[닐의 통찰] 쿠팡 개인정보 유출 사건: 국정원의 비공식 개입과 책임 논란

배경: 3,300만명 개인정보 유출과 쿠팡의 자체 조사

국내 최대 전자상거래 업체 쿠팡에서 약 3,370만 명에 달하는 고객 개인정보가 무단 유출되는 초유의 사건이 벌어졌다 . 처음에는 유출 규모가 수천 건으로 알려졌으나, 이후 확인된 노출 계정 수는 사실상 쿠팡 이용자 전체에 해당하는 3,370만 개로 늘어났다 . 쿠팡은 11월 25일 경찰에 고소장을 제출하며 공식 수사를 의뢰했고, 경찰도 사이버수사과를 통해 수사에 착수했다 .

유출 행위는 2025년 6월 말부터 수개월간 진행된 것으로 파악되었다. 쿠팡은 자체 조사 결과 _“올해 6월 24일부터 해외 서버를 통해 개인정보에 무단 접근이 이뤄졌다”_고 밝혔으며 , 유출된 정보에는 고객 이름, 이메일, 전화번호, 주소 및 일부 주문 정보까지 포함되었다고 보고했다 . 용의자는 쿠팡의 중국 국적 전직 직원으로 지목되었는데, 사건 발각 전에 이미 중국으로 출국한 상태라는 의혹이 제기되었다 . 내부 직원이 퇴사 후 보안 키를 이용해 벌인 소행일 가능성이 거론되면서, 이번 사건은 단순 해킹을 넘어 내부자 유출 문제로도 주목받았다.

쿠팡은 사태 발생 이후 자체조사팀을 가동해 사건 경위를 파악했다. 이 과정에서 쿠팡은 해외에 있는 해당 전 직원 용의자와 직접 접촉하는 이례적인 조치를 취했고, 그로부터 자필 진술서를 받아냈다 . 채널A 보도에 따르면 용의자가 작성한 진술서에는 “호기심에서 (범행을) 했다”, “공범은 전혀 없다” 등의 내용이 담겨 있었는데, 이는 개인정보 유출이 용의자 한 사람의 일탈 행위였음을 강조하는 취지였다 . 용의자는 자신의 범행을 후회한다며 사용했던 노트북을 버렸다고도 진술했는데, 쿠팡은 이 진술서에 용의자의 지문까지 받아 사실상 공식 진술에 준하는 형태로 경찰에 제출했다 .

쿠팡은 확보한 노트북과 저장장치 등에 대한 디지털 포렌식 분석도 실시했다. 그 결과를 바탕으로 지난 12월 25일 쿠팡은 _“유출자가 실제로 확보한 개인정보는 약 3천 개 계정분이며, 이마저도 외부로 유출된 정황이 없다”_는 조사 결과를 발표했다 . 즉, 33백만 명의 정보에 접근당했지만 실제 외부로 빼돌려진 것은 3천 건 남짓에 불과하며 모두 삭제되었다는 것이다 . 이러한 쿠팡의 자체 발표는 대규모 유출로 불안에 떨던 고객들을 안심시키려는 조치였지만, 동시에 사건의 심각성을 축소했다는 평가도 받았다.

국정원과 정부의 반응: 공식 부인과 “쿠팡 자율 판단” 입장

12월 30일 국회 청문회에서 쿠팡 임시대표는 “정부 기관의 지시에 따라 개인정보 유출 용의자와 접촉했다”고 폭로해 파장을 일으켰다 . 해롤드 로저스 쿠팡 대표는 _“해당 정부 기관(국정원)이 여러 차례 피의자와 연락하도록 요청했고, 한국 법에 따라 협조 요청은 구속력이 있는 것으로 이해해 지시에 따랐다”_고 증언했다 . 그는 국정원의 사실상 지시에 따라 용의자를 만나 노트북 하드드라이브를 포렌식 이미지로 복제해 정부 기관에 전달했고, 원본 장치는 경찰에 넘겼다고 밝혔다 . 한마디로, 쿠팡의 용의자 접촉과 증거 확보가 국정원의 지시에 따른 것이었다는 주장이다.

