쿠팡이 개인정보 유출 사고 발생 후 고객들을 상대로 피해 사실을 공지하고, 경영진 명의 사과문을 게재하는 동안 '유출(流出)'이라는 단어는 언급하지 않았다. 대신 '무단 접근' '노출' '비인가 접근' 등의 표현을 쓰고 있다. 전문가들 사이에선 쿠팡이 의도적으로 유출이라는 단어를 피해 내부통제 관련 법적 책임을 최소화하고 있다는 분석이 나온다.
2일 관련 업계에 따르면 쿠팡은 최근 발생한 개인정보 유출 사고 이후 대외적으로 유출이라는 단어를 한 번도 언급하지 않았다. 쿠팡은 지난달 30일 박대준 대표 명의로 약 600자 분량의 사과문을 발표하면서도 "무단 접근"이 발생했다고 설명했다. 피해 사실 공지나 입장문에도 유출이라는 단어는 등장하지 않는다.
앞서 쿠팡은 지난 18일 4500명 고객 정보 유출을 처음 인지하고, 20일 관련 사실을 공지하며 "비인가 접근"이라는 단어를 사용했다. 이후 후속 조사 과정에서 3370만명 정보가 샜다는 것이 알려지고, 29일과 30일 추가 공지에선 "무단 노출"된 것이 확인됐다고 밝혔다.
언뜻 보기에는 비슷한 용어처럼 보인다. 그러나 법적 의미와 효과는 다르다는 게 법조계 설명이다. 어떤 단어를 쓰는지에 따라 사고가 관리 부실로 통제권이 완전히 깨진 유출인지, 아니면 통제권은 유지된 상태에서 우발적으로 공개된 노출인지 판단이 달라지기 때문이다.
개인정보보호위원회 규정과 정보통신망법 등에 따르면 '개인정보 유출(또는 누출)'은 개인정보가 정보 처리자의 관리·통제권을 벗어나 제3자가 인지할 수 있는 상태를 말한다. 반면 '노출'은 통제권 상실 여부와 무관하게, 별도의 해킹이나 공격 없이 데이터가 공개된 상태를 더 포괄적으로 의미한다.
최경진 가천대 법학과 교수는 "외부에선 유출로 보고 있지만, 쿠팡에선 자신들이 통제한 상태에서 발생한 사고, 즉 노출로 인지하고 있다"며 "유출과 노출을 이분법적으로 나누기는 복잡하지만 굳이 따지자면 노출은 우발적인 사고에 가깝다"고 말했다.
예를 들어 홈페이지 개발 도중 담당자의 실수로 개인정보가 대중들에 잠깐 공개되는 경우가 노출에 해당한다. 이메일을 보내는 과정에서 전체 받는 사람(수신자) 리스트 숨김 처리하는 것을 깜빡해 불특정 다수의 이름과 이메일 주소가 공개되는 것도 노출이라고 볼 수 있다.
향후 조사 결과는 지켜봐야 하겠지만, 외부 침입 등 해킹보다는 내부자 소행일 가능성에 무게가 실리고 있다. 쿠팡에서 일하던 중국 국적의 전 직원이 퇴사 후 수개월에 걸쳐 정보를 빼돌렸다는 정황이 드러나는 가운데, 회사 측이 기술적·관리적 조치 등 통제가 부실했다는 점에 대해서는 말을 아끼는 셈이다.
일각에선 쿠팡이 정보가 노출된 사실은 확인했지만, 이후 외부로 유출됐는지 등 피해 상황을 구체적으로 파악하지 못했을 것으로 해석하기도 했다. 구태언 법무법인 린 변호사는 "내부자가 정보 접근은 했지만 외부로 유출됐는지 불분명한 상황이라면 이용자 불안을 가중시킬 수 있어 '유출'로 단정하는 게 오히려 사실이 아닐 수 있다"고 말했다.
구 변호사는 "집에 외부인이 들어와 서류를 열람했지만 외부로 복사해 가져갔는지 불분명한 상황에 비유할 수 있다"며 "서버에 접속하고 정보 열람 명령을 내렸으나 열람된 정보가 파일 형태로 외부로 전송됐는지 파악이 안 된 경우라면, 현 단계에서 취할 수 있는 입장"이라고 덧붙였다.
박대준 쿠팡 대표는 이날 오전 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의 현안 질의에서 사고 이후 '유출'이 아닌 '노출'이라는 표현을 썼다는 지적에 대해 "어떤 책임을 모면하려는 의미는 아니었다"며 "생각이 부족했던 것 같다"고 했다.