"유출 아닌 노출"이라더니…쿠팡, 정부엔 눈치보며 '유출 신고'

(서울=뉴스1) 김정현 기자 = 쿠팡에서 역대 최대 규모의 3370만 명 개인정보 유출 사태가 발생했다. 그간 쿠팡은 심각성 축소를 노린듯 유출 대신 '노출'이라는 표현을 써왔으나, 내부에서는 유출사고로 인지했다는 지적이 나왔다.

2일 국회 과학기술정보방송통신위원회(과방위) 소속 이주희 더불어민주당 의원은 "쿠팡은 이번 사건을 단순한 '개인정보 노출 의심'이라 설명해 왔지만 실제 신고 절차를 보면 침해사고로 인식하고 있었던 정황이 분명하다"고 밝혔다.

이 의원이 쿠팡으로부터 제출받은 자료에 따르면 쿠팡은 지난달 16일 오후 10시12분 "개인정보 노출 의심 이메일을 받았다"는 신고를 받고 이번 사고 정황을 최초로 인식했다.

이어 지난달 18일 오후 10시52분 자체 1차 조사를 통해 같은 달 6일과 8일 4536개 개인정보가 빠져나산 사실을 확인하고 KISA 및 개인정보위에 유선신고했다.

이어 다음날인 19일에는 KISA에 서면신고를, 20일에는 개인정보위에 '유출사고 서면신고'를 했다.

현행법에 따르면 KISA는 개인정보 침해사고 발생시 정보통신서비스 제공 기업에게 사건 발생을 알게된 후 24시간 내에 신고하도록 의무를 규정하고있다. 개인정보위도 개인정보의 분실·도난·유출이 있음을 알게 됐을 때 72시간 내에 신고하도록 했다.

그간 쿠팡은 이번 개인정보 유출 사태에서 일관되게 '유출' 대신 '노출'이라는 표현을 고수해왔다.

쿠팡이 실제로 이번 사안을 개인정보 유출이 아니라고 인식했다면 관계기관 신고 의무가 없다. 그러나 신고 의무를 이행한 건 오히려 쿠팡 내부에서 이번 사건을 유출로 판단했다는 증거로 풀이된다.

이주희 의원은 "쿠팡이 대외적으로 '개인정보 노출 의심'이라 표현하면서도 KISA에 정확히 24시간 내 신고한 걸 보면 쿠팡 내부적으로 단순 노출이 아닌 침해사고로 판단했기 때문으로 보인다"며 "초기 대응 당시 쿠팡이 사건의 성격을 어떻게 인식하고 있었는지 명확히 밝혀야 한다"고 말했다.

Kris@news1.kr