하지만 이에 대해 국가정보원과 정부 당국은 전면 부인으로 대응했다. 국정원은 곧바로 보도자료를 통해 _“쿠팡에 어떠한 지시·명령을 한 사실이 없으며, 그럴 위치에 있지도 않다”_고 반박했고 , 오히려 국회에 로저스 쿠팡 대표를 위증죄로 고발해달라고 요청했다 . 국정원 측은 “쿠팡과의 협력은 정보 수집·분석 차원의 업무 협의였을 뿐”이라며, 지시는커녕 허가도 내린 바 없다는 입장을 거듭 강조했다 . 구체적으로는 _“쿠팡의 유출자 접촉 관련 문의에 ‘최종 판단은 쿠팡이 하는 게 맞다’고 수차례 강조했을 뿐”_이라는 해명도 내놓았다 . 즉, 용의자를 만날지 말지는 쿠팡이 자체적으로 결정한 사안이라는 것이다. 과학기술정보통신부 등 관계 부처 역시 “국정원이 쿠팡에 그런 지시를 내릴 권한이 없다”며 국정원의 공식 개입 가능성을 일축했다 .

정부와 쿠팡 사이의 진실 공방은 여기서 그치지 않았다. 앞서 쿠팡이 “정부 지시에 따라 긴밀히 협력하며 조사를 진행했다”면서 자체 조사 결과(유출 3천 건)를 발표하자 , 주무 부처인 과기부와 개인정보보호위원회 등이 참여한 범정부 태스크포스(TF)는 _“정부가 공식적으로 발표한 바 없는 사항을 쿠팡이 자체적으로 발표하여 국민들에게 혼란을 끼쳤다”_며 강한 유감을 표명했다 . 정부는 쿠팡의 일방적 발표가 혼선을 초래했다고 질타한 반면, 쿠팡은 이튿날 _“몇 주간에 걸쳐 매일 정부와 긴밀히 협력한 조사”_였다고 반박하며 자신들이 정부 “지시”에 따른 것임을 재차 주장했다 . 이렇듯 쿠팡과 정부 측 주장은 정면으로 충돌하며 국민 혼란이 가중되었다. 한편, 경찰은 쿠팡이 용의자를 직접 만났다는 사실을 사전에 전혀 통보받지 못했으며, 12월 21일 쿠팡이 용의자 노트북 등을 제출하면서 비로소 그간의 경위를 파악했다고 밝혔다 . 공식 수사라인인 경찰조차 모르게 진행된 물밑 접촉이었다는 점에서, 국정원의 역할 부인을 둘러싼 의혹은 더욱 커졌다.

국정원의 실질적 개입 정황과 부인할 수밖에 없는 이유

과연 쿠팡이 정말 자체 판단만으로 해외 도피 중인 용의자를 접촉하고 증거를 확보하는 ‘모험’을 감행했을까? 여러 정황을 살펴보면, 국정원이 뒤에서 실질적으로 개입해 쿠팡에 지시하거나 협조를 요청했을 가능성이 높다. 그리고 국정원이 그 사실을 인정하지 못하고 부인할 수밖에 없는 이유도 짐작할 수 있다.

첫째, 용의자가 해외(중국)에 있는 상황에서 사기업이 독자적으로 범죄 용의자를 찾아가 만나고 증거를 회수한다는 것은 극히 이례적이다. 이런 행위는 자칫 증거인멸이나 사법방해로 비칠 소지가 있어, 기업이 법적 뒷받침 없이 단독으로 실행하기 어렵다. 실제로 국정원이 쿠팡을 통해 용의자를 접촉케 한 정황이 드러나자, 수사 중인 경찰과 협의 없이 기업에 문제 해결을 맡긴 적절성에 대해 강한 비판이 나왔다 . 수사 대상인 기업이 피의자와 짜고 증거를 조작할 위험까지 있어 매우 부적절한 방식이라는 지적이다 . 국정원 같은 정보기관의 보증이나 요청이 없었다면, 쿠팡이 이런 위험 부담을 홀로 떠안기는 쉽지 않았을 것이다.

둘째, 쿠팡 로저스 대표의 증언에 드러나듯 국정원은 사건 조사 과정에서 여러 차례에 걸쳐 용의자와 연락할 것을 요청한 것으로 보인다 . 로저스 대표는 이 협조 요청을 한국 법상 구속력 있는 지시로 이해했다고 밝혔는데 , 이는 국정원의 요청이 사실상 명령처럼 받아들여졌음을 의미한다. 국정원은 겉으로는 지시를 부인하지만, “정보 수집·분석 차원의 협의”는 있었다고 인정했다 . _“3,300만 명 국민의 정보가 유출될 수 있는 만큼 2차 피해를 막기 위해 나선 것”_이라는 국정원의 설명은 , 표현만 달리했을 뿐 결국 국정원이 이번 사건 해결에 깊숙이 관여했음을 시사한다.

