“왜 정부기관이 감추냐”는 쿠팡…청문회에서 드러난 3가지 실수

[이데일리 김현아 기자] 국가정보원이 쿠팡 고객 개인정보 유출 사태와 관련해 “국가기관 지시를 받았다”는 취지로 발언한 해럴드 로저스 쿠팡 대표이사를 위증 혐의로 고발해달라고 국회에 요청하면서, 논란의 초점이 ‘정부와 쿠팡의 진실 공방’에서 ‘쿠팡의 책임과 태도’로 옮겨가고 있다.

30일 국회 연석 청문회에서 해럴드 로저스 쿠팡 임시 대표는 “정보를 공유하지 않는다고 비난받다가 공유하니 또 비난받는다”며 “왜 정부는 이 정보를 공유하지 않고, 왜 정부기관이 이것을 감추려고 하느냐”고 목소리를 높였다.

해럴드 로저스 쿠팡 임시 대표가 30일 국회 청문회에서 발언하고 있다(사진=뉴시스)

그러나 국정원은 물론 민관합동조사단을 운영하는 과학기술정보통신부, 경찰청 등 정부기관과 전문가들은 오히려 쿠팡이 청문회 과정에서 쟁점을 비켜가며 논란을 키웠다고 지적했다.

국정원은 이날 보도자료를 내고, 국회가 국회증언감정법상 위증죄로 쿠팡 대표를 고발해달라고 요청했다고 밝혔다. 국정원은 쿠팡 측이 ‘자체 조사’가 국정원 지시에 따른 것이라고 우회적으로 주장한 데 대해 “자료 요청 외 어떠한 지시·명령·허가를 한 사실이 없으며, 그럴 위치에 있지도 않다”고 정면으로 반박했다.

① ‘지시’와 ‘협조’의 차이를 흐렸다

충돌의 핵심은 쿠팡이 ‘협조’를 ‘지시’로 확장해 해석한 대목이다. 로저스 대표는 “조사는 일방적으로 한 것이 아니라 국가기관의 지시를 받았다”는 취지로 주장했지만, 국정원은 “자료 요청 외 지시·명령·허가가 없었다”고 선을 그었다. 김현 더불어민주당 의원도 “법(국가정보원법 제5조)에 근거해 사실관계를 확인하는 과정이며 협조 요청의 범주”라고 반박했다.

국가정보원법 제5조는 국정원장이 직무 수행을 위해 국가기관이나 단체에 사실 조회, 자료 제출 등 필요한 협조를 요청할 수 있도록 규정하고, 정당한 사유가 없으면 이에 따라야 한다는 취지다. 다만 이는 정보 수집과 국가안보 관련 업무 수행을 위한 ‘협조 요청’의 근거일 뿐, 개별 기업의 조사나 발표를 지시하거나 승인하는 권한과는 성격이 다르다.

배경훈 부총리 겸 과기정통부 장관도 “국정원은 장비 이송 과정의 보안 우려를 이유로 협조했을 뿐, 쿠팡에 조사나 발표를 지시할 권한은 없다”는 취지로 설명했다. ‘유출자 접촉’ 논란과 관련해서도 국정원은 “최종 판단은 쿠팡이 하는 것이 맞다”는 취지로 여러 차례 강조했다고 밝혔다.

결국 “국가기관 지시”라는 표현이 등장한 순간, 청문회는 유출 사실 자체보다 ‘국가기관을 방패로 삼았는지’로 시선이 이동했고, 국정원은 위증 고발 요청이라는 초강수를 꺼내 들었다.

30일 국회에서 열린 ‘쿠팡 침해사고 및 개인정보 유출, 불공정 거래, 노동환경 실태 파악과 재발 방지 대책 마련을 위한 청문회’에서 해럴드 로저스(왼쪽 첫 번째) 쿠팡 임시대표 등이 증인 선서를 하고 있다. 사진=연합뉴스

② ‘3000개 유출’ 주장으로 유출 정의와 절차 논쟁을 키웠다

쿠팡이 내세운 “계정 3000개만 유출” 주장도 청문회에서 흔들렸다. 배경훈 부총리는 “용의자가 제공한 하드디스크 정보만으로 결론을 내리는 것은 문제가 심각하다”는 취지로 지적했다. 합동조사단과 경찰이 서버 전수조사, 로그 분석, 포렌식 분석을 진행하는 상황에서 기업이 ‘저장된 건수’를 근거로 유출 범위를 단정하면 판단을 흐릴 수 있다는 의미다.

