쿠팡 개인정보 이슈, 정부 결론 전 ‘자체 포렌식 공개’가 부른 논쟁
쿠팡이 개인정보 관련 사고와 맞물려 정부 조사 결과가 나오기 전에 자체 포렌식 진행 내용을 먼저 공개하면서 논란이 커지고 있다. 정부는 “아직 검증되지 않은 기업 단독 주장”이라며 거리를 두는 분위기지만, 일각에서는 쿠팡이 여론 흐름, 규제 리스크, 향후 보상 논의까지 고려해 발표 타이밍을 선점한 것 아니냐는 해석도 나온다.
쿠팡은 26일 입장문을 통해 이번 조사가 정부 요청에 따른 공조 절차였다고 강조하며 선제공개 했다. 12월 초부터 정부와 함께 유출 의심 인물을 추적했고, 유출자 접촉·기기 확보·진술 확보 과정도 정부와 협의해 진행됐다는 설명이다. 즉, “회사만의 독자 판단으로 단정하거나 일방적으로 발표한 것이 아니다”라는 취지다.
왜 ‘선제 공개’에 시선이 쏠리나
쿠팡은 25일 개인정보 유출 용의자를 특정했다고 알리며, 전직 직원을 지목했다고 밝혔다. 또한 글로벌 보안업체 3곳이 참여한 포렌식 결과를 근거로 “유출자의 진술과 조사 결과가 부합한다”는 점을 반복적으로 언급했다.
특히 쿠팡은 ‘접근 가능했던 계정’이 3,300만 개 수준이었지만, 실제로 저장된 정보는 약 3,000건에 그쳤다고 설명했다. 외부로 전송된 정황은 없었고, 저장된 정보는 모두 삭제됐다고도 강조했다.
이러한 표현 방식은 사건을 ‘광범위한 대형 유출’이 아니라 ‘제한된 내부 범죄’로 규정하려는 메시지로 읽힐 수 있다. ‘접근’과 ‘저장’을 분리해 수치를 제시하고, 결제정보·로그인 정보·개인통관고유부호가 포함되지 않았다고 선을 그은 대목도 소비자 불안 완화에 초점이 맞춰져 있다는 분석이 뒤따른다.
여론·규제·보상 논의를 염두
업계에서는 쿠팡이 정부 최종 발표나 국회 청문회 등 공식 절차가 본격화되기 전에 사건의 ‘기준점’을 기업 설명으로 먼저 세우려 했다는 관측이 나온다. 이른 시점에 사건 윤곽이 기업 버전으로 정리되면, 이후 보상 범위 논의나 제재 수위 산정 과정에서 유리하게 작용할 여지가 있다는 판단이 깔렸을 수 있다는 것이다.
특히 “외부 전송이 없었다”, “모두 삭제됐다”처럼 단정형 문구를 사용한 것은 논점의 중심을 ‘피해 확산 여부’가 아니라 ‘관리 책임의 범위’로 옮기려는 시도로 해석될 수 있다.
또 하나의 배경으로는 고객 보상과 시장 신뢰 관리가 거론된다. 쿠팡은 이번 발표에서 보상 방안을 조만간 별도 공개하겠다고 예고했는데, 사건 성격을 제한적으로 규정한 뒤 보상안을 내놓으면 보상 대상과 범위를 상대적으로 좁게 설계할 수 있다는 계산이 작동했을 가능성도 제기된다.
‘증거 은폐 시도’ 공개와 정부의 반응
쿠팡은 유출자가 범행에 이용한 맥북 에어 노트북을 물리적으로 파손한 뒤, 쿠팡 로고가 있는 에코백에 넣고 벽돌을 함께 담아 인근 하천에 던지는 방식으로 증거 은폐·파기를 시도했다고 밝혔다. 이후 잠수부를 동원해 유출자가 제공한 지도와 설명을 바탕으로 하천에서 노트북을 회수했다고도 설명했다.
반면 정부는 “확인되지 않은 발표”라는 취지로 선을 그은 것으로 전해진다. 정부 입장에서는 책임 소재와 함께 쿠팡의 관리 소홀 여부를 명확히 드러내기 위해 조사 결과 발표가 늦어질 수 있다는 해석이 가능하다. 유출 규모가 ‘확대’되지 않았다고 하더라도, 권한이 없는 인물이 개인정보를 조회한 사실 자체가 문제이며, 여기에 회사 책임을 물을 여지가 있기 때문이다.
이 과정에서 쿠팡이 충분한 협의 없이 사건 진행 상황을 외부에 공개했다면, 정부는 논의의 초점이 흐려지거나 사건이 축소 인식될 가능성을 우려해 강하게 반발했을 수도 있다.
김명주 서울여대 정보보호학과 교수는 “권한이 없는 사람이 이용자 정보를 조회하는 것 자체가 문제”라며, “보안 키는 외부로 반출되면 안 되는데 접근이 가능해 사건이 발생했다. 키 관리 부실만으로도 회사가 사실상 공모자가 될 수 있다”는 취지로 지적했다. 또한 “보안 키를 들고나간 행위는 개인 책임이지만, 장기간 외부 접근을 확인하지 못한 점은 회사 책임으로 봐야 하며, 개인 일탈로만 축소해선 안 된다”라고 설명했다.
