3일 쿠팡 서울 서초구 본사 건물. 정용일 선임기자 yongil@hani.co.kr

<이미지를 클릭하시면 크게 보실 수 있습니다>

쿠팡이 고객 개인정보 유출 사태 초기부터 사용해온 ‘노출’이라는 표현을 지난 4일 ‘유출’로 변경했다. 고객 정보유출 사건 발생 2주 만이다. 여론의 질타와 개인정보보호위원회(개보위)의 시정 요구가 이어지자 뒤늦게 표현을 바로잡았지만, 피해 공지부터 국외 공시까지 책임을 축소하려는 듯한 태도를 이어오면서 쿠팡이 기업 신뢰도를 스스로 훼손하고 있다는 지적이 나온다.

쿠팡은 4일 누리집 고객센터 게시판에 올린 공지글에서 개인정보 ‘노출’이라는 표현을 ‘유출’로 고쳐 적었다. 지난달 20일 4500명의 개인정보가 유출됐다고 밝혔던 첫 공지와 지난달 29일 3370만명의 개인정보가 유출됐다는 재공지 때에도 쿠팡은 줄곧 ‘노출’이라는 표현을 고수해왔다.

이에 개보위는 지난 3일 전체회의를 열어 “‘개인정보 유출’ 사고임을 명확하게 하라”며 ‘노출’을 ‘유출’ 통지로 수정하고, 공동현관 비밀번호 유출 등 쿠팡이 고객들에게 통지하지 않았던 유출 항목을 빠짐없이 재통지하라고 의결했다. 또한 개보위는 쿠팡 누리집 초기 화면이나 팝업창을 통해 일정 기간 이상 유출 내용을 공지하도록 하고, 이용자 추가 피해 예방 요령 적극 안내 등을 조처하라고 요구했다. 쿠팡이 이번 사고와 관련해 누리집 초기 화면에 사과문을 공지한 기간이 이틀에 불과했기 때문이다.

하지만 쿠팡이 개보위의 요구를 수용한 것은 ‘노출’을 ‘유출’로 바꾼 것 하나뿐이다. 쿠팡 누리집 초기 화면에는 여전히 관련 공지나 팝업창이 없고, 사과문 등 책임을 명확하게 드러내는 조처도 찾아보기 어렵다. 사태 후 쿠팡의 대응이 보여주기식에 머무르고 있다는 비판이 나오는 이유다.

쿠팡의 책임 회피 논란은 국내에만 그치지 않는다. 미국 뉴욕증권거래소에 상장한 쿠팡아이엔씨(Inc·미국 법인이자 쿠팡 모회사)가 증권거래위원회(SEC) 규정을 위반했을 가능성도 커지고 있기 때문이다. 증권거래위원회 규정은 투자 판단에 중대한 정보는 기업이 신속하게 공시하게 돼 있다. 2023년부터는 ‘사이버 보안 사고가 중대하다(material)고 판단한 날로부터 4영업일 이내에 그 사고에 관한 필요한 공시를 해야 한다’고 규정하고 있다.

하지만 5일 오전 2시(현지시각) 기준, 증권거래위원회 공시내용엔 쿠팡아이엔씨의 개인정보 유출 관련 보고가 올라와 있지 않은 상태다. 쿠팡이 고객 계정 3370만여개의 유출 사실을 알린 날은 지난 11월29일이다. 주말과 법정 공휴일을 뺀 첫 영업일은 지난 1일인데, 이를 기준으로 해도 쿠팡이 사실상 공시 기한을 넘겼을 가능성이 크다. 증권거래소 규정은 국가 안보나 공공안전에 중대한 위험을 초래한다고 판단할 경우 공개를 연기할 수 있도록 하지만, 이번 개인정보 유출 사고가 이런 사유에 해당한다고 보긴 어렵다는 것이 전문가들의 지적이다.

서혜미 기자 ham@hani.co.kr