로저스 입점업체 피해 땐 보상…정부, 제재 카드 '만지작'

쿠팡 '2단계 인증' 공방…2021년 과태료 사례 재소환

"한국어 몰라서" 이유로 질의 지체…"질문 안한다" 핀잔도

마스터키 복사, 11개월 탈취…키 관리·보안 통제 허점 도마

해럴드 로저스 쿠팡 대표 사진김혜민 기자 — 해럴드 로저스 쿠팡 대표. [사진=김혜민 기자]

[이코노믹데일리] 해럴드 로저스 쿠팡 대표가 이번 개인정보 유출로 입점업체 피해가 확인될 경우 보상하겠다고 말했으나 이렇다 할 계획을 내놓지는 않았다.

청문회에서는 패스키에 이어 2단계 인증까지 보안 관련 질의가 쏟아졌다. 아울러 이번 사고가 SFC에 공시 의무가 있는 중대 사고는 아니라고 선을 그었다.

정부는 침해 원인을 '퇴사자의 악의적 보복'으로 추정했으며 영업정지 검토와 민관합동조사단 운영 방식도 쟁점으로 떠올랐다.

17일 국회 과학기술정보방송통신위원회가 쿠팡 개인정보 유출 사태를 놓고 청문회를 연 가운데 해롤드 로저스 쿠팡 임시대표는 입점업체 피해가 확인되면 보상안을 마련하겠다고 말했다. 로저스 대표는 "실제 피해가 있는 부분이 드러난다면 책임감 있는 보상안을 내놓겠다"고 말했다. 다만 "해당 내용과 관련해서는 내부적으로 검토해야 한다"고 덧붙였다.

'2단계 인증', '패스키' 공방…언어장벽 탓에 맹탕 질의도

이해민 조국혁신당 의원은 이날 청문회에서 쿠팡이 로그인 과정에서 2단계 인증을 제공하는지 따져 물었다. 이에 로저스 대표는 "다중인증(MFA)을 도입하고 있는 것으로 안다"고 답했다.

이 의원은 쿠팡이 2021년 5월 판매자 2단계 인증 미제공으로 과태료 360만원 처분을 받았던 사례를 언급하며 "기본 로그인에 2단계 인증을 적용하지 않는 것은 이용자 불안을 키운다"고 지적했다.

이어 개인정보보호법 시행령 고시 위반 소지도 거론했다. 로저스 대표는 화면에 제시된 한국어 규정 내용을 정확히 알기 어렵다며 영문 제공을 요청했다.

앞서 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 글로벌 보안 표준인 '패스키'가 대만에만 도입된 점을 지적하자 "다국적 기업에서는 새 기능 적용 시 작은 시장부터 도입하는 경우가 흔하다"며 "한국에는 내년 상반기 도입 예정"이라고 해명한 바 있다.

이날 청문회는 비슷한 대화가 끊임없이 오갔다. 로저스 대표는 언어 장벽을 이유로 의원 질문에 상반되는 답을 내놨다.

과방위 의원들은 통역에 수 차례 "쓸데없는 관용어구를 빼 달라", "핵심만 통역해달라"고 부탁했으나 로저스 대표는 여러 차례 질의를 끊고 "제가 한 말이 제대로 통역된 것이 맞느냐"고 확인하며 시간이 지체됐다.

이에 이훈기 더불어민주당 의원은 "의미있는 답변을 얻을 수 없어 해럴드 로저스 대표에게는 질문하지 않겠다"고 발언하기도 했다.

'SEC 공시 의무 없었다' 주장…퇴사자, 마스터키 약 1년 탈취

로저스 대표는 "SEC 규정상 이번 사고는 중대 사고가 아니어서 공시 의무가 없었다"며 "현재 유출된 데이터 유형을 봤을 때 미국 개인정보 보호법하에서 신고해야 하는 것은 아니다"라고 말했다.

이어 "데이터 민감성 정도를 고려했을 때 미국 내에서는 개인정보보호법 위반이 되지 않는다"고도 했다. 유출 정보가 중국 등으로 유통됐다는 주장에 대해서는 "확인된 바가 없다"고 밝혔다.

다만 쿠팡이 미국 증권거래위원회 제출 자료에서 '사업 운영에 대한 중대한 차질은 발생하지 않았다'고 기재한 대목이 도마에 올랐다. 캘리포니아 소비자 프라이버시 법(CCPA), 미국 연방정부 및 연방거래위원회(FTC) 표준에 따르면 이름과 주소는 개인 식별 정보의 최우선 수준으로 명시하고 개데이터 침해 사고 시 개인을 구별하거나 추적할 수 있는지가 핵심이다.

이를 두고 로저스 대표는 "'중대한 차질이 발생하지 않았다'는 표현은 서비스 운영에 있어 중단 등 중대한 차질이 빚어질 수 있는가와 관련한 설명"이라고 해명했다.

"퇴사 직원 보복 추정"…쿠팡, 영업정지 가능성 거론도

배경훈 부총리 겸 과학기술정보통신부 장관은 침해 사고 배경과 관련해 사고를 일으킨 것으로 지목된 중국 국적 퇴사자의 범행 의도를 묻는 질의에 "퇴사를 당하면서 악의적인 보복을 했던 것으로 추정한다"고 답했다. 다만 해당 직원의 퇴사 과정을 놓고 로저스 임시대표는 "아는 바가 없다"고 답했다.

불분명한 퇴사 과정과 달리 보안 허점이 있던 기간은 확실했다. 해당 퇴사자는 11개월간 쿠팡 마스터키를 탈취한 것으로 드러났다. 매티스는 마스터키가 11개월 동안 탈취된 게 맞냐는 질문에 "그렇다"고 답했다.

이어 "전 직원이 키(Key)를 탈취했다"며 "해당 직원은 올해 1월 1일이나 지난해 12월 말에 퇴사한 것으로 알고 있다"고 말했다. 아울러 매티스는 "올해 11월 19일에 해당 서명키를 폐기했다"며 "시간으로는 대략 새벽 1시 정도"라고 덧붙였다.

국정원의 민관합동조사 참여 요청을 두고 배 부총리는 "부처 안에서만 결정할 사안이 아니라 관계기관과 협의해야 한다"며 "필요하면 국정원도 적극적으로 참여시킬 것"이라고 밝혔다.

이어 "국정원 요구를 거부했다는 건 사실이 아니다"라며 "저희 측 답이 늦어 오해가 있었던 것 같다"고도 했다.

쿠팡 영업정지 여부도 거론됐다. 배 부총리는 청문회에서 영업정지 관련 논의 상황을 묻는 질의에 "공정거래위원회에 전달했다"고 답했다.

다만 "지금 해결해야 할 것은 민관합동조사 결과를 빨리 마무리 짓고 발표하는 것"이라며 "공정위도 조사 결과에 따라 판단할 것"이라고 말했다. 추가 질의에는 "적극적으로 논의하겠다"며 공정위와 현장 조사도 언급했다.