국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사태 관련 청문회가 열린 지난 17일 서울 시내의 한 쿠팡 물류센터 모습. 연합뉴스


쿠팡이 2019~2020년께 사업을 확장하는 과정에서 김범석 쿠팡아이엔씨(Inc·미국 법인인 쿠팡 모회사) 의장 지시로 보안 및 개인정보 보호 영향 평가를 건너뛰거나 금융당국 조사에서 문제가 될 수 있는 시스템 간 데이터 흐름을 은폐하는 등 탈법적 행위를 한 정황이 포착됐다.
18일 한겨레가 입수한 쿠팡 전 최고정보책임자(CPO) 미국인 ㄱ씨와 에릭 렌 당시 풀필먼트 및 물류 엔지니어링 총괄이 사이다쿨 2019년 1월 나눈 ‘시그널’ 메신저 대화 내용을 보면, 쿠팡은 개인 차량 배송 서비스 ‘쿠팡플렉스’ 출시(2018년 8월)에 앞서 보안 및 개인정보 보호 규정 관련 검토를 하지 않은 정황이 발견됐다.
ㄱ씨는 메신저 대화에서 “이건(쿠팡플렉스 출시) 당연히 보안·개인정보 보호 검토를 거쳤어야 한다는 걸, 당신들도 알지 않느냐”고 문제를 바다이야기부활 제기했다. 그러자 에릭 렌 당시 총괄은 “범(Bom·김 의장의 영문 이름)이 하지 말라고 했다”고 답했다. 이에 ㄱ씨는 재차 “그(김 의장)는 분명 ‘빨리, 싸게 하라’고 말했을 것이다. 하지만 이건 고객과 쿠팡플렉스 노동자들의 개인정보·개인식별정보(PII)를 다루는 일 아닌가”라고 반문했지만, 에릭 렌 총괄은 “범이 당신 팀을 참여시키지 말라고 했다”고 사이다릴게임 선을 그었다. 김 의장의 결정 아래 ㄱ씨가 몸담았던 사내 정보보호 조직은 사실상 ‘패싱’ 당했던 셈이다.
2018년 하반기에 쿠팡은 본인 차량으로 로켓배송 서비스를 할 수 있는 쿠팡플렉스 지원자를 별도 검증 절차 없이 뽑았다. 지원자들은 △이름 △휴대폰 번호 △배송 희망 지역 △자차 배송 가능 여부 등 항목만 제출하면 신청 지역 내 아파 사아다쿨 트, 빌라 현관 출입 비밀번호 등을 공유받을 수 있었다. 이렇게 공유된 개인정보가 범죄에 악용될 수 있다는 우려가 제기되기도 했다.
쿠팡이 핀테크 사업에 대한 금융감독원 검사를 받으며, 김 의장 지시로 금융사고 발생 위험이 있는 데이터 피드를 은폐한 정황도 확인됐다. ㄱ씨는 2020년 7월 알베르토 포나로 당시 최고재무책임자(CFO)로 추 바다이야기고래 정되는 인물에게 메신저로 “(회사가 자체적으로 보유·운영하는) 핀테크 시스템에서 쿠팡 데이터 플랫폼 팀의 데이터 웨어하우스(중앙 저장소)로 연결되는 비준수 및 불법 데이터 피드가 있다”고 보고했다. 쿠팡페이(쿠페이)의 전자금융 시스템과 쿠팡 데이터 플랫폼을 자동·상시로 연결하는 데이터 연계 구조에 문제가 있었다는 취지다. 그러면서 ㄱ씨는 “이 데이터 피드는 법에 정해진 보안 및 개인정보 보호 검토를 한번도 거치지 않았다”고 덧붙였다. 앞서 쿠팡은 2020년 4월 쿠페이 결제 서비스를 담당하던 핀테크 자회사 ‘쿠팡페이’를 설립했는데, 시스템을 완전히 분리하는 과정에서 이 문제가 뒤늦게 발견됐던 것으로 보인다.
하지만 이런 문제는 금융감독원 검사에서 적발되지 않았다. ㄱ씨는 그 이유에 대해 “키로(Kiro·경인태 당시 쿠팡페이 CEO)가 금감원 검사가 진행되는 동안 이 데이터 피드를 삭제”했기 때문이라며 “키로는 여러 사람에게 ‘범이 이 일을 하라고 지시했다’고 말했다고 한다”고 해당 메신저 대화에서 전했다. 쿠팡이 금감원 검사에서 의도적으로 논란이 될 증거를 은폐했다고 해석할 수 있는 지점이다. 금감원은 현재 쿠팡페이에 대한 현장 점검과 함께 위법 정황과 별개로 결제 시스템의 위험성을 검토 중이다.
이에 대해 쿠팡 쪽은 “해당 메시지는 쿠팡에서 해고된 전 임원과 제3자 간의 대화로 추정되며, 언급되는 당사자는 현재 퇴사해 관련 내용에 대한 사실 관계를 확인할 수 없다”고 밝혔다.
선담은 기자 sun@hani.co.kr 채반석 기자 chaibs@hani.co.kr 기자 admin@seastorygame.top