하면 개인정보 불법 유출되는지 파악할 수 있는 ‘털린 내 정보 찾기’ 서비스의 12월 1~7일까지의 이용자 수가 8만132명으로 평소에 비해 4배 가량 늘어났다고 짚었다. 그러나 해당 서비스에서 유출 정보는 감지되지 않는 상황이다.

이 같이 늘어난 이용자 수에 대해 이상중 한국인터넷진흥원장은 “쿠팡 개인정보 유출 이후 국민들의 불안감 때문”이라고 말했다.

“이 같은 상황에서 쿠팡이 한국 국민에게 어떤 안내를 했냐”는 한 의원의 질의에 로지스 대표는 “여러 차례 안내와 사과 공지를 진행했다”며, “쿠팡 고객과 함께 제 데이터도 유출대상에 포함됐고 저 또한 심각한 사안이라는 점에 공감한다”고 말했다.

한 의원은 쿠팡이 자체적으로 이용자가 개인정보 유출을 확인할 수 있는 서비스를 만들라 촉구했다. 그는 “롯데카드와 KT는 유출 확인이 가능하도록 했다”며, “유출 규모가 크고 확인이 늦었으며 2차 피해도 우려되는 상황에서 쿠팡이 국민들이 개인정보 유출을 확인할 수 있는 서비스를 마련하고 있지 않다”고 지적했다. 최민희 과방위원장 또한 쿠팡이 해당 서비스를 만들라 촉구했다.

배경훈 과기정통부 장관은 “1차 문자 안내는 쿠팡에 요청했고, 지금 (서비스)도 행정지도로 마련하겠다”고 말했다.



이준석 “인증 코드 짠 전 직원에 DB 접근 권한 줬나” 추궁

 

(16시 35분) 이준석 개혁신당 의원이 인증에 대한 소스코드를 작성하는 업무를 맡았던 전 직원의 DB 접근 권한에 대해 집중 질의했다.

이 의원은 “소스코드는 사내 인증시스템 설계 후 바뀌지 않기 때문에, 이 직원의 업무 범위는 인증 시스템을 넘어선 것에도 있었던 것인가”고 질문했다. DB에 대한 접근 권한 없이 인증만 개발하는 건 어렵지 않냐 덧붙였다.

이에 매티스 CISO는 “(전 직원의 업무는) 멤버 인증 개발 담당이었던 것으로 안다”며 “(전 직원이) 인증 모듈에 대해 접근 권한이 있었고 탈취한 키에 대해서는 쿠팡이 마이크로서비스 아키텍처를 사용하는데, 이 경우 DB 접근 없이도 인증 개발이 가능하다”고 답했다. 또 “크리덴셜을 가지고 API에 접근한다 해 DB 접근 권한을 동일하게 가진 건 아니다”고 했다. 

다만 참고인인 김승주 교수는 “지금까지의 청문회를 볼 때 쿠팡 내 업무 중 개발과 운영이 분리되지 않은 것으로 보인다”며 “개발자가 운영 DB에 접근할 가능성은 존재해보이고 체크할 필요가 있다.”고 말했다. 

배경훈 과기정통부 장관은 “(데이터가) 500테라바이트(TB)에 달해 검증에 어려움이 있다”면서도 “데이터 접근 권한 방식에 대해 철저히 조사하겠다”고 답했다.



최민희 ”해킹 원인과 허술한 지점 명확히 밝혀야”…김승주 교수 ”명백한 관리 실패, 모의해킹 보고서 입수해야”

 

(16시 05분) 최민희 과방위원장이 쿠팡의 허술한 관리자 키(Master Key) 관리 실태와 내부 통제 부실을 집중 추궁했다.

최 위원장은 전 직원이 인증키(마스터키)를 가지고 나가 토큰을 생성해 정보를 탈취했다며 구체적인 경위와 대응을 물었다. 이에 브랫 메티스 CISO는 해당 직원이 본인에게 부여된 권한을 남용해 재직 중 키를 복사했고, 퇴사 후 이를 악용한 것이라며 해당 서명키는 지난 11월 19일 새벽 1시경 폐기했다고 답했다.

이에 대해 자문으로 나선 김승주 교수는 일개 개발자가 마스터키를 복사할 수 있었다는 것 자체가 문제라고 꼬집었다. 김 교수는 개발자라 하더라도 시스템상 키 복사가 불가능하도록 설계됐어야 하며, 마스터키는 탈취되지 않도록 별도 보관됐어야 한다보안 점검 시 이 부분이 확인조차 안 된 것으로 보인다고 분석했다.