셋째, 국정원의 해외 정보망과 협조 없이는 쿠팡이 짧은 시간 내 중국에 있는 용의자를 특정해 접촉하고 노트북 등의 핵심 증거를 확보하기가 현실적으로 어렵다. 경찰은 현재까지도 용의자의 정확한 연락처나 소재지를 확보하지 못했고, 심지어 용의자가 노트북을 버렸다는 중국 내 하천의 위치조차 파악하지 못한 상태다 . 그런데 쿠팡은 경찰보다 앞서 용의자와 연락하고 그의 노트북을 손에 넣었다. 이를 가능케 한 배경에는 국내 경찰과는 별도로 움직일 수 있는 국정원의 정보력과 조율이 있었다고 보는 편이 합리적이다. 국정원도 내부적으로 _“유출자가 중국인이라 현지에 수사팀을 파견할 수 없는 점을 고려했다”_며 비공식 대응에 나섰음을 시사한 바 있다 . 결국 국정원이 배후에서 사실상의 지휘 역할을 했고, 쿠팡은 이에 응하여 움직였을 가능성이 크다.

그렇다면 국정원은 왜 이를 인정하지 않고 끝까지 부인하는 것일까? 가장 큰 이유는 이 사안의 민감성과 외교적 파장 가능성에 있다. 국정원이 정식 수사절차를 우회해 민간 기업을 통해 사건을 처리하려 한 사실이 공인될 경우, 절차를 무시한 월권 논란이 불가피하다. 국정원은 국내 정보보안 및 방첩을 담당하지만 수사 지휘 권한은 없다. 그런데 경찰을 제쳐두고 기업과 직접 움직였다면 현행 법체계상 권한을 남용한 셈이 되고, 이는 국회와 국민의 질타를 받을 사안이다. 국정원으로서는 자신들이 앞장섰음을 인정하는 순간 책임 문제가 불거질 것이기에 이를 극력 부인하고 있는 것으로 보인다.

또 다른 이유는 외교적인 부담이다. 애초에 비공식 경로를 택한 것 자체가 중국을 자극하지 않기 위한 선택이었는데, 만약 국정원이 그 역할을 시인하면 중국 측의 반발을 살 우려가 있다. 정보기관이 중국 내에서 은밀히 활동한 인상을 주는 것은 피해야 할 일이다. 게다가 쿠팡을 앞세운 비공식 접촉 과정에서 혹시라도 문제가 발생했다면(예를 들어 증거 훼손이나 용의자와의 거래 등), 국정원은 책임을 면하고 모든 책임을 쿠팡에 떠넘길 여지도 계산했을 수 있다. 실제로 이번 사태에서 국정원과 정부는 각종 논란의 부담을 쿠팡 측에 전가하는 모양새다. 이후 문제가 불거지면 “기업이 자율적으로 한 일”이라고 선을 긋기 위해, 지금부터 일관되게 부인 전략을 취하고 있다는 추측도 가능하다. 국정원이 공식 입장문에서 줄곧 “쿠팡의 최종 판단”임을 강조하고 위증 시비로 맞서는 이유도 결국 책임 회피와 무관치 않아 보인다.

중국과의 외교적 부담: 공식 수사의 딜레마

국정원이 이번 사건에서 공식 수사 루트를 피하고 비공식 해결을 모색한 핵심 배경에는 중국과의 외교 문제가 자리하고 있다. 앞서 언급했듯 용의자가 중국에 있는 이상, 정식으로 수사를 진행하려면 중국 공안 당국과 공조가 필수적이다. 그러나 한국이 중국에 수사 공조를 요청하는 순간, 이번 사건의 민감한 증거와 개인정보가 중국 당국에 넘어갈 가능성을 배제할 수 없다. 실제로 경찰이 쿠팡 측에 용의자 관련 추가 정보를 요구하자, 쿠팡 중국지사 측은 “중국 공안의 수사 영역”이라며 협조가 어렵다는 입장을 밝혔다고 한다 . 이는 곧 한국이 공식 채널을 통해 접근하려 하면 사건의 주도권이 중국 공안으로 이관되는 구조임을 뜻한다.

