'3370만 정보유출' 쿠팡…김범석 의장은 여전히 행방불명 (종합)

[디지털데일리 김보민 유채리기자] 3370만 규모 개인정보 유출 사태가 발생한 쿠팡이 이틀째 여야 뭇매를 맞았다. 여야 의원은 쿠팡이 주력 시장인 한국에 기본적인 보안 체계를 갖추지 않은 점과, 최고기술책임자(CTO) 없이 허술한 거버넌스 체계를 운영한 점을 문제점으로 꼽으며 질타를 이어갔다.

개인정보 주무부처인 개인정보보호위원회가 대규모 보안 사고를 예방하기 위한 대책을 내놓아야 한다는 의견도 나왔다. 개인정보위는 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 등 보완이 필요한 제도를 손보겠다는 의지를 재확인했다.

이날도 김범석 쿠팡Inc 이사회 의장은 모습을 드러내지 않았다. 쿠팡은 피해 배상을 비롯해 이번 사태를 수습하기 위한 방안을 마련할 방침이다. 박대준 쿠팡 대표는 피해 범위가 확정된 이후 구체적인 안을 마련하겠다고 예고했다.

◆ 한국 보안체계는 뒷전? 쿠팡 "패스키 도입 검토하겠다"

박대준 쿠팡 대표는 3일 국회 정무위원회 현안 질의에서 한국에도 패스키(Passkey)' 도입을 검토하겠다고 밝혔다. 박 대표는 "지난달 대만에 도입된 패스키 제도가 (한국에 있었다면) 더 안전하게 서비스할 수 있었을 것"이라고 인정했다.

패스키는 비밀번호 없이 생체인식과 핀(PIN) 등을 활용하는 다중인증 방식이다. 해커가 인증 방식을 추측하거나 도용하는 것이 불가능해 안전한 수단으로 여겨지고 있다. 권한이 있는 본인이 아니면 인증이 불가능하기 때문에 내부자 위협에도 안전한 인증 수단으로 거론된다.

쿠팡은 전략 거점인 대만에 패스키를 도입하며 보안 강화에 집중해왔지만, 주력 시장인 한국에서는 이를 뒷전으로 했다는 지적을 받고 있다. 박 대표는 한국 시장을 필두로 성장했지만 보안 대책이 허술했다는 지적에 대해 "공감하고 책임감을 느낀다"며 "서비스에 미흡했던 것도 송구하다"고 말했다.

쿠팡이 내부 거버넌스 체계를 부실하게 운영했다는 지적도 나왔다. 민병덕 의원(더불어민주당)은 "쿠팡은 3년간 CTO를 공석으로 뒀다"며 "기술 개발 시작 단계부터 정보보안 기술을 반영하지 않았다는 의미"라고 평했다. 정무위에 따르면 쿠팡은 브랫 매티스 정보보호최고책임자(CISO)를 두고 있지만 CTO 선임을 서두르지 않고 있다.

쿠팡은 조직 특성상 CTO를 바로 선임하지 않았다고 해명했다. 박대준 쿠팡 대표는 "자사 개발은 애자일(Agile) 방식으로 구성돼 있다 보니 그랬다"고 답했다. 업무가 부문 별로 나눠져 있다는 취지다.

전날 과방위 현안질의에 이어 이날도 김범석 쿠팡Inc 의장은 국회 출석에 불응했다. 박 대표는 김 의장의 현 위치를 묻는 질문에도 "모르겠다"는 답변을 유지했다. 이에 신장식 의원(조국혁신당)은 "김 의장은 국적이 미국이고, 쿠팡Inc가 미국에 상장했다는 이유로 부름에 답하지 않고 있다"며 "김 의장 고발을 의결하면 좋겠다"고 제안했다.

◆ 최상위 보안인증 받아도 털린다…개인정보위 "제도 고도화"

현장에서는 보안인증 제도 실효성에 의문을 제기하는 목소리도 쏟아졌다.

김용만 의원(더불어민주당)은 "ISMS-P 인증을 받은 263개 기업 중 27곳에서 유출 사고가 발생했고, 쿠팡은 최근 세 차례 사고가 일어났다"며 "인증 기업을 대상으로 전수조사를 진행하고, 전체 조사가 어렵다면 자율로 이를 의무화하는 방안을 봐야 한다"고 꼬집었다.

ISMS-P 기준에 따르면, 기업은 퇴사한 직원이 회사 개인정보에 접근하지 못하도록 안전체계를 갖춰야 한다. 아울러 탈퇴한 회원에 대한 개인정보를 파기하도록 하고 있다.

쿠팡의 경우 이번 사태 배후로 퇴사 직원이 거론되고 있어, 사실상 내부통제가 무너졌다는 평가가 나오고 있다. ISMS-P 인증을 받았지만 사실상 내부통제 체계가 제대로 작동하고 있는지 정부가 집어내지 못했다는 의미다. 올해 대규모 보안 사고가 발생한 SK텔레콤, KT, 롯데카드도 ISMS-P 인증을 받은 기업이다.

이에 송경희 개인정보보호위원회 위원장은 "ISMS-P 인증은 서면 심사와 샘플링 조사를 중심으로 부여되고 있지만 부족한 점이 많다"며 "예비 심사제도와 현장 심사를 도입하고 인증 부여 후 1년마다 모의해킹을 운영하는 방향으로 개선하겠다"고 말했다.

ISMS-P 취소 기준에 '개인정보보호법 위반 및 중대한 사유가 있을 경우'가 명시된 만큼, 쿠팡에 인증을 취소해야 하는 것이 아니냐는 의견도 나왔다. 이상중 KISA 원장은 "(쿠팡 인증 취소와 관련해) 잘 살펴보겠다"고만 답했다.

한편 쿠팡은 피해 배상도 고민 중이라고 밝혔다. 박 대표는 "자발적 배상을 검토하겠다"며 "피해 범위가 확정되지 않아 시점을 단언하기 어렵지만 합리적 방안을 마련하겠다"고 말했다. 다만 정무위 소속 여야 의원들은 이번 유출 사태와 관련해 "개인정보 유출 자체가 피해이며, 3370만명 모두가 피해자"라며 적극적인 보상안 마련을 촉구했다. 개인정보보호위원회 역시 보상안을 다각도로 검토하겠다고 밝혔다.

탈퇴·휴면 계정 관리 부실 가능성과 복잡한 탈퇴 절차도 도마 위에 올랐다. 유출된 정보 중 수년 전 탈퇴 회원과 휴면 계정까지 포함된 것으로 드러났기 때문이다. 이에 쿠팡이 탈퇴자 정보를 분리 보관하지 않은 것 아니냐는 의혹도 제기됐다. 탈퇴 절차가 모바일에서 불가능하고 총 6단계를 거쳐야 하는 '다크패턴'이라는 비판도 이어졌다. 박 대표는 "탈퇴 절차를 간소화하고 지적된 부분을 보완하겠다"고 말했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -