입법조사처, ‘쿠팡 국정조사’ 5대 쟁점 제시

[디지털투데이 손슬기 기자] 쿠팡 대규모 개인정보 침해 사태에 대한 국정조사에서 밝혀져야 할 주요 쟁점이 제시됐다. 국민 65%에 달하는 개인정보가 권한 없는 자에게 노출된 만큼 내부 통제 시스템의 구조적 결함을 규명해야 한다는 지적이다.

2일 국회입법조사처는 '쿠팡 국정조사 관련 개인정보 침해 쟁점' 보고서를 발간하고 국정조사가 열릴 경우 중점 점검해야 할 5대 쟁점을 제시했다.

입법조사처에 따르면 엄격히 관리돼야 할 내부자 전용 토큰 서명키가 담당자 퇴직 이후에도 유효하게 작동했다. 이는 전사적 내부 통제 프로세스에 구조적 결함이 있을 가능성을 시사한다는 게 입법조사처 분석이다.

입법조사처는 이에 따라 국정조사에서 ▲퇴사자 실시간 접근 권한 회수 절차 ▲실시간 탐지·차단 체계 정상 작동 여부 ▲유사한 무단 접근 추가 발생 가능성 등을 집중적으로 확인해야 할 것으로 봤다.

쿠팡이 사고 대응 과정에서 보인 행보도 비판 대상이다. 3370여개 계정에 대한 비정상적 접근이 확인됐음에도 '유출'이라는 표현을 회피하며 소극적으로 통지한 의사결정 구조를 밝혀야 한다는 것이다.

유출자가 활성 정보뿐 아니라 탈퇴 회원 등 비활성 정보에도 별다른 제약 없이 접근했을 가능성도 쟁점이 될 전망이다. 입법조사처는 쿠팡 개인정보 데이터베이스(DB) 관리 방식이 적정했는지 여부를 중점 점검 항목으로 꼽았다.

수사가 진행 중인 상황에서 쿠팡이 독자적으로 유출자를 특정하고 자체 포렌식을 실시한 배경에 대해서도 정당성 규명이 요구된다. 정부나 수사기관이 쿠팡 자체 조사 결과와 동일한 원본 자료를 확보하고 있는지 확인이 필요하다는 지적이다.

피해 보상 방식 비판도 거세다. 쿠팡은 계열사 서비스 이용을 전제로 한 '구매이용권' 지급 방식을 택했는데, 이를 원치 않거나 서비스를 이미 탈퇴한 피해자에 대한 별도 배상 계획이 있는지 점검하라는 제언이다.

입법조사처는 "개인정보 침해가 일상화되는 시각이 고착화되면 대규모 개인정보 유출의 반복이 구조적으로 용인될 수 있다"며 "이를 차단하기 위한 분명한 대응이 필요하다"고 강조했다.