또한 모의해킹 보고서 확인 여부도 쟁점으로 떠올랐다. 최 위원장이 취약점을 해소하기 위해 쿠팡 내부의 모의해킹 보고서를 꼼꼼히 들여다봐야 한다고 지적하자, 배경훈 과기정통부 장관은 쿠팡이 자체적으로 모의해킹을 한 것으로 안다아직 전달받지 못했으나 자료를 입수해 조사를 진행하겠다고 밝혔다.



김현 “김범석 거론하자 쿠팡이 접촉 시도”…대관팀 로비 정황 추궁

(15시 56분) 김현 더불어민주당 의원이 민병기 쿠팡 대외협력 총괄 부사장을 상대로 사과문의 용어 선택과 의원실 접촉 시도를 강도 높게 비판했다.

김 의원은 쿠팡이 이번 사태와 관련한 언론 브리핑과 대국민 사과문에서 ‘개인정보 유출’이라는 명확한 표현 대신 ‘노출’이라는 용어를 사용한 점을 지적하며 축소 의도가 있는 것 아니냐고 따져 물었다.

특히 김 의원은 쿠팡 대관 조직의 움직임을 폭로하며 ‘로비 의혹’을 제기했다. 김 의원은 “내가 김범석 의장의 이름을 거론하자 쿠팡 측에서 즉각 만나자고 연락해 왔다”며 “왜 연락했느냐”고 강하게 추궁했다. 김 의원은 이를 두고 김 의장의 증인 채택이나 책임론 확산을 막기 위한 로비 정황이라고 지적했다.



최형두 “쿠팡 보안, 구멍가게보다 못해”…쿠팡 대표 “미국 기준으론 과징금 대상 아냐” 재확인

(15시 40분) 최형두 국민의힘 의원은 해롤드 로저스 대표의 과거 이력과 쿠팡의 허술한 보안 관리를 집중 추궁했다.

최 의원은 로저스 대표가 과거 ‘밀리콤’ 근무 당시 연루된 과테말라 뇌물 수수 사건을 언급하며 도덕성을 문제 삼았다. 이에 로저스 대표는 “미국 법무부가 밀리콤은 아무런 잘못이 없다고 결론 내렸다”고 반박했으나, 최 의원은 “위증 가능성을 염두에 두고 추후 판단하겠다”고 경고했다.

이어 로저스 대표는 앞선 발언에 이어 “이러한 유형의 유출 사고는 미국 기준으로는 과징금 부과 대상이 되지 않는다”는 입장을 재확인했다.

이에 최 의원은 “미국 법무부 규칙상 안보 우려국(중국 등)으로의 데이터 유출은 엄격히 금지된다”며 “중국인 개발자가 정보를 유출했는데, 이는 미국 규정에도 저촉되는 것 아니냐”고 따져 물었다. 로저스 대표는 “정보가 중국을 포함해 어디서든 유통되고 있다는 사실을 아직 확인한 바 없다”고 답했다.

최 의원은 “이미 여러 사례를 통해 중국에서 정보가 유통되고 있음이 지적됐다”며 “퇴사자가 중국에 가서도 내부 정보를 긁어갈 수 있는 쿠팡의 보안 관리는 한국의 구멍가게보다도 못한 수준”이라고 질타했다. 이어 유럽의 개인정보보호법(GDPR)과 틱톡의 거액 과징금 사례를 들며 쿠팡의 책임을 강조했다.

출처=국회방송


쿠팡 대표 “미국법 따르면, 위반 아냐”…한국 청문회서 ‘미국 기준’ 들어

 

(15시 25분) 해롤드 로저스 쿠팡 대표가 국회 청문회장에서 ‘미국법’을 거론하며 책임 회피성 발언을 해 파장이 예상된다. 로저스 대표는 개인정보 유출의 위법성을 묻는 질의에 “미국법에 따르면, 데이터 민감도(Sensitivity)에 따라 (이번 사안은) 법령 위반은 아니다”라고 답변했다.

이는 이번에 유출된 정보가 주소나 연락처 등일 뿐, 신용카드 정보나 비밀번호 같은 ‘핵심 민감 정보’는 아니기 때문에 미국 법적 기준으로는 처벌 대상이 아니라는 취지로 해석된다. 한국 국민 3370만 명의 정보가 털린 사고를 두고 한국 법이 아닌 미국 법 기준을 언급하며 사태의 심각성을 축소하려 한다는 비판을 피하기 어려울 것으로 보인다.



