쿠팡 개인정보 유출 조사 논란: 데이터, 조사 범위, 정부 개입

2025년 12월 26일 현재, 쿠팡의 대규모 개인정보 유출 사건과 그에 따른 사후 조사가 논란의 중심에 서고 있다. 동아일보 등 복수의 매체를 종합하면, 쿠팡은 고객 3370만 명 개인정보 유출 사태와 관련해 12월 25일 자체 조사 결과를 일방적으로 발표했고, 12월 26일에는 “자체 조사가 아니라 정부의 지시에 따라 긴밀히 협력한 조사였다”고 재차 밝혔다. 하지만 실질적으로 지시를 내린 정부 부처는 어디인지, 조사 주체의 독립성과 결과의 신뢰성이 객관적으로 확보됐는지에 대한 의구심은 해소되지 않았다. 쿠팡에 따르면 이 사태의 경위는 이렇다. 12월 1일 정부와 처음 협력 의사를 밝혔고, 12월 9일 정부가 유출자와의 직접 접촉을 제안했으며, 14일에는 실제로 유출자를 접촉해 회유와 보고가 이뤄진 것으로 공개했다. 이어 16일에는 유출자의 개인 PC 및 하드디스크를 회수했고, 18일에는 잠수부를 통해 중국 하천에서 유출자의 노트북을 추가로 수거했다고 한다. 쿠팡이 이날 공개한 일부 사진과 영상 외에도, 데이터 유출 범위(특히 저장 계정 수)와 유출 본체 데이터의 회수 완결성, 외부 이관 가능성에 대한 확실한 증거는 불충분한 상황이다.

정부 각 기관의 공식 입장은 상이하다. 경찰은 본 건과 조사 과정에서 무관함을 신속히 밝혔다. 과학기술정보통신부(과기정통부)는 쿠팡의 일방적 발표와 조사가 국가기관의 공식 발표가 아니라고 선을 그었다. 또한, 쿠팡의 조사 범위와 방법, 범행 도구의 확보 경위 등 결정적 쟁점이 명확한 정부의 직접적 관여 없이 사실상 쿠팡의 주도로 이뤄졌음을 시사했다. 국가정보원은 쿠팡에 아무 지시를 내리지 않았다고 공식 부인했다. 단, 대규모 외국인에 의한 정보유출 위협에 따라 관련 정보 수집·분석에 국정원이 협의적으로 참여했다는 입장을 내놨다. 복수의 정부부처가 동시다발적으로 ‘주체 없다’는 입장을 취하는 것은 본 사건의 책임소재와 대응체계에 명확한 공백이 있다는 의미로 해석할 수 있다.

기술적·데이터 중심 쟁점의 핵심은 두 가지로 요약된다. 첫째, 쿠팡이 주장한 ‘3000개 계정’만 저장되었다는 해명에 대한 불신이다. 실제로 유출자가 약 5개월간 여러 차례 3,370만 명의 개인정보에 접근했다는 점이 타 언론, 전문가 진술, 공개된 디지털 포렌식 기록 등을 통해 확인됨에도, 실질적으로 저장된 데이터가 3000여 건에 불과했다는 주장에는 다수 전문가가 의문을 표명했다. 고려대 이상진 교수는 “장기간 반복적으로 데이터베이스에 접속한 기록이 있음에도 단 몇 천 건만 저장했다는 설명은 매우 이례적”이라고 밝혔다. 쿠팡 측은 유출 범위를 기관·포렌식 법인(맨디언트, 팔로알토 네트웍스, EY) 분석에 의존했고, 이들 포렌식 전문기업에 대한 조사 의뢰 주체 역시 쿠팡이라는 점에서 조사 결과의 독립성에도 한계가 있다는 비판이 따라붙는다. 실제 분석 범위가 유출자가 자발적으로 제출한 일부 기기로 한정되면서, 클라우드·이메일·외부저장장치 경유 데이터 이동 등 일체의 확장경로에 대해선 실효성 있는 검증이 사실상 불가능하다. 동국대 황석진 교수는 “임의 제출 기기의 포렌식만으로 전체 유출 데이터가 회수됐다고 단정짓는 건 기술적으로 성급하며, 외부 저장이나 추가 복제 가능성을 완전히 배제할 수 없다”고 짚었다. 범죄 수사 및 데이터 유출 사후조치에서 임의 제출의 한계는 국제적 기준에서도 지적되어 왔다.

둘째, 쿠팡과 정부의 알력에 따라 국민 혼란 및 신뢰도 저하 현상이 감지되고 있다. 쿠팡은 처음에 자체 조사를 발표함으로써 불필요한 불안을 조성했다고 시인했지만, 실질적으로는 모든 과정에서 정부 조사가 아닌 쿠팡의 발표에 의존했다. 과기정통부, 경찰, 국정원 모두 공식적 개입 경로에서 자신들의 역할을 부정하거나 제한적으로 해석했다. 이는 사실상 민간기업의 내부 조사에 의존해서 대규모 개인정보 유출의 진상을 밝히는 모순적 상황을 상징한다. 이로 인해 3370만 명 개인정보 보유 기업의 보안, 책임, 사후조치에 대한 국민적 불신이 더욱 가중된다. 특히 강제 수사 의지가 취약한 흐름, 기업의 책임 전가 태도, 조사주체의 불투명성은 향후 동일 유형의 유출 사건 대응에 심각한 제도적 허점을 남긴다.

업계 관심사는 실질 보상방안이다. 쿠팡은 조만간 별도의 보상안을 공식 발표한다고 예고했다. 국회 청문회(12월 30~31일)를 앞두고 모든 고객을 대상으로 하는 대규모 보상 정책이 주말 내 제시될 개연성이 커졌다. 최근 국내외 유사 보상사례(예: 2023년 NHN, 2024년 KT 등)와 단순 비교해도, 대규모 집단고객 대상 사고에 있어서 기업의 조사투명성·정부 감독·보상 프로토콜 확립이 미흡하다는 지점이 반복되고 있다.

결국, 각종 데이터로 요약되는 쟁점들은 다음과 같다. (1) 접근계정 수 3,370만(쿠팡 기준 고객 DB), (2) 실 저장 계정 3,000여 건(쿠팡 및 외주포렌식 기준), (3) 조사 후 데이터, 기기 회수 지점(PC, HDD, MacBook 등), (4) 정부기관의 개입 부정 및 발표 책임 부재, (5) 보상안 미공개 상태. 통계적, 제도적 측면에서 쿠팡 사태는 한국 ‘데이터 주권’ 문제와 기업-국가 책임소재의 모호함을 동시에 드러낸다. 향후 국회 청문회와 보상안 발표 결과에 따라 전체 사태의 법적, 제도적 여파의 방향성과 전국 단위 소비자 신뢰 회복 여부가 결정될 전망이다.

— 정우석 ([email protected])