전문가들은 ‘저장 건수’ 중심의 프레임이 유출의 정의와 어긋날 수 있다고 봤다. 김승주 고려대 정보보호대학원 교수는 “표준 개인정보 보호 지침상 유출은 ‘권한 없는 자가 무단으로 알 수 있게 된 상태’로, 저장 여부와는 무관하다”고 설명했다. 유출 규모는 ‘무단 접근자가 알게 된 정보’를 기준으로 판단해야 한다는 것이다. 저장된 개수를 전면에 내세우면 유출을 축소하는 인상을 줄 수 있고, 피해자 보상과 2차 피해 방지 논의까지 왜곡될 수 있다는 우려도 제기됐다.

권호현 법률사무소 현명 대표변호사는 절차 문제를 짚었다. 그는 “결백을 주장하려면 공권력이 함께 적법 절차로 확보했어야 한다”며 “오염 가능성이 생기면 신빙성이 약해진다”고 말했다. ‘외국계 보안업체를 활용했다’는 설명과 별개로, 국내 법과 절차가 요구하는 증거 보전과 공표 원칙을 제대로 따랐는지가 핵심 쟁점으로 떠오른 셈이다.

국정원도 절차 주도권 논란에 대해 구체적으로 반박했다. 쿠팡이 “정부기관 지시로 포렌식 이미지를 채취했다”는 취지로 말한 것과 달리, 국정원은 “국정원이 접촉한 시점 이전에 쿠팡이 이미 독자적으로 이미지 사본을 복제한 상태였다”고 밝혔다. 정부기관이 별도 복사본 제작을 허락했다는 취지의 발언도 사실과 다르다고 부인했다.

③ 공정위·국세청·노동부로 번질 확전 리스크를 키웠다

사실관계 공방이 이어지면서 쟁점은 기술 문제를 넘어 조직의 의사결정과 내부 통제 문제로 확장됐다.

청문회에서는 쿠팡이 발표한 국문 성명서와 영문 성명서의 내용 및 뉘앙스 차이가 집중 질의 대상이 됐고, “문안을 띄운 게 본인이냐”, “누가 작성했느냐” 같은 질문이 이어졌다. 대응 메시지가 어떤 절차로 만들어졌고 책임 라인이 어디인지가 본격적으로 도마에 오른 것이다.

특히 번역 표현이 논란을 키웠다. 국문 성명서의 “불필요한 불안감”은 영문본에서 “false insecurity(잘못된 불안감)”로, “억울한 비판”은 “falsely accused(허위의 비판)”로 표현되면서 국내 비판 자체를 ‘거짓’으로 규정하는 듯한 뉘앙스를 만들 수 있다는 지적이 제기됐다. 국내 여론과 해외 투자자에게 서로 다른 메시지를 내는 것 아니냐는 비판이 커진 배경이다.

여기에 “왜 정부기관이 감추냐”는 공세적 발언까지 겹치면서, ‘지시냐 협조냐’ 논쟁이 국가기관과의 정면충돌로 번졌고, “3000개 유출” 프레임은 유출 정의와 조사 절차 논쟁을 키웠다. 결과적으로 사안은 개인정보 유출을 넘어 기업 전반의 신뢰 문제로 확장될 소지를 키웠다.

실제로 이날 청문회에는 주병기 공정거래위원회 위원장, 임광현 국세청장, 김영훈 고용노동부 장관이 참석해, 향후 공정거래 이슈, 세무조사 범위, 특별감독 및 산재 조사 강화 등으로 논란이 번질 수 있다는 취지의 발언들이 이어졌다. 논란이 길어질수록 보안 사고 대응을 넘어 기업 운영 전반의 책임으로 확전될 위험이 커졌다는 지적이다.

한편 김진아 외교부 2차관은 청문회에서 “아직 미국 정부로부터 (쿠팡과 관련된) 항의를 받은 바 없다”고 밝혔다.