해롤드 로저스(왼쪽) 쿠팡 신임 대표이사 등 증인들이 17일 오전 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 쿠팡 침해사고 관련 청문회에서 선서하고 있다. 이상섭 기자

[헤럴드경제=정석준·김유진 기자] 여야가 쿠팡의 개인 정보 유출 사태 관련 청문회를 열고 국정조사 추진과 수사기관 고발 조치 등 본격적인 대응에 나선다. 청문회 현장에서는 김범석 쿠팡 이사회 의장 등 핵심 인물들이 모습을 드러내지 않은 가운데 ‘쿠팡 오찬’ 논란이 겹치면서 초반 공전이 이어졌다.

17일 국회 과학기술정보방송통신위원회는 쿠팡 개인정보 유출사태 관련 청문회를 개최했다. 청문회에는 해롤드 로저스 쿠팡 임시 대표이사를 비롯해 브랫 매티스 쿠팡 정보보호최고책임자(CISO), 민병기 쿠팡 대외협력 총괄 부사장, 조용우 쿠팡 국회·정부 담당 부사장 등이 증인으로 참석했다.

앞서 과방위는 쿠팡 창업주인 김 의장과 박대준·강한승 쿠팡 전 대표에게 출석을 요구했으나 이들은 불출석 사유서를 제출했다. 또한 쿠팡 측은 자료 제출에 적극 협조하지 않아 여야 의원들의 질타를 받았다.

과방위원장인 최민희 더불어민주당 의원은 “최고경영자의 불출석은 국회를 넘어 한국 전체를 무시하는 처사”라며 “과방위는 이번 청문회로 사고 경위를 파악하고 필요하면 법을 만들어서라도 끝까지 책임을 묻겠다”고 말했다.

야당 간사인 최형두 국민의힘 의원은 “쿠팡보다 더 큰 회사인 메타나 아마존의 마크 저커버그나 제프 베이조스도 미국 의회에 청문회 증인을 외면하지 않았다”며 “(김범석 의장이) 글로벌 CEO이기 때문에 못 오겠다고 한 것은 전 세계 시장에 있는 쿠팡을 투자한 투자자들에게 절망을 안겨 줄 내용”이라고 비판했다.

이날 로저스 쿠팡 대표이사는 모두발언을 통해 “국민 여러분께 이 사고와 관련해 심려와 우려를 끼쳐드린 점에 대해 깊이 사과드린다”며 “쿠팡 한국의 대표이사로서 어떤 질문이든 답변할 준비가 돼 있다”고 말했다.

이어 ‘박 전 대표의 쿠팡 경영진 복귀 가능성’을 묻는 이준석 개혁신당 의원의 질의에 “그렇게 기대하지 않는다”며 “박 전 대표는 이번 사고에 대해 깊은 책임감을 통감하고 사임한 것으로 알고 있다”고 밝혔다.

노종면 민주당 의원은 박 전 대표가 사임하고 로저스 대표가 취임한 것에 대해서도 “부적절하다”고 비판했다. 이날 노 의원실이 윈지코리아컨설팅에 의뢰한 여론조사 결과에 따르면 국민의 86.8%가 ‘적절하지 않다’고 답변했다. 해당 조사는 지난 12일과 15일 양일간 전국 18세 이상 남녀 848명을 대상으로 진행했다.

이번 조사에서 유출된 개인정보가 2차 범죄에 악용될 가능성에 대해서는 91.6%가 ‘사용될 것’이라고 답변했다. 쿠팡의 조치에 대해서는 가장 많은 29.9%가 ‘손해배상’을 꼽았다. 손해배상과 유사하다고 볼 수 있는 ‘이용자 보상’은 25.5%였다. 또한 10명 중 7명은 쿠팡에 대한 단체소송에 참여할 의향이 있는 것으로 확인됐다.

노 의원은 “쿠팡의 대응은 미흡하고 부적절하기 짝이 없다”며 “국회의 모든 권한을 가동해 쿠팡에 책임을 물어야 한다”고 강조했다.

여야는 청문회에 불출석한 김 의장 등 3명을 국회증언감정법 위반 혐의로 고발할 예정이라고 밝혔다. 청문회와 달리 증인에 대한 동행명령장을 발부할 수 있는 국정조사도 본격 추진한다. 최 의원은 “국정조사 방법과 시기 등을 과방위에서 논의할 예정”이라며 “고발 여부와 대상은 법률에 따라 검토할 것”이라고 설명했다.

이날 청문회에서는 김병기 민주당 원내대표가 국정감사를 앞두고 박 전 대표이사와 오찬 자리를 가진 것에 대한 여야의 설전이 오갔다. 신성범 국민의힘 의원은 “피감기관 대표를 만나서 인사 청탁 내용이 있다는데 이것을 확인 안 하고 넘어갈수 없다”며 김 원내대표의 증인 출석을 요청했다.

이에 대해 김 원내대표는 페이스북에 올린 글에서 “쿠팡의 인사조치와 저는 전혀 관련이 없다”면서 “국회의원으로서, 여당 원내대표로서 해야 할 일을 했을 뿐이며 앞으로도 필요하면 누구든 만날 것”이라고 밝혔다.

쿠팡이 미 증권거래위원회(SEC)에 제출한 공시 내용 [SEC 홈페이지 갈무리]

한편 이날 쿠팡은 약 3300만명의 고객 정보와 관련된 대규모 보안 사고에 대해 미국 금융당국에 공시했다.

미 증권거래위원회(SEC) 공시에서는 이번 사안을 정보 ‘유출’이 아닌 고객 계정에 대한 ‘무단 접근(unauthorized access)’으로 표현하며, 전직 직원이 ‘관련 정보를 취득했을 가능성’(may have obtained)이 있다고 기재했다.

미 SEC 공시에 따르면 쿠팡은 지난 11월 18일 고객 계정에 대한 무단 접근이 발생한 사이버 보안 사고를 인지했다. 사고를 확인한 직후 침입자의 접근을 차단하고, 한국의 관계 당국과 수사기관에 신고했으며, 정보가 노출됐을 가능성이 있는 고객들에게도 통지했다고 밝혔다.

또한 쿠팡은 보고서에서 전직 직원 1명이 최대 3300만명의 고객 계정과 관련된 이름, 전화번호, 배송 주소, 이메일 주소와 일부 계정의 주문 이력에 접근했을 가능성이 있는 것으로 파악했다고 밝혔다.

실제로 해당 정보가 외부에 공개됐는지 여부에 대해서는 “회사가 인지한 범위(to Coupang’s knowledge)에서는 확인되지 않았다”고 밝혔다. 영향 규모 역시 ‘최대(up to) 3300만개’로 한정해 표현됐다.

쿠팡 측은 한국 규제 당국이 과징금 등 재정적 제재를 부과할 가능성은 인정하면서도, “현재로서는 그 규모나 범위를 합리적으로 추정할 수 없다”고 밝혔다.