쿠팡, "개인정보 '유출'"로 재공지했어도 규모 논란은 여전

[아이뉴스24 송대성 기자] 쿠팡의 개인정보 유출 사고를 수사 중인 정부와 경찰이 "쿠팡의 개인정보 유출이 3000만건 이상"이라는 입장을 줄곧 고수하는 가운데, 유출 규모를 놓고 쿠팡과 이견은 지속되며, 그 배경이 주목받고 있다.

경찰은 26일 쿠팡에서 유출된 개인정보가 계정 기준 3000만 건 이상으로 파악했다고 밝혔다. 지난 21일 개인정보보호위원회 송경희 위원장도 "현재까지 3000만명 이상의 개인정보가 유출된 사실이 확인됐다"고 말했다.

지난해 말 열린 쿠팡 연석 청문회에서 범정부 TF를 이끄는 배경훈 부총리도 "쿠팡 유출은 3000건이 아닌 3300만 건 이상"이라고 강조한 바 있다. 최근 한달 사이 범정부 차원에서 "쿠팡의 유출 규모는 3000건이 아니라 3000만 건"이라고 거듭 강조해온 셈이다.

이같이 정부의 입장이 연달아 나온 배경엔 쿠팡이 지난 12월 25일 공개한 자료가 논란이 됐기 때문으로 풀이된다. 당시 쿠팡은 "유출자가 3300만 고객 정보에 접근했지만, 약 3000개 계정만 자신의 PC 하드 드라이브에 저장했다"며 "공동현관 비밀번호 2609개를 포함해 3000개 계정만 피의자가 자신의 하드 드라이브에 저장했지만 이를 삭제했다"고 했다. 피의자의 진술 주장과 포렌식 조사 결과라고도 했다.

이에 쿠팡이 외부 하드드라이브 기준으로 '저장'했다는 대목이 여러가지 이유에서 정치권과 정부에서 언급하는 '유출의 기준'으로 와전된 것 아니냐는 해석으로 연결된다.

더욱이 쿠팡의 지난해 말 발표 내용엔 "3370만명이 아니라 '3000명 계정만 유출됐다'"는 명시적 내용이 없다. 업계 관계자는 "쿠팡의 입장문은 이용자들의 '2차 피해'가 없다는 주장이 담긴 입장문으로, 소비자 피해 측면에서 우려를 잠재우고 향후 조사나 과징금 발표 등에 대응하기 위한 포석 아니겠느냐"고 봤다.

개인정보보호위원회 고시(25조)는 '개인정보의 유출'에 대해 "개인정보가 해당 개인정보처리자의 관리와 통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것"이라 설명한다.

앞서 쿠팡은 3370만 명에 대한 개인정보 사고 발생 공지에 '유출'이 아닌 '노출'이란 표현을 써 국회와 정부로부터 '개인정보 유출'로 재공지하라는 주문을 받았다.

쿠팡은 12월 6일부터 3370만 고객들에게 '개인정보 유출사고 재안내'란 제목으로 "쿠팡은 이번 유출을 인지한 즉시 관련 당국에 신속하게 신고했고, 조사에 적극 협력하고 있다"는 내용의 문자를 보내고 앱에도 공지했다. 이메일이나, 성명, 전화번호 등 개인정보가 단지 '노출'된 것이 아니라 '유출'됐다라는 점을 공식적으로 밝힌 것이다. 다만 유출된 규모가 정부의 발표대로 3370만 계정이냐, 3000여 계정에 불과한 것이냐는 여전히 정리가 되지 않은 채 국민적 혼란을 부르는 대목으로 남아 있다.

이에 대해 보안업계 관계자는 "애당초 쿠팡이 '유출'과 '접근' 등의 개념 정의에 대해 분명하게 발표했어야 한다"며 "애매모호한 표현이 부적절한 확대 해석을 낳은 요인으로 작용한 것 같다"고 말했다.