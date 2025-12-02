여야가 전 국민 4분의 3에 달하는 개인정보 유출 사태를 초래한 쿠팡의 허술한 내부 정보관리와 사후 부실 대응 등을 한목소리로 비판했다. 정부 역시 최대 1조원대 과징금 부과는 물론 영업정지 가능성까지 거론하며 전자상거래(e커머스) 1위 업체 쿠팡에 엄정한 책임을 묻기로 했다.



국회 과학기술정보방송통신위원회는 2일 전체회의를 열어 쿠팡의 박대준 대표이사와 브랫 매티스 최고정보보안책임자(CISO) 등을 상대로 현안질의를 했다.

곤혹 박대준 쿠팡 대표이사(왼쪽)와 브랫 매티스 쿠팡 정보보호최고책임자(CISO)가 2일 국회에서 열린 과학기술정보방송통신위원회 현안질의에 출석해 의원들의 질의를 듣고 있다. 과방위 소속 여야 위원들은 개인정보 유출 사고를 불러온 쿠팡의 대처를 “알면서도 내버려두고 있었다면 최소한 미필적 고의 아니냐”며 질타했다. 허정호 선임기자

더불어민주당 한민수 의원은 “2025년은 한 해 매출액 40조원이 넘는 국내 전자상거래 1위 업체 쿠팡의 민낯이 드러난 한 해”라며 “역대급 개인정보가 털려놓고도 5개월 동안 인지를 못 했다”고 질타했다. 같은 당 황정아 의원은 쿠팡이 지난해와 올해 2월 미국 증권거래위원회에 제출한 보고서에서 사이버 보안 취약 지점으로 ‘자사 직원 유출 가능성’을 언급했다고 밝히며 “알면서도 내버려 두고 있었다면 최소한 미필적 고의 아니냐”고 쏘아붙였다. 국민의힘 박정훈 의원은 “이름·전화번호·주소까지 종합세트 같은 정보가 나간 경우는 처음인 것 같다”며 개인정보보호위원회의 엄정한 조사를 촉구했다. 박대준 대표는 “정보 유출이 일어난 것에 대해서는 두 번 세 번 (사과 외에는) 할 말이 없다”며 고개를 숙였다. 쿠팡이 역대 최대 규모인 1조2000억원의 과징금 처분을 받을 수 있다는 관측도 나온다. 쿠팡 사태 국회 현안 질의에 참석한 이정렬 개인정보보호위원회 부위원장은 ‘결론적으로 1조원 이상 과징금이 부과될 수 있는 것 아닌가’라는 조인철 민주당 의원의 질문에 “유출 등에 해당하기 때문에 과징금 부과 대상이라고 판단된다”며 “중점적으로 검토하고 있다”고 밝혔다. 개인정보보호법은 개인정보 유출 시 전체 매출의 최대 3%까지 과징금을 부과할 수 있도록 규정한다. 다만 유출 사안과 무관한 매출액은 산정 기준에서 제외될 수 있다. 쿠팡의 지난해 매출액은 41조원으로, 최대 비율인 3%를 적용할 경우 과징금 규모는 1조2000억원 이상으로 추산된다.



앞서 쿠팡의 세 차례 정보 유출 사고 시 과징금·과태료가 16억원 수준에 그친 것과 관련, 이 부위원장은 “작은 처분이었다고 생각한다”며 “실정에 비례하게 (이번에는) 엄중히 책임을 물을 수 있는 방안을 적극 검토하겠다”고도 했다. 류제명 과기정통부 2차관은 박정훈 의원이 “전자상거래법상 통신 판매로 재산상의 손해가 났을 경우 영업정지를 할 수 있는데 영업정지 가능 여부를 체크해봤냐”고 묻자 관계 기관과 적극 협의해 영업정지 가능성을 따져보겠다고 했다.

2일 서울 시내 한 쿠팡 물류센터의 모습. 연합뉴스

쿠팡이 정보 유출 사실을 이용자들에게 알리면서 ‘유출’이 아닌 ‘노출’이라 표현하고 지난달 30일 모바일 앱과 PC에 올린 사과문을 공지 사흘 만에 내린 것도 도마에 올랐다. 민주당 노종면 의원은 “법적으로 ‘유출’에 대해서만 처벌 규정이 있다는 것을 알고 의도적으로 ‘노출’이라는 말을 썼다”고 지적했다. 한민수 의원은 “사과문을 내린 것은 명백한 국민 기만”이라고 꼬집었다.



누리꾼들도 “페이지 전체를 써서 사과문을 공지해도 모자랄 판에 팝업 사과문을 화면 상단 좌측 배너로 옮기더니 이제는 그마저도 사라졌다”고 비판했다. 박 대표는 “(노출이 아니라) 유출이 맞다. 2차 피해로 불안해하는 고객들에게 별도 이메일 공지로 상세 공지와 사과문을 보내려 준비 중”이라며 “한국 법인 대표로서 끝까지 책임을 지고 사태 해결에 최선을 다하겠다”고 말했다.

쿠팡 모바일 앱에 접속하면 화면에 뜨던 사과문. 쿠팡 앱 화면 캡처

박 대표는 대규모 정보 유출이 퇴직 중국인 소행이냐는 질의에 대해선 “여러 가능성을 열어 놓고 있다”며 말을 아끼면서도 “(해당 직원은) 인증 업무를 한 게 아니라 인증 시스템을 개발하는 개발자 중 한 명이었다”고 했다. 그는 피의자 규모에 대해 “단수나 복수라고 단정할 수 없다. 수사 중이라 말할 수 없다”고 해 경찰 조사를 핑계로 답변을 회피한다는 지적을 받았다. 브랫 매티스 CISO는 5개월간 정보 유출을 파악하지 못한 것에 대해 유출자가 IP 주소를 여러 개 사용했기 때문이라고 설명했다. 그는 “현재 조사에 따르면 공격자는 훔친 서명키를 사용해 다른 사용자인 것처럼 가장했다”며 “모든 쿠팡의 인증토큰 같은 경우에는 프라이빗한 키를 서명함으로써 확인이 된다”며 “(공격자는) 쿠팡 내부에 있는 서명키를 취득한 것으로 보이며 이 키를 인증해 각자 토큰을 만든 것”이라고 했다.

