서울 도심 내 한 쿠팡 물류센터. 임세준 기자

[헤럴드경제=강승연 기자] 쿠팡의 개인정보 유출 규모를 둘러싼 논란이 확산되고 있다. 쿠팡이 피의자 PC에 저장된 계정 정보가 3000개라는 조사 상황을 밝혔던 것이 3300만건에 달하는 전체 유출 규모를 부정하는 것처럼 비춰져서다. 단어 해석을 두고 불필요한 오해가 불거지는 것 아니냐는 지적도 나온다.

27일 업계에 따르면 박정보 서울경찰청장은 전날 기자간담회에서 “성명이나 이메일 등이 포함된 자료가 나간 건수가 계정 기준 3000만건 이상”이라며 “쿠팡은 3000건만 유출됐다고 하는데, 우리가 봤을 때 훨씬 더 많은 자료가 유출됐다”고 밝혔다.

이에 앞서 송경희 개인정보보호위원장도 지난 21일 “현재까지 3000만명 이상의 개인정보가 유출된 사실이 확인됐다”고 말했다. 쿠팡 사태 범정부 TF(태스크포스)를 이끄는 배경훈 부총리도 지난달 말 “쿠팡 유출은 3000건이 아닌 3300만건 이상”이라고 강조한 바 있다.

정부와 경찰이 유출 규모를 거듭 강조하는 의도를 놓고, 쿠팡이 사안을 축소하려 한 것이 원인이 아니냐는 지적이 나온다. 논란의 발단은 쿠팡이 지난해 12월 25일에 낸 입장문에 있다. 당시 쿠팡은 중국 국적 전 직원 진술과 포렌식 조사를 토대로 “유출자가 3300만 고객 정보에 접근했지만 약 3000개 계정만 자신의 PC 하드 드라이브에 저장했고, 이 역시 모두 삭제했다”고 발표했다.

일각에서는 쿠팡이 밝힌 ‘저장’ 정보가 ‘유출’ 정보로 와전된 것이라고 해석한다. 실제 쿠팡의 발표 내용엔 ‘3000명 계정만 유출됐다’는 주장이 없다. 해당 입장문은 2차 피해 우려를 달래기 위해 저장 정보(이름·이메일·전화번호·주소·일부 주문정보 및 공동현관 출입번호) 규모를 알리는 동시에 제3자에 전송된 고객 정보가 없다고 강조하는 내용이었다.

서울 시내의 한 쿠팡 물류센터 [연합]

개인정보보호위원회 ‘표준 개인정보 보호지침’ 제25조에 따르면, 개인정보의 유출은 개인정보가 해당 개인정보처리자의 관리와 통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것으로 규정된다. 업계 관계자는 “해당 입장문은 향후 조사나 과징금 발표 등에 대응하기 위해 2차 피해가 없다는 주장이 핵심이었던 것 같다”고 짚었다.

또 쿠팡은 고객들에게 개인정보 유출 사실을 재통지한 적이 있다. 쿠팡은 11월 29일, 고객 3370만명에게 개인정보 ‘노출’ 사실을 알렸다. 이후 ‘유출’이란 표현이 맞다는 국회와 정부의 지적을 받고 12월 6일부터 ‘개인정보 유출사고 재안내’ 문자메시지를 발송하고 홈페이지로 공지했다.

보안업계 관계자는 “쿠팡이 ‘유출’과 ‘접근’ 등 개념 정의에 대해 분명하게 발표했어야 한다”며 “애매한 표현이 부적절하게 확대 해석될 수 있다”고 설명했다.

한편 쿠팡 개인정보 유출 사건과 관련해 정부는 개인정보보호위원회·민관합동조사단을 비롯해 공정거래위원회와 고용노동부, 서울본부세관 등 10개 이상 부처에서 수백여명의 조사인력을 투입했다.

업계 관계자는 “단일 기업의 개인정보 유출 사안을 두고 이처럼 다수의 관계 기관이 동시에 현장 조사를 벌이는 것은 이례적”이라며 “고강도 조사가 동시다발적으로 이뤄지는 상황에서 가장 중요한 정보 유출 사고에 대한 결과 발표에 관심이 쏠리고 있다”고 전했다.