서울 시내의 주차장에 쿠팡 배송트럭이 주차돼 있다. 뉴스1

3370만명의 개인정보가 유출된 쿠팡의 후속 대처에 대한 불만이 커지고 있다. 해외 직구를 위한 개인통관고유부호(통관번호), 공동 현관 비밀번호 등 주문정보 유출 여부에 묵묵부답으로 일관하고 있어서다. 글로벌 테크 기업을 표방하던 쿠팡의 민낯이 드러났다는 반응과 함께 ‘김범석 책임론’이 불거지고 있다.

대구의 한 쿠팡 이용자가 비밀번호를 변경하고 있다. 뉴스1

1일 X(옛 트위터)와 인터넷 커뮤니티 등에는 쿠팡과 쿠팡이츠, 쿠팡플레이를 탈퇴했다는 인증샷이 이어졌다. “남들 다 받은 정보 유출 공지를 이제야 받았다. 피해자 확인도 제때 안 되는 건가”, “지금은 쿠팡이 부인하지만 결제 정보, 신용카드 번호 등도 유출됐을 수 있다”, “집 주소 털린 게 제일 무섭다”는 비판도 함께 쏟아졌다. 정보를 유출한 중국 국적 전 쿠팡 직원이 정보를 제3자에게 넘겼을 경우 피해 범위가 일파만파로 커질 수 있다는 공포감도 크다.

그럼에도 현재 쿠팡 고객센터에 공동 현관 비밀번호 등의 유출 여부를 문의하면 쿠팡은 “조사가 진행 중이라 알기 어렵다”는 답변으로 일관해 고객들은 자신의 어떤 정보가 유출됐는지 정확히 알 수 없다. 피해 보상에 대해서도 말을 아낀다. 박대준 쿠팡 대표는 전날 사과문을 발표하며 “현재는 피해 범위와 유출 내용을 확정하고 재발 방지 대책을 수립하는 게 먼저”라며 “그 이후 피해에 대한 합리적 방안을 수행할 수 있을 것”이라고 말했다.

정보기술(IT) 업계에 따르면 이번에 유출된 쿠팡 고객 계정 중엔 약 900만 건의 휴면·탈퇴 계정도 포함된 것으로 추정된다. 개인정보보호법상 파기하거나 별도 처리해야 하지만, 쿠팡이 활성화된 계정 정보와 함께 마케팅 활용 등의 목적으로 보관해뒀다가 유출 대상에 포함됐을 가능성이 제기된다. 쿠팡에 따르면 탈퇴한 계정 정보도 쿠팡이 5년간 보관한다.

서울 송파구에 위치한 쿠팡 본사. 뉴스1

막대한 기술 투자를 자랑했던 쿠팡이 내부 보안 관리엔 허술하기 짝이 없었던 사실이 드러나면서 쿠팡 창업자이자 실질적 오너인 김범석 쿠팡 Inc. 이사회 의장 책임론은 더 커질 전망이다. 김 의장이 국내 전문경영인에게 맡겨두고 물러나 있을 상황이 아니라는 비판이다.

국회 과학기술정보방송통신위원회 소속 최민희 의원실(더불어민주당)에 따르면 개인정보 유출자는 쿠팡을 퇴사하고도 서버에 접속해 고객 정보에 접근할 수 있었다. 시스템 접근 시 사용하는 일종의 출입증(인증 토큰)이 퇴사 후에도 폐기되지 않고 방치됐을 가능성이 있다. 향후 수사에서 확인돼야 할 부분이다. 염흥열 순천향대 정보보호학과 교수는 “기업이 퇴사한 직원의 계정과 접근 권한을 폐기하는 것은 당연한 일”이라며“이를 방치하는 것은 상식적으로 이해하기 어렵다”고 말했다.

지난 2022년 7월 김범석 쿠팡Inc 의장이 선밸리콘퍼런스에 참석했다. 사진 쿠팡, 게이티이미지코리아

특히 그동안 쿠팡이 김 의장의 공정거래법상 동일인(기업 집단 총수) 지정 제외 문제를 비롯해 ‘미국 기업이니 예외’를 요구하며 사업을 키운 방식에 대한 비판이 거세다.

국내 대기업집단의 대주주 등이 총수로 지정되면 사익편취 금지와 친·인척 자료 제출 등 각종 의무가 생기는데 김 의장은 4년 넘게 이런 규제에서 벗어나 있다. 2023년까지는 김 의장 국적이 미국이고 쿠팡 모회사인 쿠팡Inc.가 미국 법인이라는 게 방패가 됐다. 당시 쿠팡은 한미 자유무역협정(FTA)의 최혜국 대우 규정에 어긋날 수 있어 통상 마찰 가능성이 있다는 점을 앞세워 방어했다.

그러다 지난해부터는 ‘친족이 국내 계열회사에 출자하거나 임원으로 재직하는 등 경영에 참여하지 않을 경우 대주주 개인을 동일인으로 지정하지 않을 수 있다’고 개정된 공정거래법 시행령의 예외 조건을 적용받아 총수 지정에서 제외됐다.

이에 재계에선 김 의장이 쿠팡에 미치는 영향력이 절대적이고 국내 유통 시장을 잠식하는 대기업인데도, 쿠팡만 규제에서 빠진 모양새라 국내 기업들이 역차별 받는다는 불만이 컸다. 이봉의 서울대 법학전문대학원 교수(플랫폼정책학회장)는 “정보유출 사태로 김 의장의 소극적 대응에 대한 불만이 확산하며 동일인 제도 문제가 불거지고 있다”고 말했다.

민감한 개인정보를 대량 보유한 쿠팡에서 정보 유출 사고가 반복된 원인으로 ‘솜방망이 처벌’이 거론되자, 대통령실은 징벌적 손해배상제를 강화하는 방안을 검토하겠다고 밝혔다. 개인정보 유출 발생 시 기업의 배상 대상과 범위를 대폭 확대하겠다는 것이다.

이날 강훈식 대통령비서실장은 수석보좌관 회의에서 “징벌적 손해배상 제도가 사실상 작동하지 않고 있어 대규모 정보 유출 사고를 막는 데 한계가 있다. 기업의 책임이 명백한 경우에는 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 말했다. 또 “데이터가 기업 경쟁력 핵심이 된 시대에 겉으로는 엄격한 보호조치를 내세우면서, 관리 체계는 뒷문이 열려 있는 형국“이라며 과학기술정보통신부와 개인정보보호위원회에 “근본적 제도 보완, 현장점검 체계 재정비, 기업 보완 역량 강화 지원책 등을 신속하게 보고하라”고 지시했다.