조인철 “쿠팡은 혁신 가장한 ‘약탈적·반사회적’ 기업”…쿠팡 대표 “금리 낮은 편, 동의 못 해”


(15시 15분) 조인철 의원이 쿠팡을 향해 “혁신 기업을 가장해 이익은 해외로 빼돌리고 비용과 위험은 사회화하는 ‘반사회적 기업’”이라며 질타를 퍼부었다.

조 의원은 쿠팡의 지배구조를 두고 “전형적인 재벌 기업 행태”라고 꼬집으며, 잇따른 근로자 사망 사고와 입점업체 대상 ‘갑질’ 논란 등을 열거했다. 특히 쿠팡 파이낸스의 판매자 대상 대출 상품을 지목하며 “대출 금리가 다른 기업 대비 2~3배나 높은, 거의 ‘약탈’ 수준”이라고 강하게 비판했다. 이어 “사고에 대한 책임은 회피하고 대한민국 정부와 협조하지 않으려 한다”고 질타했다.

이에 대해 해롤드 로저스 대표는 “송구하지만 의원님의 말씀은 저희 생각과 조금 다르다”며 반박했다. 이어 그는 “쿠팡의 대출 제도는 비슷한 타 서비스와 비교했을 때 금리가 낮은 편에 속하며, 수수료 체계도 다르다”고 말했다.

출처=국회방송


박정훈 “쿠팡은 파렴치한 기업, 김범석 대신 ‘총알받이’ 내세워”…과기정통부 “영업정지 검토”

 

(15시 08분) 박정훈 국민의힘 의원이 쿠팡을 향해 “파렴치한 기업”이라며 맹비난을 쏟아냈다.

박 의원은 “쿠팡이 국민의 자존심을 짓밟고 갑질을 일삼고 있다”고 강도 높게 비판하며, 김범석 의장이 사과 한마디 없이 불참한 것을 두고 “외국인 대표를 ‘총알받이’로 앉혀놓고 청문회를 하고 있다”고 질타했다.

특히, 박 의원은 이번 사태가 국방 등 안보 위협으로 번질 수 있다는 국가정보원의 우려를 언급하며 정부의 미온적 대처를 지적했다. 박 의원은 “국정원이 국방 위협 가능성으로 과기정통부에 협조를 요청했으나 거부당했다는 답변이 있다”며 “국민 불안 해소를 위해 빠르게 논의하라”고 촉구했다. 이어 “감당하기 힘든 수준의 과징금 부과는 물론, ‘영업정지’까지 검토해야 하는 것 아니냐”고 압박했다.

이에 대해 배경훈 과기정통부 장관은 “아직 경찰 조사 중이라 명확한 결론을 내리기 어렵다”면서도 “관련 법안을 토대로 (영업정지 등의) 가능 여부를 파악 중”이라고 답했다. 이어 “공정거래위원회와 함께 현장조사를 실시하는 등 적극적으로 협의하겠다”고 밝혔다.



송경희 개보위원장 “징벌적 과징금 소급적용 없다”…이번 쿠팡 사태엔 ‘매출 10%’ 미적용

 

(14시 58분) 송경희 개인정보위 위원장이 이훈기 의원이 언급한 ‘징벌적 과징금 강화 법안(일명 쿠팡 방지법)’의 적용 여부에 대해 “소급 적용은 고려하지 않고 있다”고 말했다.

앞서 이훈기 의원은 전체 매출액의 10%까지 과징금을 부과할 수 있는 법안이 곧 통과될 것임을 경고했으나, 송 위원장의 발언은 해당 법안이 통과되더라도 이미 발생한 이번 쿠팡 사태에는 소급 적용되지 않음을 확인한 것이다. 이에 따라 이번 사고에 대한 제재는 개정 전 현행법 기준에 따라 산정될 전망이다.

출처=국회방송


이훈기 “쿠팡, 망할 수 있다“…매출 10% 과징금 ‘쿠팡 방지법’ 압박


(14시 52분) 이훈기 더불어민주당 의원이 쿠팡을 향해 망할 생각을 해야 한다며 최고 수위의 비판을 쏟아냈다.

이 의원은 이번 사태의 재발 방지를 위해 발의한 이른바 ‘쿠팡 방지법‘을 언급하며 압박 수위를 높였다. 해당 법안은 개인정보 유출 등 반복적이고 중대한 위법 행위에 대해 징벌적 과징금을 전체 매출액의 10%(쿠팡의 경우, 약 5조원) 까지 부과할 수 있도록 하는 내용을 담고 있다.

