쿠팡의 대규모 개인정보 유출 사태를 다루기 위한 국회 과학기술정보방송통신위원회(과방위) 청문회가 17일 열린 가운데, 김범석 쿠팡Inc 의장과 박대준·강한승 쿠팡 전 대표 등 핵심 증인이 출석하지 않으면서 논의가 진전되지 못했다.

청문회는 책임 소재와 피해 대책을 점검하려는 목적이었지만, 쿠팡 측은 한국어 의사소통이 원활하지 않은 외국인 임원들을 핵심 증인으로 내세워 제대로 된 질의가 이뤄지지 못했다. 국회 정무위원회(정무위)는 국회 증언·감정 법률 위반(불출석) 혐의로 쿠팡 창업주인 김 의장을 고발하기로 의결했다.

17일 국회 과학기술정보방송통신위원회 청문회에 출석한 해롤드 로저스 쿠팡 임시 대표이사. /민영빈 기자

과방위는 이날 서울 여의도 국회에서 쿠팡 개인정보 유출 사고 진상 규명을 위한 청문회를 열었다. 증인으로 채택된 김 의장과 박 전 대표, 강 전 대표는 모두 불출석했다. 대신 해롤드 로저스 임시 대표, 브랫 메티스 최고정보보호책임자(CISO), 김명규 쿠팡이츠 대표, 민병기 쿠팡 대외협력 총괄 부사장, 조용우 쿠팡 국회·정부 담당 부사장 등 5명이 증인석에 앉았다.

쿠팡을 대표해 출석한 로저스 임시 대표는 "국민 여러분께 심려와 우려를 끼쳐드려 사과드린다"고 했다. 그러나 의원들이 김 의장의 불출석 이유에 대해 집중적으로 질의하자 "제가 한국 쿠팡의 대표자"라며 즉답을 회피하는 태도를 보였다.

로저스 임시 대표는 개인정보 유출 사태와 관련해 책임감 있는 보상안을 마련해 발표하겠다는 원론적인 입장을 밝혔다. 그는 "현재 여러 규제 기관들의 조사에 성실히 부응하고 있고, 협력해 상황을 파악하는 중"이라고 했다. 그러면서 "조사 결과와 함께 책임감 있는 보상안을 마련해 발표하도록 하겠다"고 덧붙였다.

그는 이번 정보 유출 사태 최초 공지에서 '유출'이 아닌 '노출'이라는 표현을 사용한 이유를 묻는 질의에는 "처음 발표하던 당시에는 기술적으로 이번 건은 노출이라고 봐서 그렇게 공지했다"며 "구체적인 내용을 확인한 이후에는 유출로 표현을 정정했다"고 답변했다.

로저스 임시 대표는 이재명 대통령의 '기업 과태료 현실화' 발언에 대해 인지하고 있으며, 기대에 부응하겠다고 밝혔다. 앞서 이 대통령은 지난 9일 쿠팡을 거론하며 기업에 부과하는 과태료를 현실화할 방안을 찾으라고 지시했다. 12일 개인정보보호위원회 업무보고에서도 중대한 개인정보 유출 사고가 반복적으로 발생한 경우 과징금을 '3개년 매출액 평균의 3%'가 아닌 '3개년 중 매출이 가장 높은 년도 매출액의 3%'로 부과하도록 시행령 기준을 개정하라고 지시한 바 있다.

로저스 임시 대표는 이에 대해 "대통령의 발언을 인지하고 있으며, 번역본을 보면서 관련 내용을 파악했다. 쿠팡은 책임 있는 기업으로서 이 상황에 요구되는 모든 내용에 부응해 대처하겠다"고 말했다. 이어 "상황을 심각하게 받아들이고 있다. 오늘 이 자리에서든 규제기관에서 갖고 있는 우려와 관련해서든 언급되는 부분을 해결하기 위해 최선의 노력을 다하겠다"고 덧붙였다.

17일 국회 과학기술정보방송통신위원회에서 열린 쿠팡 침해사고 관련 청문회에 출석한 브랫 매티스 쿠팡 CISO가 의원 질의에 답변하고 있다. /연합뉴스

이날 청문회에서는 개인정보 유출 사태의 배경으로 지목된 전 직원과 관련한 질의도 나왔다. 로저스 임시 대표는 "(전 직원의) 퇴사 당시 모든 접근 권한을 회수했지만, 해당 인물이 정보를 빼돌려 결국 한국 국민들에게 피해가 발생했다"고 밝혔다.

그는 또 "사건 인지 직후 서명 키를 즉시 완전히 폐기해 추가적인 활동이 불가능하도록 조치했다"며 "현재 경찰과 긴밀히 공조하며 신병 확보를 추진하고 있고, 합당한 처벌이 이뤄지도록 최선을 다하고 있다"고 말했다.

이와 관련해 브랫 매티스 정보보호최고책임자(CISO)는 "해당 직원은 재직 중 자신에게 부여된 키를 무단으로 탈취한 것"이라며 "퇴사와 동시에 시스템 접근은 모두 차단됐지만, 이미 탈취한 키를 이용해 접근 토큰을 생성했다"고 설명했다. 이어 "이를 통해 본인이 고객인 것처럼 위장해 개인정보에 접근할 수 있었던 것"이라고 덧붙였다.

쿠팡은 이날 대만 쿠팡이 사용 중인 선진 인증 방식 '패스키(passkey)'를 내년 상반기까지 국내에도 도입하겠다고 밝혔다. 패스키는 비밀번호 없이 얼굴, 지문 등 생체인식이나 핀(PIN) 등을 활용하는 인증 방식이다. 외부 해킹과 탈취 위험이 적어 기업들이 보안을 강화하는 조치로 사용하고 있다.

매티스 CISO는 "대만에 패스키를 도입한 것은 3개월 남짓"이라며 "한국에서도 패스키 도입을 위한 준비가 이뤄지고 있다"고 말했다. 또 "한국 시장은 고객 수가 많기 때문에 패스키 도입 과정에서 좀 더 복잡한 과정이 필요하다"며 "도입 과정에서 고객 불편을 최소화하면서도 신속하게 도입할 수 있게 노력하겠다"고 말했다.

서울 송파구 쿠팡 본사. /뉴스1

쿠팡Inc는 청문회를 앞두고 16일(현지 시각) '항목 1.05. 중대한 사이버 보안 사고'를 제목으로 한 8-K 보고서를 미국 증권거래위원회(SEC)에 제출했다. 8-K는 기업에 중대한 변화가 발생했을 때 투자자와 이해관계자에게 신속히 알리는 공시다.

SEC 규정에 따르면 중대한 사이버 보안 사고가 발생했을 경우 4영업일 안에 공시를 해야 한다. 로저스 대표는 이번 사고를 즉시 보고하지 않은 것이 규정 위반이라는 지적에 대해 "미국 개인정보 보호 관련 법체계상, 현재 유출된 정보 유형은 신고 의무 대상에 해당하지 않는다"고 해명했다.

그러면서 "미국법 기준으로는 공시 의무가 없었지만, 사안이 지속적으로 주목받고 있는 점을 고려해 이날 SEC에 관련 내용을 공식 공시했다"고 밝혔다.

한편, 이날 국회 정무위는 국회 증언·감정 법률 위반(불출석) 혐의로 김 의장을 고발하기로 의결했다. 윤한홍 정무위원장은 회의에서 "쿠팡 김범석 증인은 우리 위원회의 국정감사에 정당한 이유 없이 10월 14일과 28일 두 차례 불출석했다"며 "이의가 없어 가결을 선포한다"고 밝혔다.