쿠팡 개인정보 유출 최초 제보자 “무책임한 사후 대처가 핵심 문제”

11월16일 쿠팡에 데이터 유출 알려…“현재까지 기술적 해명 없어”
"퇴사한 개발자가 고객 데이터 유출? 있을 수 없는 보안 공백”

(시사저널=김임수 기자)

박대준 쿠팡 대표가 2일 국회 과학기술정보방송통신위원회 전체회의에서 열린 쿠팡 침해사고 관련 현안 질의에 출석해 인사하고 있다. ⓒ시사저널 박은숙

쿠팡에서 3370만개 계정의 개인정보가 유출돼 논란이 가라앉지 않고 있는 가운데, 최초 제보자가 "이번 사건의 핵심 문제는 유출 그 자체보다 그 이후의 무책임한 사후 대처에 있다"고 직접 비판했다.

3일 업계에 따르면, 쿠팡에 개인정보 유출 사실을 최초로 알린 박아무개씨는 전날인 2일 저녁 자신의 X(옛 트위터)에 "국민들은 여전히 이 사건의 경위를 전혀 알지 못한다. 쿠팡이 투명한 정보 공개를 거부하고 있기 때문"이라고 이같이 밝혔다. 박씨는 11월16일 자신의 주소지와 주문내역 등의 데이터가 유출된 사실을 쿠팡에 최초 제보한 인물이다.

박씨는 "쿠팡은 제가 이후 지금까지, 단 한 번도 제대로 된 기술적 해명을 내놓지 않았다"라며 미국의 데이터 분석 기업 포스트호그(PostHog) 사례를 언급했다. 포스트호그의 경우 11월24일 보안 사고가 발생하자 불과 이틀 뒤인 11월 26일 상세한 기술 보고서를 회사 블로그에  공개했다. 이 보고서에는 무엇이 문제였고, 어떤 조치를 취했으며, 향후 어떻게 예방할지 디테일까지 담겨있다는 설명이다. 박씨는 "이것이 정상적인 IT 기업의 대처"라고 했다.

박씨는 이어 "쿠팡은 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 받은 기업이다. 이 인증의 핵심은 '개발하는 망'과 '실제 유저 데이터가 있는 망'의 철저한 분리"라면서  "만약 퇴사한 개발자가 실제 고객 데이터를 유출할 수 있었다면, 이는 개인의 일탈이 아니라 쿠팡의 보안 시스템 자체가 뚫려 있었다는 뜻이다. 인증받은 기업으로서 있을 수 없는 보안 공백"이라고 지적했다.

아울러 박씨는 쿠팡이 개인정보 유출 사실을 외부에 최초로 알릴 당시 '노출'이라는 표현을 쓴 데 대해서도 명확히 바로잡을 것을 권고했다. 그는 "쿠팡에 신고할 당시 '노출'이라는 표현을 쓰지 않았다. 쿠팡 측이 이를 축소해 '노출 신고'라고 표현하는 것은 사건의 본질을 흐리는 행위"라고 비판했다.