쿠팡이 대규모 개인정보 유출 사태와 관련된 자체 조사 결과를 발표하면서 문제를 '개인의 일탈'로 축소하려고 한다는 논란이 확산되고 있다. 사진은 지난 25일 서울 중구 쿠팡 물류센터 모습. /사진= 뉴스1 김명섭 기자

쿠팡이 대규모 개인정보 유출 사태와 관련된 자체 조사 결과를 대통령실이 소집한 긴급회의 직전 발표한 데 대해 다양한 해석이 나오고 있다. 업계에서는 민관합동조사단의 조사가 진행 중인 상황에서 진행된 쿠팡의 발표에 이번 사태를 '퇴직자 개인의 일탈'로 국한해 책임 범위를 축소하려는 것 아니냐는 분석이 나온다.

내부 통제 시스템의 붕괴가 이번 사태의 핵심으로 지적되는 가운데 일각에서는 미국 내 로비를 동원해 김범석 쿠팡 Inc. 의장의 책임론을 차단하려는 전략을 구사하고 있는 것 아니냐는 의심도 제기된다.


쿠팡은 지난 25일 고객 3370만명의 개인정보를 유출한 전직 직원을 특정하고 노트북 등 정보 유출에 쓰인 모든 장치를 회수했다고 밝혔다. 유출자는 3000개 계정의 제한된 고객 정보만 저장했고 제3자에게 유출된 고객 정보는 없었다고 설명했다.

이에 과학기술정보통신부는 "민관합동조사단이 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다"고 밝혔다. 경찰은 진술서와 증거물을 분석하면서 쿠팡의 주장이 사실인지를 확인하고 있다.

민관합동조사단의 공식 조사 결과가 나오기 전에 쿠팡의 발표가 이뤄지면서 적절성을 둘러싼 논란이 확산하고 있다. 조사 주체가 정부임에도 기업이 먼저 사건의 성격과 범위를 규정해 사안의 본질이 흐려질 수 있다는 지적이 나온다.

쿠팡, 문제 '퇴직자의 일탈'로 축소… 본질은 내부통제 붕괴

김승주 고려대학교 정보보호대학원 교수는 이날 자신의 페이스북에 "민관합동조사단이 현재 조사 중인 사안을 쿠팡이 무단으로 선제 발표한 것은 사안의 시급성 때문이라기보다 이번 사건을 문제의 퇴직자 한 개인의 일탈로 국한하려는 의도가 깔려 있다"고 분석했다.


이어 "지금 정부가 확인하고자 하는 핵심은 이처럼 내부통제에 심각한 허점을 보여 온 쿠팡이 과연 다른 개발자나 퇴직자들의 일탈 역시 제대로 차단·관리해 왔는지 여부"라며 "정부는 이번 퇴직자에 의한 정보 유출 사건에 국한하지 말고 과거에 인지되지 않았거나 은폐됐을 가능성이 있는 해킹·침해 사고 전반에 대해 철저한 조사를 실시해야 할 것"이라고 강조했다.

윤동국 위즈진 대표도 "쿠팡은 이번 사건을 '퇴사자의 개인 일탈'이자 '외부 유출 없는 해프닝'으로 프레임(Frame)을 짜고 있다"며 "범인을 잡았다는 안도감보다는, 왜 시스템이 작동하지 않았는지에 대한 근본적인 의문을 가져야 할 때"라고 꼬집었다.

그러면서 "진짜 문제는 '내부 통제 시스템'의 붕괴"라며 사건의 핵심을 '사람 관리의 실패'로 규정했다. 유출 규모를 떠나서 한 명의 개인이 퇴사 후에도 쿠팡 내부 데이터베이스에 접근할 수 있도록 시스템을 관리해 왔다는 점이 문제라는 설명이다.

윤 대표는 "보안의 시작과 끝은 결국 '사람'"이라며 "글로벌 기업들은 보안 점검 시 시스템 해킹보다 직원의 심리나 주변 정보를 이용해 비밀번호를 알아내는 '라이프 해킹(Life Hacking·사회공학적 해킹)'부터 시도한다"고 설명했다. 이어 "단순히 비밀번호를 어렵게 만드는 것을 넘어 생체 정보나 패스키(Passkey) 등을 활용한 2차, 3차 인증 체계를 의무화해야 한다"고 강조했다.

쿠팡의 접근 권한 관리 체계에 대해서도 강도 높게 비판했다. "통상적인 IT 기업이라면 3300만건이라는 대규모 데이터에 접근할 때 최고정보보호책임자(CISO)나 개인정보보호책임자(CPO)의 승인을 거치게 돼 있다"며 "사용 목적과 기간을 명시하고 인가를 받아야 열리는 문이 퇴사자에게 열려 있었다는 것은 사실상 대문이 활짝 열려 있었던 것과 다름없다"고 일갈했다.

"보안 전문가가 노트북을 하천에? 비논리적"

쿠팡이 묘사한 범행 수법이 유출자의 전문성에 비해 비논리적이라는 지적도 나왔다. 유출자는 쿠팡 내에서 보안 키(Key) 관리 시스템 관련 업무를 담당했던 개발자로 전해졌다.

문송천 카이스트 경영대학원 명예교수는 "컴퓨터 전문가라면 하드디스크를 활용하지 노트북으로 유출 시도를 했을 리가 없다"며 "유출 정보 중 극히 일부가 들어있을 노트북을 그냥 하천에 버리는 어리석은 방식을 택하지 않는다"고 평가했다.

이어 "서버관리자처럼 최고 액세스 권한을 갖고 DB를 자유자재로 드나들었을 텐데 내부 보안 관리자 권한을 가졌었다는 피의자의 행태라고 보기에는 전혀 앞뒤가 맞지 않는 내용"이라고 주장했다.

일각에서는 쿠팡의 이러한 행보를 두고 김 의장을 보호하려는 고도의 전술이라고 해석한다. 미국 조야에 로비를 이어감과 동시에 자체적인 조사 결과를 기습 발표해 정부 조사에 부담을 주고 김 의장의 책임론을 차단하려는 것 아니냐는 시각이다.

업계 관계자는 "미국 내 영향력을 동원해 정부의 조사를 '미국 기업 때리기' 등의 이슈로 부각하는 한편 국내에서는 '개인의 일탈'이라는 프레임을 선점해 김 의장 등 고위급 임원에게 향하는 법적인 책임을 차단하려는 전략적 판단이 깔린 것으로 의심된다"고 말했다.