이 의원은 “해당 법안이 이미 정무위원회를 통과해 조만간 본회의 통과를 앞두고 있다“며, 법안이 통과되면 쿠팡과 같은 대규모 유출 기업은 천문학적인 과징금으로 존폐 위기에 처할 수 있음을 강력히 경고했다.


이해민 글로벌 테크기업이 2단계 인증도 안 하나…지난 360만원 개인정보위 제재는 ‘솜방망이’


(14시 45분) 이해민 의원이 쿠팡의 허술한 보안 체계와 당국의 미온적인 제재를 비판했다.

이 의원은 글로벌 기업이자 테크 기업을 표방하는 쿠팡이 기본적인 2단계 인증(MFA) 수단조차 제공하지 않는 것은 말이 안 된다이는 명백히 한국의 개인정보보호법을 위반하고 있는 것이라고 지적했다.

특히 제재 수위와 관련해 이런 보안 미비로 개인정보보호위원회로부터 받은 과태료가 고작 360만 원이라는 사실은 납득하기 어렵다고 꼬집었다. 이 의원은 개보위를 향해 쿠팡이 조속히 2단계 인증을 도입하도록 강력하게 조치해야 한다고 촉구했다.



쿠팡 대표 “한국인 정보, 백업 데이터는 싱가포르에 저장“


(14시 32분) 해롤드 로저스 임시 대표는 데이터 저장 위치를 묻는 이해민 조국혁신당 의원의 질의에 “주요 서비스는 AWS(아마존웹서비스)를 사용한다”며 “한국 규정에 따른 개인정보는 AWS 한국 리전(데이터센터)에 저장되지만, 백업 데이터는 싱가포르에 있는 리전에 저장돼 있는 것으로 알고 있다“고 밝혔다.



이해민 매출 90% 한국인데, 김범석 불참은 한국 시장 포기한다는 말


(14시 38분)
이해민 의원은 쿠팡의 ‘글로벌 기업’ 정체성과 김범석 의장의 불출석을 강도 높게 비판했다. 이 의원은 “매출의 90%가 한국에서 나오는데 무엇을 보고 글로벌 기업이라 하는지 모르겠다“며 “김 의장의 불출석은 대한민국 국민을 거부하는 행위“라고 질타했다. 이어 “이럴 거면 한국 마켓(시장)은 포기해도 되는 것 아니냐“며 “쿠팡의 최종 종착지가 무엇이냐“고 따져 물었다.

이에 대해 로저스 대표는 “이번 사태를 계기로 보안 체계를 강화하고, 고객을 위해 개인정보 보호 조치를 더욱 엄중히 하겠다“고 원론적인 입장을 되풀이했다. 또한 “ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 관련 자료 제출 요구에 대해서는 “한국 법인 보안 부서가 획득한 것으로 안다“고 답했다.


쿠팡 대표 “조사 끝나는대로 개인정보 유출 보상안 발표”


(11시 20분)
쿠팡은 규제 기관의 조사가 끝나는대로 보상안을 내놓는다는 방침이다.

해롤드 로저스 대표는 보상안을 묻는 황 의원의 질의에 “저희는 쿠팡 고객분들을 진심으로 중요하게 생각해, 내부적으로 보상안 검토하고 있어 조사가 매일 진행돼 여러 규제 기관 조사에 부응하고 협력해 상황파악하고 있다”며, “조사가 끝난 후 보상안을 내놓겠다”고 말했다.


“김범석은 어디 있느냐”는 질문에… 쿠팡 신임 대표 “내가 한국 쿠팡 법인 대표”

(11시 08분) 김범석의 위치를 묻는 더불어민주당 황정아 의원의 질의에 해롤드 로저스 임시 대표는 “질문을 이해할 수 없다”며, “의장을 비롯해 이사회와 계속 소통하고 있으며, 이 자리에 한국 쿠팡 법인 대표로 왔다”고 했다.

“미국 공시에 김 의장이 한국 사업의 최고의사결정자라고 공시돼 있다”며 “김 의장이 최고의사결정자냐”고 황 의원이 질의하자 해롤드 로저스 임시 대표는 “내가 한국 대표”라며, “(김범석은) 미국 쿠팡Inc.의 의장”이라고 답했다.

