쿠팡발 개인정보 유출 사고를 수사 중인 경찰과 정부 당국이 "유출 규모는 3000만 건 이상"이라는 입장을 연일 강조하면서, 실제 피해 규모를 둘러싼 논란이 다시금 도마 위에 올랐다.
쿠팡 측은 지난해 말 "전체 3300만 개 계정 중 피의자의 외부 하드디스크에 '저장'된 것은 3000개 수준"이라는 조사 결과를 밝힌 바 있다. 그러나 이 대목이 해를 넘겨서도 쿠팡이 주장하는 전체 유출 규모로 받아들여지며 혼선이 빚어지는 모양새다. 일각에서는 이미 쿠팡이 정부 권고를 수용해 지난해 12월 3370만 명을 대상으로 '개인정보 유출 사고'를 재공지했던 만큼, 단어의 정의와 해석을 두고 불필요한 오해가 확산되고 있다는 지적도 제기된다.
◇ 정부·경찰 "유출은 3000건 아닌 3000만 건"… 압박 수위 높여
26일 업계에 따르면 경찰은 이번 사건의 피해 규모를 계정 기준 3000만 건 이상으로 결론지었다. 박정보 서울경찰청장은 이날 정례 기자간담회에서 "이름과 이메일 등 개인정보가 포함된 자료가 나간 규모는 계정 기준으로 3000만 건을 상회한다"며 "쿠팡 측은 (저장된) 3000건을 언급하고 있으나, 경찰이 파악한 유출 규모는 그보다 훨씬 방대하다"고 선을 그었다.
관련 당국 역시 같은 목소리를 내고 있다. 송경희 개인정보보호위원장은 지난 21일 "현재까지 확인된 유출 규모는 3000만 명 이상"이라고 밝혔으며, 범정부 TF를 이끄는 배경훈 부총리 또한 지난달 청문회에서 "3000건이 아닌 3300만 건 이상"임을 분명히 했다. 최근 한 달 새 정부가 "쿠팡의 유출 규모는 3000건이 아니라 3000만 건"이라는 점을 수차례 공식화한 셈이다.
이로 인해 일각에서는 "쿠팡이 실제 유출 규모를 1만 분의 1 수준인 3000건으로 축소 은폐하려 한 것 아니냐"는 비판까지 나오고 있다.
◇ '하드 저장' vs '전체 유출'… 용어 해석 두고 엇갈린 시선
이 같은 논란의 발단은 쿠팡이 지난 12월 25일 발표한 해명 자료에 있다. 당시 쿠팡은 중국 국적 전 직원의 진술과 포렌식 결과를 인용해 "유출자가 3300만 고객 정보에 접근한 것은 맞지만, 실제 자신의 PC 하드디스크에 저장한 것은 공동현관 비밀번호 등을 포함해 약 3000개 계정에 불과하다"고 설명했다. 심지어 피의자가 이를 삭제했다는 점도 덧붙였다.
업계에서는 쿠팡이 언급한 '외부 하드디스크 저장'이라는 기술적 팩트가 정치권과 정부를 거치며 '전체 유출의 기준'으로 와전된 것으로 보고 있다. 쿠팡의 당시 발표에는 '3370만 명이 아니라 3000명만 유출됐다'는 문구가 없었기 때문이다.
한 업계 관계자는 "당시에는 대규모 개인정보 유출에 따른 보이스피싱 등 2차 피해 공포가 극에 달했던 시점"이라며 "쿠팡 입장에서는 실제 외부로 반출되어 저장된 정보는 소수라는 점을 강조해 소비자 불안을 잠재우고, 향후 과징금 산정 등에 대응하려던 포석이었을 것"이라고 해석했다. 현행법상 개인정보 유출은 정보가 통제권을 벗어나 제3자가 알 수 있는 상태가 되면 성립한다.
◇ 이미 '3370만 명 유출' 인정하고 재공지… "모호한 표현이 화 키워"
보안업계는 쿠팡이 이미 3370만 명에게 '개인정보 유출' 사실을 통지했다는 점에 주목해야 한다고 말한다. 당초 지난 11월 "일부 정보가 '노출'됐다"고 공지했던 쿠팡은, "명백한 유출인데 표현을 순화했다"는 국회와 정부의 지적을 받았다.
이에 개보위의 시정조치에 따라 쿠팡은 12월 6일부터 3370만 명 전원에게 '개인정보 유출 사고 재안내'를 발송했다. 문자메시지와 앱 공지를 통해 "유출을 인지한 즉시 당국에 신고했다"고 밝힘으로써, 단순 노출이 아닌 '유출'임을 공식 인정한 것이다.
다만 보안 전문가들은 쿠팡의 초기 대응 방식에 아쉬움을 표하고 있다. 한 관계자는 "애초에 쿠팡이 '유출'(법적 정의)과 '반출·저장'(물리적 이동)의 개념을 명확히 구분해 발표했어야 했다"며 "다소 애매모호한 표현이 사태를 축소하려 한다는 의혹을 키운 측면이 있다"고 지적했다.
한편, 현재 쿠팡에는 개인정보보호위원회와 민관합동조사단을 필두로 공정위, 고용부, 관세청 등 10여 개 부처에서 파견된 수백 명의 조사 인력이 투입된 상태다. 업계 관계자는 "단일 기업 사고에 이토록 다수의 기관이 동시에 고강도 조사를 벌이는 것은 전례 없는 일"이라며 "초미의 관심사인 최종 조사 결과 발표에 귀추가 주목된다"고 전했다.
