쿠팡, '1조원대 과징금' 위기…대통령·정부·국회 모두 칼 뽑았다(종합2)

[아이뉴스24 안세준 기자] 쿠팡의 대규모 개인정보 유출 사태를 둘러싼 책임론이 빠르게 확산하고 있다. 이재명 대통령이 과징금 강화와 징벌적 손해배상 현실화를 주문한 데 이어 국회와 정부 기관들도 최대 1조원대 과징금 가능성을 언급했다. 3400만개 개인 정보가 유출되는 초유의 사태에 2차 피해까지 우려되는 상황이다.

이 대통령 "과징금 강화하고 징벌적 손해배상 현실화해야"

이재명 대통령은 2일 서울 용산 대통령실에서 주재한 국무회의에서 "쿠팡 때문에 우리 국민의 걱정이 많다"며 "사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야 한다"고 말했다.

이 대통령은 "피해 규모가 약 3400만건으로 방대하기도 하지만, 처음 사건이 발생하고 5개월 동안이나 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍다. 이 정도인가 싶다"고 질타했다.

그러면서 "관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등의 대책에 나서달라"며 "유출 정보를 악용한 2차 피해를 막는 데도 가용 수단을 총동원해주시길 바란다"고 지시했다.

국회, 과징금·징벌적 손해배상 강조⋯정부도 '공감'

같은 날 서울 국회에서 열린 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사고 관련 현안질의에서는 쿠팡의 책임 범위와 제재 수준이 주요 논의로 다뤄졌다. 의원들은 현행 개인정보보호법 기준(매출액의 최대 3%)을 적용하면 최대 1조원대 과징금이 가능하다며 법 집행의 실효성을 강조했다.

이훈기 더불어민주당 의원은 "오늘 대통령도 쿠팡 사태를 언급하며 징벌적 손해배상에 대해 언급했다. 전체 매출액의 10%까지 부과한다는 게 징벌적 과징금의 내용인데 쿠팡 전체 매출액의 10%면 4조원"이라고 말했다. 이에 대해 배경훈 부총리 겸 과학기술정보통신부 장관은 "징벌적 손해배상을 통해서 다시는 이런 일이 일어나지 않도록 하는 것이 중요하다고 생각한다"고 답했다.

황정아 더불어민주당 의원은 과징금과 관련, 이정열 개인정보보호위원회 부위원장을 향해 "(개인정보 유출 시) 전체 매출액의 3%, 즉 최대 1조3000억원의 과징금을 물 수 있다. 이 정도 수준의 과징금을 물어야 되지 않느냐"고 질의했다. 최대 1조원대 과징금 부과 가능성을 언급한 것이다.

개인정보보호법은 개인정보 유출 시 전체 매출의 최대 3%까지 과징금을 부과할 수 있도록 규정한다. 다만 유출 사안과 무관한 매출액은 산정 기준에서 제외될 수 있다. 쿠팡의 지난해 매출액은 41조원으로, 최대 비율인 3%를 적용할 경우 과징금 규모는 1조2000억원 이상으로 추산된다.

이에 대해 이 부위원장은 "현재 조사단을 바로 꾸린 상태다. TF(태스크포스)를 만들어 상주하고 있는 단계"라며 "사실 조사 단계를 거쳐 자료 검토를 통해 법에서 정한 대로 조사 처분을 엄중하게 하도록 하겠다"고 답변했다.

최수진 국민의힘 의원은 "쿠팡의 앞선 세 차례 유출 사고에 대한 과징금·과태료가 16억원 수준에 그쳤다. 너무 솜방망이 아닌가"라며 질타했다. 이 부위원장은 "기존 3건의 유출 사고에 대해 이미 처분한 바 있지만, 작은 처분이었다고 생각한다"며 "실정에 비례하게 엄중히 책임을 물을 수 있는 방안을 적극 검토하겠다"고 했다.

노종면 더불어민주당 의원은 박대준 쿠팡 대표를 향해 "쿠팡의 과징금 부과 처분은 피하기 어려울 것으로 보인다. 하지만 행정소송, 불복하는 수단이 있다. 불복할 것이냐"고 물었다. 박 대표는 "그 얘기를 말하기에는 너무 앞서 있다"면서도 "저희에게 책임이 있는 부분에 대해서는 충분히 책임을 지겠다"고 했다.

고개 숙인 박대준 쿠팡 대표⋯"내부에서 인증키 유출 유력"

한민수 더불어민주당 의원은 박 대표를 향해 "외부 공격으로 인해 정상적 시스템이 무력화된 것이냐, 아니면 정보보안 시스템이 허술하게 관리되고 있기 때문에 내부 사정에 밝은 사람이 악용을 한 것이냐"고 질의했다.

이에 대해 박 대표는 "내·외부를 가리지 않고 모든 가능성을 열어놓고 조사하고 있다"면서도 "어떤 방식인지는 모르지만, 내부에서 인증키가 유출돼 활용된 가능성을 유력하게 보고 있다"고 밝혔다. 사고의 핵심 열쇠인 인증키가 내부에서 빠져나갔다는 점을 시사한 셈이다.

사고는 6월24일부터 11월8일까지 약 5개월 동안 지속됐다. 쿠팡이 이 기간 동안 비정상 접근을 탐지하지 못한 점은 국회 질의 핵심이었다. 그러나 쿠팡의 답변은 "원인을 조사 중"이라는 수준에 머물렀다. 박 대표는 수사를 핑계로 답변을 회피하지 말라는 한민수 의원 지적에 대해 "조금 더 확인하고 보완해야 될 부분이라고 생각하고 있다"며 "내·외부를 가리지 않고 전부 다 모든 가능성을 열어놓고 조사하고 있다"고 답했다.

현재까지 파악된 유출 정보는 이름, 이메일 주소, 배송지 주소록, 일부 주문정보 등이다. 쿠팡은 카드번호, 로그인 정보 등은 유출되지 않았다고 했다. 박 대표는 2차 피해 가능성을 묻는 박정훈 국민의힘 의원 질의에 "아직까지는 없는 것으로 파악하고 있다"고 말했다. 류제명 과학기술정보통신부 2차관은 "유출 규모가 대규모라는 것을 파악한 즉시 대국민 메시지를 냈다. 2차 피해 방지를 위해 모든 가능성을 파악하고 대응하겠다"고 했다.

박 대표는 용의자로 지목된 전 중국인 직원에 대해 "인증업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였다"고 밝혔다. 공격자가 복수일 가능성도 제기됐다. 박 대표는 정보를 유출한 사람이 몇 명인지 묻는 의원 질의에 "수사 중이라 말할 수 없다"면서도 "단수, 복수라고 단정할 수 없다"며 1명 이상일 가능성을 시사했다.