이어 황 의원이 “김범석이 사과할 마음이 있는지 궁금하다”고 묻자, 해롤드 로저스 대표는 “그런 대화를 김 의장과 나누지 않았으며 대표인 저와 회사 기업차원에서 국민 여러분께 불편과 심려를 끼친 데에 사과의 말을 전했다”고 말했다.


과방위 “박대준 쿠팡 전 대표 주소지로 사람 보내 소환할 것”


(11시 03분)
과방위는 박 전 대표 주소지로 사람을 보내 이날 증인으로 데려온다는 계획이다.

박충권 국민의힘 의원은 민병기 쿠팡 대외협력 총괄 부사장에게 ‘쿠팡 개인정보 유출 10대 문제점’를 제시하며, “김범석 의장과 박대준 전 대표를 부르기 어려우면 화상으로라도 참석하게 하라”고 했다. 민 부사장은 메시지를 보냈다고 답했다.

최 위원장 또한 “(박 전 대표) 소재지를 파악했냐”며 재차 질의하자, 민 부사장은 “지난 며칠동안 연락을 취하지 못했다”며 “주소지를 가지고 있다”고 말했다. 간사 등과 함께 박 전 대표의 청문화 증인 참석 관련 사안을 논의한다.


“안심번호처럼 안심주소 도입도 필요해”


(10시 42분)
이 의원은 “과학기술정보통신부에 우정사업본부가 있으니 주소 관리에 대해 새로운 방법 나와야 할 필요가 있다”고 했다. 그는 배경훈 과기정통부 장관에게 “안심 번호 시스템과 같이 안심 주소와 같은 정책을 시행해볼 생각 있냐”고 질의하기도 했다. 배 장관은 “시행하지는 않지만 검토할 만한 사안”이라고 답했다. 이 때 이 의원이 말하는 안심 주소란 배송 마지막 단계에서 실제 구체적인 주소가 노출되는 방식을 의미한다.

이 의원은 “안심 번호는 토크너에서 일정한 대체 번호를 유효기간을 두고 발급하니 안심주소도 가능할 것”이라고 주장하며, ““민간에서는 비용이기 떄문에 우정사업본부에서 먼저 하는 것도 중요하다고 본다”고 말했다. 류제명 과학기술정보통신부 제2차관은 “적극 검토하겠다”고 했다.

(10시 52분) 해롤드 로저스 임시 대표는 “쿠팡은 현재 개보위, 인터넷진흥원, 과기부, 방통위, 경찰과 위원회를 포함해 여러 규제 기관과 긴밀하게 협력하며 사안을 해결하려 집중하고 있다”고 말했다. 또 “규제기관에서 가진 우려 등을 다 해결하기 위해 최선을 다하고, 이 과정에게 소비자에게 끼친 우려를 해소하기 위해 최선을 다하겠다”고 했다.

한민수 더불어민주당 의원의 이재명 대통령의 우려를 보았냐는 질의에 해롤드 로저스 임시 대표는 “이재명 대통령께서 말한 건 이해하고 있다”며 “쿠팡은 책임 있는 기업으로 이 상황에 요구되는 내용에 부응해 대처하겠다”고 했다. 또 “이번 사건에서 유출된 정보 경우, 가장 민감하다 하는 결제정보와 로그인 정보는 포함되지 않았다”며 “지난 18개월간 이뤄진 유출 사고와 비교했을 때 적은 것이지만 쿠팡은 이 상황을 심각하게 받아들이고 있다”고 말했다.


쿠팡 CISO “한국 로그인 패스키 도입, 2026년 상반기 될 것”


(10시 40분)
이 의원의 “한국(이메일)과 대만(패스키)의 보안 수준이 다른데 이를 해결하기 위해 어떤 것을 했냐”는 질문에 브랫 매티스 쿠팡 CISO는 “대만에 도입한 패스키를 말하는 것으로 이해한다”며 “여러 국가에서 사업을 운영하는 다국적 기업은 새로운 기능 도입 시 작은 시장에서 도입하고 더 큰 시장으로 옮기는 것이 일반적으로, 한국 시장에서도 패스키를 도입하려 한다”고 말했다.

이어 소스 코드가 다르냐는 질의에 “기능을 배포할 때, 배포와 활성화할 때마다 각기 다른 단계를 거친다”며 “시스템은 개별 운영해도 소스 코드는 같다”고 했다. 또 “예를 들어 대만 배포 경우, 개인정보보호 조건에 대해 한국과 달라 한국 정부의 요건을 따르기 위해 다르게 하는 경우는 있지만 소스코드는 같다”고 말했다.

