쿠팡 개인정보 유출 청문회, 창업주 김범석 증인 채택 책임론 심층 분석

쿠팡 개인정보 유출 청문회, 창업주 김범석 증인 채택 책임론 심층 분석

대한민국 국민 4명 중 3명에 해당하는 약 3,370만 명의 개인정보가 유출된 '쿠팡 개인정보 유출 사태'와 관련하여, 국회가 마침내 강경한 대응에 나섰습니다. 국회 과학기술정보방송통신위원회(과방위)는 대규모 고객 정보 침해 사고의 원인 규명과 책임자 문책을 위해 오는 12월 17일 청문회를 개최하기로 의결했습니다. 특히 이번 청문회는 단순 실무진이 아닌, 쿠팡의 창업자이자 실질적인 최고 의사결정권자인 김범석 쿠팡 Inc. 이사회 의장이 증인으로 채택되면서 전국민적인 관심이 집중되고 있습니다.

이번 사태는 단순한 기술적 오류를 넘어 기업의 구조적인 보안 시스템 관리 실패라는 지적이 지배적입니다. 긴급 현안 질의에서 미흡한 소명을 보였던 쿠팡 측은 이제 국회의 엄중한 심판대 앞에 서게 되었습니다. 본 글에서는 쿠팡 청문회 개최 배경과 함께 김범석 의장이 증인으로 채택된 이유, 이번 사태의 심각성, 그리고 청문회에서 다루어질 핵심 쟁점과 쿠팡의 향후 과제를 심층적으로 분석합니다.

---

1. 쿠팡 청문회 개최와 증인 채택

과방위는 지난 12월 2일 쿠팡 개인정보 유출 사고 관련 긴급 현안질의를 먼저 개최했습니다. 이 자리에는 박대준 쿠팡 대표이사 등 관계자들이 참석했으나, 쿠팡 측의 미흡한 사고 대응 방식과 불충분한 소명 태도에 대해 여야 의원 모두가 불만을 표출했습니다. 이에 과방위는 보다 명확하고 심도 있는 원인 규명을 위해 청문회 개최를 최종 결정하게 된 것입니다.

청문회 증인으로는 쿠팡의 창업자 김범석 의장을 포함해 박대준 대표이사, 강한승 북미사업개발 총괄(전 경영관리총괄), 브렛 매티스 정보보호최고책임자(CISO) 등 총 9명의 증인과 5명의 참고인이 채택되었습니다. 특히 김범석 의장의 증인 채택은 쿠팡의 구조적 문제에 대한 최종 책임을 묻겠다는 국회의 강한 의지를 보여줍니다. 국민적 공분을 일으킨 대형 사고에 대해 사과나 공식 입장을 내놓지 않고 있는 김 의장을 직접 청문회에 불러 책임을 추궁하겠다는 것입니다.

✅요약: 국회 과방위는 쿠팡 측의 미흡한 현안질의 소명 태도로 인해 대규모 개인정보 유출 사고의 원인 규명을 위한 청문회를 개최하기로 최종 결정했으며, 창업주 김범석 의장을 포함한 경영진을 증인으로 채택하여 최종 책임을 묻겠다는 강한 의지를 표명했습니다.

2. 3370만 명 유출 사고 핵심 원인

이번 사태의 피해 규모는 약 3,370만 개 계정의 정보가 유출된 것으로 추정되며, 이는 국내 역대 최대 규모의 개인정보 유출 사고 중 하나로 기록될 전망입니다. 유출된 정보에는 이름, 이메일 주소, 전화번호, 주소, 일부 주문 정보가 포함되었으며, 특히 공동현관 비밀번호까지 포함된 것으로 밝혀져 2차 피해 우려가 매우 높은 상황입니다.

사고의 핵심 원인은 '퇴사자 권한 관리 부주의'로 꼽힙니다. 경찰 수사 결과, 유출 주범은 내부 인증 업무를 담당했던 중국인으로 추정되는 전 직원 A씨로 드러났습니다. 퇴사했음에도 불구하고, 쿠팡이 퇴사자 계정 및 정보 접근 '열쇠(액세스 토큰 서명키)'를 신속하게 회수하지 않고 장기간 방치하면서 무단 접근이 가능했던 것입니다.

