유출 시점 6월 24일~11월 8일 정황 파악…2차 피해 우려
박 대표, 자료 제출 거부에 대해 “영업비밀·경찰 조사 중”
정부 “징벌적 손해배상 등 강력한 사후 책임 묻겠다”
 |
| ▲2일 국회에서 열린 쿠팡 개인정보 유출 관련 현안질의에 참석한 박대준 쿠팡 대표(왼쪽), 브랫 매티스 쿠팡 정보보호책임자(오른쪽) ⓒ뉴시스 |
국회 과학기술정보방송통신위원회(과방위)가 3,370만 명의 개인정보가 유출된 ‘쿠팡 사태’에 대해 여야를 막론하고 강하게 비판했다.
2일 국회에서 열린 쿠팡 개인정보 유출 관련 현안질의에는 박대준 쿠팡 대표, 브랫 매티스 쿠팡 정보보호책임자(CISO), 이정렬 개인정보보호위원회 부위원장, 류제명 과학기술정보통신부 2차관 등이 참석했다.
여야 의원들은 김범석 쿠팡Inc 이사회 의장이 직접 사과하지 않은 점을 문제 삼았다.
첫 질의에 나선 이훈기 의원은 “3300만 개 계정의 개인정보가 유출됐다. 국내 사상 초유의 사고”라며 “확장에만 집중한 쿠팡이 보안에 얼마나 소홀했는지 국민 모두가 느꼈을 것”이라고 비판했다. 또 “김 의장이 직접 사과할 의향이 없느냐. 항상 뒤에 숨어 있다”라고 지적했다.
이에 박 대표는 “한국 법인에서 벌어진 일로서 제 책임하에 있다”라며 다시 사과했다. 그는 “이 사건 전체에 대한 책임은 제가 지고 있으며, 한국 법인 대표로서 사태가 수습될 수 있도록 최선을 다하겠다”라고 말했다.
앞서 박 대표가 ‘회사 비밀’을 이유로 국회 자료 제출을 거부한 데 대해 의원들의 질타도 이어졌다. 그는 자료 제출 요구가 동시다발적으로 몰려 “물리적으로 준비가 어려웠다”라고 답했으나 회피성 대응이라는 지적이 나왔다.
의원들이 요구한 자료에는 △보안 관제 보고서 △시스템 취약점 점검 결과 △개인정보 접속 기록 점검 △2025년 침해사고·해킹 방어 훈련 보고서 등 쿠팡의 핵심 보안 체계 관련 문건이 포함된 것으로 알려졌다.
최형두 의원은 “(쿠팡 개인정보 유출은) 이용자 입장에서 하루아침에 공습 경보를 들은 것과 같다”라며 “피해 사실 확인과 방어·대응책 마련을 위해 자료 제출을 서둘러야 한다”라고 촉구했다.
정부 설명에 따르면 유출 공격은 올해 6월 24일부터 11월 8일까지 이어진 것으로 파악됐다.
류 차관은 “지난해 7월부터 올해 11월까지 전수 로그 분석을 실시한 결과 3000만 개 이상 계정에서 개인정보가 유출됐다”며 “공격 식별 기간은 2023년 6월 24일부터 2024년 11월 8일까지”라고 설명했다.
이어 “공격자는 로그인 절차 없이 고객정보에 비정상적으로 반복 접근해 정보를 유출했다”라며 “이 과정에서 쿠팡 서버 접속에 활용되는 인증용 토큰을 전자서명하는 암호키가 사용됐다”라고 밝혔다.
한편 이재명 대통령은 이날 국무회의에서 쿠팡 개인정보 유출 사태와 관련해 “철저한 진상규명과 더불어 징벌적 손해배상제 등 강력한 사후 책임을 묻겠다”라는 방침을 밝혔다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[구혜영 칼럼] 마음먹은 만큼 행복하다](/news/data/2025/12/01/p1065588186525220_542_h.png)
![[윤창원 칼럼] 난경(難境)이 곧 시경(試境)](/news/data/2025/11/28/p1065571403155795_758_h.png)