이 답변에 이 의원은 “쿠팡 한국 영업 시 결제 시 다른 인증 수단 없이 원클릭 결제하게 하거나, 로그인도 이메일과 패스워드로 하는 건 편의가 증가하지만 보안 위협이 된다는 걸 알았을텐데 대만이 작은 시장이니 먼저 적용하고 한국에는 나중에 적용한다는 건 시스템으로 구현되지 않았다는 걸 시인한 것 아니냐”고 했다.

브랫 매티스 CISO는 “쿠팡은 고객 안전과 보안을 강화하기 위해 보안 조치 계속해 도입하고 있다”며 “대만 시장에서도 모든 고객이 패스키를 도입한 게 아니라 여전히 이메일로 로그인하는 고객도 있다”고 말했다. 대만에 패스키를 도입한지 3개월 남짓이고, 한국에서도 2026년 상반기 도입할 예정이라는 설명이다.


쿠팡 신임 대표, 김범석 왜 안 왔냐는 질문에 “내가 한국 쿠팡의 대표다”


(10시 35분)
이준석 개혁신당 의원은 해롤드 로저스 쿠팡 임시 대표에게 김 의장이 출석하지 않은 데에 대한 공식적인 이유에 대해 질의했다. 미국 의회에서 출석을 요구하면 글로벌 기업 CEO도 출석하는 데 오너인 김 의장이 왜 출석하지 않느냐는 질문이다. 이에 대해 해롤드 로저스 대표는 “내가 한국 쿠팡의 대표로 이번 사건을 맡고 있다”고 답했다.

3370만여개 계정의 개인정보를 유출한 쿠팡에 대해 국회 과학기술정보방송통신위원회가 12월 17일 오전 청문회 중 이준석 개혁신당 위원이 해롤드 로저스 쿠팡 대표에게 질의하는 장면 (출처=국회방송)

박대준 대표가 이번 대형사고를 책임졌다면 쿠팡 다른 위치를 맡기 어려운 거 아니냐는 질의에 “박 대표는 큰 책임감을 느끼고 사임한 것으로 알고 있다”고 말했다.


여야 한목소리로 “김 의장 잘못해”


(10시 18분)
과방위 소속 여야 위원들은 모두 이날 출석하지 않은 김 의장을 질타했으나, 야당 의원들은 이날 출석하지 않은 박대준 전 쿠팡 대표가 증인으로 자진 출석하기를 요구했다. 최형두 국민의힘 의원은 “이날 아침에 정치권 뉴스가 나왔다”며, “당사자도 자발적으로 나와 해명함으로서 김 의장이나 CEO가 국회를 피해갈 수 있음을 알려야 한다”고 했다. 신성범 국민의힘 의원 또한 “김병기 원내대표가 피감기관 대표를 만나 인사 청탁 내용이 있다는데 확인 안하고 넘어가는 건가”며, “김병기 의원이 증인으로 나올 것을 요청한다”고 했다.

해당 보도는 이날 오전 김병기 더불어민주당 원내대표와 박 전 대표가 두 달 전 오찬을 가졌으며, 김 원내대표가 쿠팡 임원 인사와 관련된 민감한 자료를 직접 제시했다는 내용이다.


최민희 위원장 “김범석 불참, 법 만들어서라도 책임 묻겠다”


(10시 10분)
최민희 국회 과학기술정보방송통신위원회 위원장은 17일 청문회에서 김범석 쿠팡Inc. 의장 불참에 대해 “최고경영자 불출석은 국회 넘어 대한민국 전체 존중하지 않고 대한민국 국민 무시하는 처사”라며, “국민, 국적 이야기하는 게 아니라 쿠팡 이용자로서 국민조차 무시하고 있다고 볼 수밖에 없다”고 말했다.

3370만여개 계정의 개인정보를 유출한 쿠팡에 대해 국회 과학기술정보방송통신위원회가 12월 17일 오전 청문회 중 최민희 위원장 (출처=국회방송)

이어 “이번 청문회를 통해 사고 경과와 책임 소재를 끝까지 규명할 것”이며, “최고 경영자 불출석 대해 법과 절차에 따라 끝까지 책임을 묻는 한편, 법을 만들어서라도 책임을 묻겠다”고 했다. 이어 “불출석한 증인은 고발할 것”이라고 강조했다.

바이라인네트워크
<성아인 기자> aing8@byline.network
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.