또한, 범인이 프록시 서버를 이용해 IP를 변조하고 데이터를 아주 천천히 빼내는 '로 앤드 슬로(Low and Slow)' 방식을 사용했음에도 쿠팡의 보안 관제 시스템이 이를 147일간 정상 접속으로 오인 및 방치했다는 사실도 드러났습니다. 이는 "가장 기본적인 보안 절차조차 작동하지 않은 것"이라는 전문가들의 비판을 받고 있으며, 단순 해킹을 넘어 인증 체계 관리의 총체적 실패로 지적되고 있습니다.

✅요약: 약 3,370만 명의 개인정보 유출 사고의 핵심 원인은 쿠팡이 퇴사자 계정의 정보 접근 권한(액세스 토큰)을 신속히 회수하지 않고 장기간 방치한 '퇴사자 권한 관리 부주의'와 더불어, 147일간의 비정상적 데이터 유출을 감지하지 못한 보안 관제 시스템의 총체적 실패 때문으로 분석되었습니다.

3. 김범석 의장 증인 채택 책임론

국회와 소비자 단체가 김범석 의장의 청문회 출석을 강력히 요구하는 배경에는 그의 '책임 회피' 논란이 있습니다. 김 의장은 쿠팡의 창업자이자 현재 이사회 의장으로서 회사의 주요 결정에 최종적인 영향력을 행사하는 실질적 소유주입니다. 그러나 이번 사태를 비롯해 과거 쿠팡에서 발생했던 각종 안전사고나 소비자 이슈 발생 시에도 해외 체류 등을 이유로 직접적인 사과나 공식 입장을 표명하지 않아왔습니다.

소비자단체협의회는 "김범석 의장이 직접 나타나 국민께 사과하고, 소비자 배상 방안과 사고 규모를 정확하게 밝히라"고 촉구하고 있으며, 국회 역시 "국민 4명 중 3명이 피해를 입은 초유의 사태"에 대해 김 의장이 직접 책임져야 한다는 비판을 제기하고 있습니다. 만약 이러한 대규모 정보 유출 사태가 미국에서 발생했다면 수천억 원대의 징벌적 배상금과 벌금, 그리고 경영진 기소까지 이어질 수 있다는 점에서, 한국에서도 창업주에게 최고 수준의 책임을 물어야 한다는 여론이 강합니다.

그러나 김 의장은 미국 국적을 가진 해외 체류 외국인이어서 강제 출석 수단이 제한적이라는 점에서 실제로 청문회에 출석할지 여부는 불투명한 상황입니다.

✅요약: 김범석 의장 증인 채택은 그가 쿠팡의 실질적 최고 의사결정권자임에도 불구하고 사태에 대한 책임 회피 및 침묵으로 일관해온 것에 대한 국민적 비판과 창업주에게 최고 수준의 책임을 물어야 한다는 국회의 강력한 의지가 반영된 것이며, 그의 출석 여부는 국적 문제로 불투명합니다.

4. 청문회에서 다룰 핵심 쟁점은?

12월 17일 청문회에서는 쿠팡의 근본적인 문제점을 파헤치는 데 초점이 맞춰질 것입니다. 핵심 쟁점은 다음과 같이 예상됩니다.

4-1. 정보 유출의 최종 책임 소재 및 은폐 의혹

증인으로 채택된 김범석 의장과 브렛 매티스 CISO, 박대준 대표 등을 상대로 사고 발생의 최종 책임이 누구에게 있는지 추궁할 것입니다. 특히 쿠팡이 사고 발생 후 '정보 노출'이라는 표현을 사용했다가 정부 지적 이후 '정보 유출'로 표현을 수정한 점, 그리고 유출 규모를 초기 4,500여 개에서 3,370만 개로 7,500배 이상 확대하여 발표한 과정을 두고 은폐 시도 의혹도 제기될 수 있습니다.

