허프포스트코리아

쿠팡이 한국정부와 상의 없이 '개인정보가 3천 건만 유출됐다'는 내용의 이른바 ‘셀프조사’ 결과를 미국 증권거래위원회(SEC)에 그대로 공시한 것으로 확인됐다. 일각에서는 공신력 있는 기관을 통해 검증되지 않은 상태인데도 공시한 것을 두고 추후 ‘제3자 고발(whistleblower tip) 제도’를 통해 조사가 이뤄질 수도 있다는 분석이 나온다.

해롤드 로저스 쿠팡 대표이사가 30일 서울 여의도 국회에서 열린 제430회국회(임시회) 쿠팡 침해사고 및 개인정보 유출, 불공정 거래, 노동환경 실태 파악과 재발방지 대책 마련을 위한 연석 청문회에 출석해 최민희 위원장의 동시통역기 착용 지시에 답변하고 있다. ⓒ 뉴스1

현지시각으로 30일 미국 SEC 공시시스템에 따르면 쿠팡은 29일 제출한 서류를 통해 "고객계정 3300만 건에 대한 무단 접근이 있었으나 범인은 약 3천 건의 제한된 데이터만 저장했다"며 "해당 데이터는 제3자와 공유되지 않은 채 삭제됐다"고 밝혔다.

이런 공시 결과는 쿠팡이 25일 발표한 자체 조사결과와 동일한 내용으로 한국 수사기관을 통해 검증되지 않은 내용이다.

앞서 '쿠팡 사태 범정부 태스크포스(TF)' 팀장인 배경훈 부총리 겸 과학기술정보통신부 장관은 쿠팡의 발표를 두고 한국정부와 사전에 합의되지 않은 것이라면서 "악의적 의도가 있다"고 비판한 바 있다.

쿠팡은 SEC 공시 서류에 조사결과가 수사기관이나 제3자가 진행한 것이 아니라 자신들이 자체적으로 실시했다는 점을 밝히지 않았고, 한국정부의 입장도 포함하지 않았다.

이와 관련해 추후 미국 SEC의 '제3자 고발 제도'를 통해 정정하려는 시도가 나타날 수 있다는 관측이 제기된다.

'제3자 고발 제도'는 미국 증권법 위반 의혹정보를 SEC에 익명으로 제보할 수 있는 제도를 말한다. 모든 국가의 개인 누구나 활용할 수 있는 제도다.

제3자 고발은 온라인 포털이나 Form TCR(Tip, Complaint, or Referral)을 통해 이뤄진다. 이를 토대로 미국 SEC는 공식 강제조사(Enforcement investigation)를 개시할 수 있게 된다. 조사가 성공하면 회수하는 벌금의 10~30%를 고발자가 받을 수 있는 것으로 알려졌다.

결론적으로 한국정부는 직접 쿠팡의 이번 공시를 두고 정정을 요구할 수는 없지만 일반 제3자가 일종의 고발프로그램을 통해 SEC의 조사를 촉구할 수 있다는 것이다.

한국정부는 쿠팡의 데이터 유출사건을 조사하기 위해 민관합동조사단(과학기술정보통신부, 개인정보보호위원회, 경찰청 등)을 통해 사고원인과 유출규모, 보안의무 위반 여부를 집중적으로 캐내고 있다.

서울경찰청 사이버수사과는 12월8일 쿠팡 본사를 압수수색하고 디지털 증거분석과 유출경로 규명을 진행하면서 고소인 조사도 병행하고 있다.

배경훈 부총리는 30일 국회에서 열린 쿠팡 연석 청문회에서 “쿠팡이 주장하는 3천 건이라는 것은 용의자의 노트북과 컴퓨터에 있는 총 4개의 저장장치와 노트북을 압수해 확인된 것”이라며 “용의자가 무단으로 서명키를 갖고 토큰 생성을 통해 거의 모든 고객 정보, 3300만건 이상의 정보를 확인했다는 게 중요하다”고 강조했다.