왼쪽붜 해롤드 로저스 쿠팡 한국법인 대표와 이정헌 의원(더불어민주당)
이 의원에 따르면 쿠팡이 SEC에 제출한 자료에는 이번 사고를 ‘중대한 사이버 보안 사고(Significant Cybersecurity Incident)’로 명시하면서도, 동시에 ‘영업에는 중대한 차질이 없다’는 점을 강조했다.
이 의원은 “투자자 판단에 영향을 주지 않도록 설계된 표현”이라며 “미국 증권법상 ‘머티어리얼(Material)’은 투자자의 합리적 판단에 중대한 영향을 미치는 사안을 뜻하는데, 한국 국회 청문회로 투자자들이 동요할 가능성을 우려해 공시 의무가 없음에도 선제 보고한 것 아니냐”고 지적했다.
이에 대해 해롤드 로저스 쿠팡 한국법인 대표는 “SEC 규정상 이번 사고는 공시 의무 대상이 아니다”라며 “미국 투자자들의 정보 비대칭을 해소하기 위한 조치였다”고 해명했다.
그러나 이 의원은 “공시 대상이 아니라는 점을 반복하면서도 결과적으로 ‘영업 영향 없음’이라는 메시지를 투자자에게 먼저 전달했다”며 “제 지적 그대로”라고 재차 비판했다.
이 의원은 이어 쿠팡 내부 ‘리더십 원칙’ 문건을 제시하며 민병기 쿠팡 부사장을 상대로 질의를 이어갔다.
문건에는 ‘진정한 리더는 고객의 신뢰를 신성하게 여기며, 이를 얻기 위해 매일 치열하게 노력한다’는 문구가 담겨 있다.
이 의원은 “이 원칙이 이번 개인정보 침해 대응 과정에서 어떻게 구현됐는지 묻지 않을 수 없다”며 “이번 사태로 쿠팡에 대한 국민 신뢰는 이미 심각하게 훼손됐다”고 말했다.
아울러 이 의원은 “3370만 명의 개인정보가 침탈된 사건은 단순 사고가 아니라 보안 관리 체계 전반의 붕괴를 의심하게 한다”며 퇴직자 계정 관리 실태와 정부 조사 진행 상황을 점검했다.
이에 송경희 개인정보보호위원회 위원장은 “퇴직자 계정 관리가 제대로 이뤄지지 않았을 개연성이 매우 높다”고 밝혔고, 배경훈 부총리 겸 과학기술정보통신부 장관은 “지난달 30일부터 민관합동조사를 진행 중”이라고 설명했다.
징벌적 과징금과 관련해 송 위원장은 “중대한 보안 침해가 반복될 경우 매출의 최대 10%까지 과징금을 부과할 수 있도록 하는 법안이 이미 국회 정무위원회를 통과했다”고 밝혔다.
이 의원은 또 “쿠팡은 공식 사과문에서 ‘해킹’이나 ‘유출’이라는 표현을 쓰지 않고 끝까지 ‘노출’이라는 단어만 사용했다”며 “3370만 명의 개인정보가 침탈된 사태 앞에서도 책임을 인정하기는커녕 언어를 바꿔 사실을 흐리는 태도는 무책임의 도를 넘었다”고 강하게 비판했다.
이어 “대한민국에서 막대한 수익을 올린 기업이 정작 국회와 국민 앞에서는 책임을 회피하고, 해외 투자자만 의식해 ‘영업 영향 없음’ 메시지를 먼저 낸 것은 사고 대응을 넘어 대한민국을 대하는 태도 자체가 문제”라고 지적했다.
