사과문 내린 쿠팡, 보안 투자 매출의 0.2%…국회 “총체적 실패” 질타

by김현아 기자
2025.12.02 14:08:55

[이데일리 김현아 기자] 3370만 명의 개인정보가 유출된 쿠팡 사태와 관련해 국회 과학기술정보방송통신위원회가 2일 현안질의를 열고 쿠팡에 대한 강도 높은 질타를 이어갔다.

이날 과방위 회의에는 박대준 대표이사와 브랫 메티스(Bret Matthes) 최고정보보호책임자(CISO)가 참석했다. 정부 측에서는 류제명 과학기술정보통신부 제2차관이 대응 방향을 설명했다.

박대준 쿠팡 대표가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의에 출석, 질의에 답변하고 있다. 오른쪽은 오른쪽은 브랫 매티스 쿠팡 CISO. 이날 과방위는 쿠팡의 대규모 개인정보 유출 사태에 대해 긴급 현안질의를 진행했다.(사진=노진환 기자)

더불어민주당 한민수 의원은 쿠팡이 사과문을 게시한 뒤 이틀 만에 홈페이지와 모바일에서 모두 삭제한 점을 집중 추궁했다.

박대준 대표는 “배너 공지와 팝업 공지로 제공했으며 기간 종료 후에는 이메일 안내를 준비 중이었다”고 설명했지만, 한 의원이 “지금은 그 공지조차 찾을 수 없다”고 지적하자 “더 세심하게 신경 쓰겠다”고 짧게 답했다.

더불어민주당 황정아 의원은 쿠팡이 미국 증권거래위원회(SEC)에 제출한 보고서에 ‘내부자 유출 가능성’을 여러 차례 명시해 온 점을 들어 “취약성을 스스로 알고도 실질 조치를 하지 않았다면 미필적 고의로도 볼 수 있다”고 비판했다.

황 의원은 개인정보보호법의 징벌적 손해배상 제도가 10년간 단 한 차례도 인정된 적이 없다며, “고의·중과실 추정을 위한 구체적 요건을 법에 규정해야 한다”고 요구했다.

이에 류제명 차관은 “현행 제도가 현실을 충분히 반영하지 못하고 있다”며 전면 개편 의사를 밝혔다.

더불어민주당 노종면 의원은 쿠팡이 피해 안내 문자에 링크를 삽입한 점을 문제 삼았다.

노 의원은 “이 상황에서 스미싱 조직이 쿠팡을 사칭하면 국민들이 더 쉽게 속을 것”이라며 “본인조차 쿠팡 문자가 진짜인지 확신이 안 돼 링크를 열지 못했다”고 말했다.



또 쿠팡이 ‘유출’ 대신 ‘노출’이라는 용어를 반복 사용한 점에 대해 “법적 개념상 ‘유출’만 처벌 대상인데 ‘노출’이라는 표현은 축소 효과가 있다”며 “의도적 표현 선택 아니냐”고 지적했다.

국민의힘 최수진 의원은 쿠팡의 반복된 보안 사고를 거론하며 “이번이 네 번째 사고”라고 강조했다.

최 의원은 “장기간 유출이 이뤄졌는데도 내부 관제 시스템이 전혀 탐지하지 못했고, 소비자 협박 메일을 받고 나서야 유출 사실을 인지했다”며 “보안 시스템이 사실상 작동하지 않은 것”이라고 비판했다.

또 “쿠팡의 보안 투자액 890억 원은 매출 대비 0.2%에 불과하다”며 “절대 규모가 아니라 이용자 규모와 매출 대비 비율이 중요하다. 이 수준은 턱없이 낮다”고 지적했다.

ISMS-P 인증을 유지하고도 사고가 이어지는 데 대해 “사실상 마케팅용으로 활용된 것 아니냐”고 추궁했다.

류 차관은 “국감 지적 사항을 반영해 ISMS-P 제도 전면 개편안을 검토 중”이라고 밝혔다.

개인통관고유번호 유출 관련 제보가 나오고 있다는 지적에 대해 박대준 대표는 “현재까지 조사에서는 유출되지 않은 것으로 알고 있다”고 답했다.

그러나 최 의원은 “해외에서 승인하지 않은 물품이 해당 번호로 통관된다면 국가 전체의 안전 문제”라며 재확인을 요구했다.

노종면 의원 등은 정부가 초기 신고 4536건만 보고 민관합동조사단 구성 시점을 늦춘 점, 한국인터넷진흥원(KISA)과 개인정보보호위원회 간 협업 구조의 한계도 지적했다. 류 차관은 “KISA와 긴밀히 공조하고 있으며 제도 개선을 마련하고 있다”고 설명했다.