✅요약: 청문회에서는 최고 경영진을 상대로 사고 발생의 최종 책임 소재를 명확히 추궁하고, 초기 유출 규모 축소 발표와 표현 수정 등 정보 유출 은폐 시도 의혹을 집중적으로 다룰 예정입니다.

4-2. 미흡한 보안 시스템 및 인증 제도

쿠팡이 정부의 정보보호 인증(ISMS-P)을 획득하고도 퇴사자 권한 관리가 되지 않았다는 점이 핵심적으로 다루어질 것입니다. 이는 현행 보안 인증 제도가 실질적인 보안 강화에 기여하지 못하는 '보안 극장(Security Theater)'에 불과하다는 비판으로 이어지며, 인증 제도의 구조적 문제점까지 논의될 전망입니다.

✅요약: ISMS-P 인증에도 불구하고 퇴사자 권한 관리에 실패한 점을 지적하며, 쿠팡의 미흡한 보안 시스템뿐만 아니라 현행 보안 인증 제도 자체의 실효성에 대한 근본적인 논의가 이루어질 것입니다.

4-3. 2차 피해 방지 대책과 소비자 배상 방안

유출된 이름, 주소, 전화번호, 공동현관 비밀번호 등 민감 정보가 스미싱, 피싱, 사칭 연락 등 2차 피해로 이어질 가능성이 높습니다. 국회는 쿠팡이 현재까지 구체적인 2차 피해 사례가 발견되지 않았다고 밝히고 있음에도 불구하고, 피해 확산을 막기 위한 실질적이고 구체적인 대책과 함께, 피해자들에 대한 합당하고 신속한 배상 방안을 집중적으로 질의할 것입니다.

✅요약: 청문회는 유출된 민감 정보를 이용한 2차 피해 확산을 막기 위한 쿠팡의 실질적인 방지 대책과 더불어, 피해자들에게 신속하고 합당한 배상 방안을 마련했는지 여부를 집중적으로 확인할 것입니다.

5. 사태 이후 쿠팡의 과제와 전망

쿠팡은 이번 청문회를 통해 기업의 신뢰도와 생존까지 위협받는 중대한 기로에 서게 되었습니다. 청문회 결과와 관계없이 쿠팡에게 주어진 과제는 명확합니다. 첫째, 책임 있는 사과와 배상입니다. 형식적인 사과가 아닌, 창업자 김범석 의장 등 최고 경영진이 직접 나서 사태의 심각성을 인정하고 피해자들에게 진정성 있는 보상책을 제시해야 합니다.

둘째, 근본적인 보안 시스템의 혁신입니다. 단순한 기술 보완을 넘어, 퇴사자 권한 관리, 내부 인력에 대한 접근 통제, 그리고 비정상적 접근을 즉각 감지하고 차단할 수 있는 관제 시스템의 총체적인 재구축이 필요합니다. 외국의 사례에서 볼 수 있듯이, 기업의 보안 규정 작동 실패는 단순한 과실을 넘어 경영진의 형사 기소로까지 이어질 수 있기 때문입니다.

이번 쿠팡 청문회는 단순한 기업의 문제가 아닌, 디지털 시대에 고객의 정보를 다루는 모든 기업의 책임 수준을 재정립하는 중요한 분수령이 될 것입니다. 17일 청문회에서 김범석 의장이 과연 어떤 답변을 내놓을지, 그리고 이 초유의 사태가 쿠팡의 미래를 어떻게 바꿀지 귀추가 주목됩니다.

✅요약: 이번 사태 이후 쿠팡은 최고 경영진의 책임 있는 사과와 진정성 있는 피해자 배상책을 제시하고, 퇴사자 권한 관리 등 보안 시스템을 총체적으로 혁신해야 하는 중대한 과제를 안게 되었으며, 이번 청문회는 모든 기업의 고객 정보 책임 수준을 재정립하는 분수령이 될 전망입니다.