쿠팡이 자사의 대규모 개인정보 유출사태를 16일 만에 미국 금융당국에 보고했다. 쿠팡은 이번 사태가 ‘유출’이 아닌 ‘무단접근’이라고 규정했다. 미국에선 ‘중대사고’가 아니라고도 주장했다.

쿠팡 본사인 쿠팡아이엔씨(Inc)는 16일 미국 증권거래위원회(SEC)에 유출 사고와 관련한 보고서(8-K)를 제출했다. 8-K는 경영진 교체, 중대 사이버 보안사고 등 중요한 경영상 변화나 사건이 발생했을 때 제출하는 양식이다.

쿠팡은 “고객 계정에 대한 무단 접근과 관련된 사이버 보안 사건을 인지하게 됐다”며 ‘유출’ 대신 ‘무단 접근’이라는 표현을 썼다.

또 “전직 직원이 최대 3300만 개의 고객 계정과 관련된 이름, 전화번호, 배송 주소, 이메일 주소와 영향을 받은 계정의 일부에 대한 특정 주문 내역을 입수했을 가능성이 있다”고도 했다.

그러나 “한 전직 직원은 입수한 데이터를 공개적으로 공개하지 않았다”며 “이 사건으로 인해 쿠팡 고객의 은행 정보, 결제 카드 정보 또는 로그인 자격 증명이 확보되거나 유출되지 않았다”고도 했다.

미국 국내법상 강제신고 의무가 부여되는 ‘중대사고’의 판단 기준인 ‘민감정보(사회보장·운전면허·금융계좌번호 등)’가 포함돼 있지 않다는 점을 강조한 것.

또 “쿠팡의 운영은 실질적으로 중단되지 않았다”면서도 “이번 사건으로 인해 경영진의 주의를 분산시키고 잠재적인 매출 손실과 잠재적인 비용 증가로 인한 중대한 재정적 손실, 구제, 규제 처벌, 소송 등 다양한 위험에 노출되어 있다”고 했다.

17일 국회 과학기술정보방송통신위원회 청문회에 출석한 해롤드 로저스 쿠팡 임시 대표는 SEC신고에 16일이 걸린 것과 관련, “현재 유출된 데이터의 유형을 봤을 때 미국의 개인정보 보호법하에서는 신고해야 하는 것은 아니다”라며 “SEC 규정에 따르면 이번 사고 같은 경우는 중대 사고가 아니어서 공시할 의무는 없었다”고 주장했다.

로저스 대표는 “다만, 이번 이슈가 지속적으로 관심을 받는 상황이기 때문에 이를 고려해 오늘 공시를 진행했다”고 덧붙였다.

그는 또 내부자에 의한 정보 유출 사례에 대해 “많은 글로벌기업에서 이러한 내부자 위협이 발생하는 것으로 알고 있다”며 “이러한 사이버 보안 위협이 일반적인 유형 중 하나이기 때문에 이러한 위협까지도 감안해 대책을 세우는 데 노력하고 있다”고 말했다.

이재걸 기자 claritas@naeil.com