국회 “쿠팡 사태에 정부 무능력 드러나”...배경훈 “‘사이버안보 콘트롤타워’ 필요성 공감”

[이데일리 윤정훈 기자]최근 발생한 쿠팡 전직 직원의 대규모 고객 정보 유출 사건을 두고 국회 과학기술정보방송통신위원회가 정부와 민간 기업의 사이버 대응 능력에 대해 강도높게 질타했다. 과거 SK텔레콤(017670), KT(030200) 등 대형 유출 사고 이후에도 유사한 취약점을 막지 못한 쿠팡의 사이버 보호 투자 미흡과 정보보호 전담 조직의 무능력이 도마 위에 오르면서, 국가 차원에서 사이버 안보 거버넌스 개편이 시급하다는 목소리가 커지고 있다.

박대준 쿠팡 대표가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의에 출석해 고개 숙여 인사를 하고 있다.(사진=연합뉴스)

2일 과방위 현안질의에서 신성범 국민의힘 의원은 쿠팡의 박대준 대표와 브랫 매티스 CISO를 향해 퇴직자가 유출된 접근 ‘키’를 활용해 시스템에 침투한 경위를 집중 질의했다

신 의원은 “퇴직자 권한 차단 후에도 키가 살아 있었다는 것은 내부 통제 시스템의 근본적인 실패”라고 지적했다.

이에 박대준 쿠팡 대표는 “유출된 키를 활용해 접속한 것으로 보인다”며 “구체적인 유출 방식은 조사 중이라 추측만 가능하다”고 답변했다.

신 의원은 쿠팡이 과거 SKT, KT 등 대규모 정보 유출 사태 이후 자체적인 보안 검토를 진행했음에도 불구하고, 이번 사건의 취약점을 전혀 찾아내지 못했다고 비판했다.

신 의원은 “200명 규모의 보안 조직이 리뷰하고 점검했음에도 유출 사실을 알지 못했다는 것은 귀하 조직의 무능력함을 입증하는 것 아니냐”고 몰아세웠다. 이는 기업들이 정보보호 조직 규모만 키울 뿐, 실질적인 위험 예측과 방어 투자에는 소홀했다는 비판을 뒷받침하는 대목이다. 쿠팡의 작년 보안 투자액 890억원으로 매출(41조원) 대비 0.2%에 불과하다.

이에 국가 안보차원에서 이번 사태를 대응해야 한다는 주장도 제기됐다.

배경훈 과학기술정보통신부 부총리 겸 장관은 “정부 차원에서의 국가안보에 대한 사이버안보 컨트롤타워가 필요하다고 생각한다”며 필요성에 공감을 표명했다.

배 장관은 현재 국가안보실 중심으로 범부처 대응 체계가 운영 중이며 국정원과 과기정통부가 긴밀히 협조하고 있다고 설명했다.

배 장관은 “지난 10월 발표한 1차 사이버안보 종합대책을 마련했고, 이달 중 조속히 2차 대책을 발표해 민간 및 공공 영역의 사이버 대응 체계를 대폭 강화하겠다”고 약속했다.

쿠팡은 지난달 29일 고객계정 약 3370만개가 무단으로 노출된 사실을 인지했다고 공지했다. 유출된 정보는 고객 이름, 이메일 주소, 배송지 주소록, 일부 주문 정보 등이 포함됐다. 쿠팡은 결제정보와 로그인 정보 등은 유출 대상에 포함되지 않았다고 설명했다.