한국 수사기관이 중국에 있는 중국인 용의자를 직접 잡아올 방법은 현실적으로 없다. 중국은 자국민을 외국에 잘 넘겨주지 않으므로, 공조를 요청하면 중국 측이 사건을 접수하여 자체 수사를 하는 선에서 마무리될 공산이 크다. 그렇게 되면 한국 국민 3천만 명의 개인정보 유출 사건을 중국 당국이 처리하면서 관련 데이터나 증거를 확보하게 될 가능성이 있다. 민감한 국민 개인정보가 중국 공안에 넘어가는 상황은 우리로서도 꺼림칙한 일일뿐더러, 나중에 중국이 수사 결과를 제대로 공유해줄지 담보하기 어렵다. 국정원은 이러한 최악의 시나리오를 피하기 위해 공식적 법집행보다는 은밀한 협상을 택한 것으로 보인다. 용의자가 비교적 협조적이었던 점도 고려되었을 것이다. 실제로 국정원은 _“3천3백만 명의 국민 정보가 유출될 수 있는 만큼 2차 피해를 막기 위해 나선 것”_이며, 유출자가 중국인이라 현지에 수사팀을 파견할 수 없는 점을 고려했다고 설명했다  . 이 말은 곧 중국 정부를 공식적으로 개입시키지 않고 우리 손으로 수습하려 했다는 뜻으로 해석된다. 외교 문제로 비화시키지 않으면서도 국민들의 정보를 지켜야 하는 딜레마 속에서, 국정원이 택한 우회로가 쿠팡을 통한 비공식 해결이었던 셈이다.

하지만 이런 접근은 근본적인 한계와 위험을 내포한다. 설령 국정원이 의도한 대로 중국 당국의 개입 없이 사건을 마무리한다 해도, 비공식 합의에 의존한 해결은 사법적 정당성이 부족하고 후환을 남긴다. 국제 범죄에 대한 공식 공조를 외면한 채 물밑거래 식으로 문제를 덮으면, 동일한 수법의 범죄 재발을 막기 위한 교훈도 얻기 어렵다. 또한 중국과의 외교 마찰을 우려해 법 절차를 굽힌 전례가 생기면, 향후 한국의 대중(對中) 협상력에도 미묘한 영향을 줄 수 있다. 공식 루트를 밟을 경우 생길 외교 부담과 비공식 처리가 가져올 위험 사이에서, 국정원이 후자를 택한 것은 이해 못할 바 아니지만 결과적으로 여러 논란을 야기한 것이다.

중국 눈치 보는 국정원? 안보 주권과 책임 의식의 문제

이번 쿠팡 사태 대응을 지켜본 많은 이들은, 국가정보원이 미국보다 중국의 눈치를 더 보는 것 아니냐는 씁쓸한 지적을 내놓고 있다. 윤석열 정부 들어 대외적으로는 한미 동맹을 강조하며 대중국 강경 입장을 보이는 듯했지만, 정작 수천만 국민 정보 유출이라는 중대한 안보 사안에서는 중국을 자극하지 않으려 지나치게 몸을 낮춘 모습이기 때문이다. 만약 용의자가 미국에 있었다면 어땠을까? 한국 수사당국은 아마 미국 법무부나 연방수사국(FBI)에 협조를 구하고 정식 절차를 밟았을 가능성이 크다. 설혹 미국이 자국민 인도를 꺼린다 해도, 적어도 공식 채널을 통해 증거 확보와 사법 절차를 진행하려 했을 것이다. 그러나 상대가 중국이 되자 한국 당국은 공식 라인을 포기한 채 오로지 물밑에서 사인을 달래는 길을 선택했다. 이는 한국의 사이버 안보 주권 측면에서 우려스러운 대목이다. 강대국의 눈치를 보느라 우리 스스로의 정당한 법 집행 권한을 제대로 행사하지 못한다면, 향후 유사한 사건에서 국민의 권익을 지킬 수 있을지 의문이 제기될 수밖에 없다. 물론 사정기관을 떠나, 삼국시대 이래 1,500여년간 한국이 중국의 눈치를 보지 않은 기간은 거의 없었다는 점을 고려하면 일견 이해되는 바도 있다.

