로저스 쿠팡 대표 “미국 법상 개인정보 유출 중대 사고 아냐”

[마이데일리 = 방금숙 기자] 17일 국회 과학기술정보방송통신위원회 청문회에서 해롤드 로저스 쿠팡 임시 대표는 최근 발생한 개인정보 유출 사고와 관련해 “미국 현지 법 기준으로는 이번 사고가 법 위반이나 중대 사고에 해당하지 않는다”고 밝혔다.

이번 정보 유출이 중대한 사안이 아니라는 발언은 김범석 쿠팡 의장의 청문회 불참과 맞물리며 논란을 키웠다. 의원들은 “한국 국민의 피해를 미국 법 기준으로 정당화하려는 것이냐”며 강하게 반발했다.

이날 청문회에서는 쿠팡이 전날 미국 증권거래위원회(SEC)에 해당 사고를 공시한 배경을 두고 집중 질의가 이어졌다.

로저스 대표는 “유출된 정보에는 결제 데이터나 비밀번호 등 민감한 개인정보는 포함되지 않았다”며 “만약 미국에서 발생했다면 법상 신고 의무가 없는 사안이었을 것”이라고 설명했다.

다만 그는 “한국에서는 이 사안을 매우 심각하게 받아들이고 있으며, 회사 역시 그 심각성을 충분히 인지하고 있다”고 덧붙였다.

JP모건이 작성한 쿠팡 관련 분석 보고서에 대한 지적도 나왔다. 김우영 민주당 의원은 “JP모건 리서치 센터의 보고서에선 쿠팡이 과징금을 좀 내고 나면 한국 사람들은 민감하지 않기 때문에 시간이 지나가면 말짱 도루묵이 될 것이라고 보고 있다”며 시정 권고가 가능하냐고 물었다.

로저스 대표는 “JP모건 보고서에 쓰여 있는 내용은 쿠팡의 시각을 반영하는 것이 아니다”며 “이러한 사고가 발생한 시기에는 증권사와 관련된 협의를 진행할 수 없게 돼 있다”고 답했다.

침해 사고의 원인을 두고서도 입장 차를 보였다. 로저스 대표는 “해당 직원이 근무 기간 중 인증키(마스터키)를 복사해 승인 없이 가지고 나갔고 이로 인해 사고가 발생했다”고 말했다.

이에 대해 최민희 과방위원장은 “마스터 키를 복사해 훔쳐갔는데 이를 몰랐다는 것은 쿠팡이 보안에 관심이 없었다는 의미”라며 질타했다.

과거에도 마스터 키를 활용한 개인정보 침해 사례가 있었는지 묻는 질문에, 브랫 매티스 쿠팡 CISO(최고정보보호책임자)는 “제가 알기로는 그런 사례는 없다”며 “키에 접근할 수 있는 직원 수도 매우 제한적”이라고 답했다.

최 위원장은 이번 사고 역시 퇴사자의 제보로 뒤늦게 인지한 점을 들며 신빙성이 떨어진다고 지적했다.

매티스 CISO는 “현재 관련 사항을 조사 중이며, 지금까지는 유사 사례가 없었던 것으로 확인됐다”며 “추가로 확인될 경우 즉시 알리겠다”고 말했다.

참고인으로 출석한 김승주 고려대학교 정보보호대학원 교수는 “일개 개발자가 마스터 키를 복사해 가지고 나간다는 것 자체가 정상적인 키 매니지먼트 시스템이 작동했다면 불가능한 일”이라며 “보안 점검에서도 이 부분이 확인이 안 된 것으로 보인다”고 지적했다.

과거 유출 사례를 확인할 수 있냐는 질문에 김 교수는 “과거 기록은 로그를 통해 일부 확인할 수 있겠지만 모든 사실을 완벽히 밝히기는 쉽지 않을 것”이라며 “모의해킹 보고서를 확보해 정밀 조사를 해야할 것”이라고 설명했다.

배경훈 부총리는 “쿠팡이 자체적으로 여러 차례 해킹 점검을 진행한 것으로 알고 있다”며 “모의해킹 보고서를 신속히 확보해 조사하겠다”고 밝혔다.

최민희 위원장은 “보고서 확보뿐 아니라 민관합동조사를 통해 쿠팡의 보안 취약점을 명확히 확인하고 재발 방지 대책을 꼼꼼히 점검해야 한다”고 강조했다.