쿠팡 브랫 메티스 CISO “보안키 운용 자체는 글로벌 표준에 부합”

[산업일보]
고객의 개인정보 유출과 대응 방안을 두고 도마위에 오른 쿠팡이 그동안 사용해 온 보안 시스템에 대해 “글로벌 표준에 부합한다”는 입장을 밝혔다.

31일 국회에서 열린 연석청문회에서 쿠팡의 브랫 메티스 CISO(최고 보안 책임자)는 증인으로 출석해 이와 같이 주장하면서서도 ‘개선의 여지가 있다’는 여지를 남기기도 했다.

이날 청문위원으로 참석한 더불어민주당 오기형 위원은 보안키 탈취 시점에 대해 질문했고, 브랫 메티스 CISO는 “보안키를 탈취한 직원이 퇴사하기 직전인 2024년 말에 이뤄진 일로 보고 있다”고 답했다.

이어 오 위원이 “클라우드 키 관리 서비스(KMS)와 하드웨어 보안 모듈(HSM)의 연동이 없는 상태인데 이것이 글로벌 표준에 부합하는가?”라고 재차 질의했으며 브랫 메티스 CISO는 “우리가 키를 운영하는 방식은 글로벌 표준에 부합하지만 개선의 여지가 있다는 것은 인지하고 있기 때문에 사후적으로 처리할 것”이라는 답변을 내놓았다.

한편, 이 자리에서는 현재 우리나라에는 존재하지 않는 집단소송제의 필요성이 강하게 대두되기도 했다.

오 위원은 “한국에서 발생한 유사사례에서 인당 10만 원 상당의 배상이 이뤄졌는데, 유출 분량에 따라 차이가 있겠지만 최대한으로 보면 쿠팡의 자본금 수준인 3조7천억 원 규모의 배상이 진행돼야 할 것”이라고 언급했다.

그는 “특히, 쿠팡 측에서 제기하는 유출 건 수가 3천 건 정도인데 이 안에는 아파트 비밀번호 2천700건이 포함돼 있어 2차 피해 발생도 가능하다”며 “미국에서는 징벌적 배상의 대상이지만 한국에서는 집단소송제가 없기 때문에 외국계 대기업이 오만하고 사회적 반성이 없다”고 질타했다.

이에, 이날 연석청문회에 참석한 주병기 공정거래위원장과 송경희 개인정보보호위원회장은 “단체소송을 고려 중”이라며 “금전적인 손해배상이 가능하도록 법적인 근거가 필요하다”고 말했다.