또한 국정원과 정부가 문제 해결의 책임을 민간 기업에 떠넘긴 채 정작 자신들은 뒤로 빠지는 태도를 보인 점도 짚고 넘어갈 필요가 있다. 국정원은 속내로는 “우리가 나서서 2차 피해를 막았다”고 주장하고 싶을지 몰라도, 정작 국민 앞에서는 모든 일을 쿠팡이 자율적으로 한 것인 양 선을 그음으로써 국가기관으로서의 책임을 방기하고 있다는 비판을 자초했다. 정부는 쿠팡의 섣부른 발표가 혼란을 키웠다고 질타했지만 , 정작 그 혼란의 이면에는 정부 내부 불투명한 대응과 엇박자가 자리한다. 정보기관과 감독 부처, 수사기관이 공유 없이 따로 움직이고 사후에 서로 다른 말을 내놓으니 국민이 무엇을 믿어야 할지 혼란스러운 것이다. 국가 차원의 대응이 일사불란하게 이뤄졌다면 애초에 기업이 단독으로 기자회견을 열 일도 없었고, 국회 청문회에서 이런 진실 공방이 벌어지지도 않았을 것이다. 안보 사안을 대하는 책임 의식의 부재와 정부-민간 간 역할혼선이 빚은 결과가 고스란히 드러난 셈이다.

결론: 투명성 결여와 책임 떠넘기기의 피해자는 국민

이번 쿠팡 개인정보 유출 사건을 통해 드러난 사실은, 국가기관의 투명성 부족과 책임 회피로 인한 피해는 고스란히 국민에게 돌아간다는 점이다. 3,300만 명에 달하는 국민들의 소중한 개인정보가 유출된 중대 범죄 앞에서, 정작 국가의 대응은 물밑 조율과 은폐로 점철되었고 사후 공개된 진실은 각기 달랐다. 국정원과 정부는 책임 있는 설명보다 서로에게 책임을 미루는 모습을 보였고, 민간 기업인 쿠팡은 사건 해결의 최전선에 홀로 내몰렸다. 그 결과, 개인정보 유출로 불안에 떨던 국민들은 누구의 말을 믿어야 할지 혼란스러운 상황에 처했다. 쿠팡의 발표를 정부가 정면으로 반박하고, 다시 쿠팡이 국정원의 개입을 폭로하는 식의 혼선 속에서 정작 중요한 사실 – 내 정보는 안전하게 회수되었는가, 재발 방지책은 무엇인가 는 흐려져 버렸다.

국민의 신뢰를 회복하고 사이버 안보를 강화하기 위해서는 무엇보다 국가기관의 솔직한 공개와 책임 있는 대응이 필수적이다. 설령 외교적으로 민감한 사안이라 할지라도, 원칙에 따른 공식 절차를 최대한 준수하고 국민에게 상황을 투명하게 알리는 노력이 우선시되어야 한다. 국가정보원 등 기관은 위기 시 책임을 회피하거나 남탓하기에 앞서 자신들의 관여 내용을 소상히 밝히고 법적 한계 내에서 어떠한 조치를 취했는지 설명해야 할 것이다. 그래야 국민도 납득하고 향후 협조를 보낼 수 있다. 반대로 이번 사건처럼 모호한 부인으로 일관하며 모든 부담을 기업에 떠넘기는 식이라면, 국민의 신뢰는 커녕 향후 비슷한 사태에서 누구도 정부를 믿고 따르지 않게 될지 모른다.

끝으로, 3,300만 건 개인정보 유출 사태는 우리 사회에 큰 교훈을 남겼다. 사이버상에서 벌어지는 대규모 침해 사건에 대응할 때, 국가 안보와 국민 보호라는 본분을 국가기관이 끝까지 책임져야 한다는 점이다. 국정원과 정부는 이번 일을 계기로 자신들의 대응 방식을 돌아보고 개선해야 할 것이다. 결국 국가를 믿고 맡긴 국민들의 정보가 유출된 사고인 만큼, 마지막까지 국가가 앞장서서 책임지는 모습을 보일 때 비로소 진정한 수습과 재발 방지가 가능하다. 국민들은 투명하고 책임있는 국가안보를 원한다. 이번 쿠팡 사태를 통해 드러난 문제점들을 직시하고 바로잡는 것이, 그 신뢰를 회복하는 첫 걸음일 것이다.

참고 자료: 쿠팡 개인정보 유출 사건 관련 한겨레·경향신문·MBC 등 보도       등.