“김범석이 하지 말라 해”.. 쿠팡 개인정보 보호팀 ‘패싱’ 정황

18일 한겨레가 입수한 쿠팡 전 최고정보책임자(CPO) 미국인 ㄱ씨와 에릭 렌 당시 풀필먼트 및 물류 엔지니어링 총괄이 2019년 1월 나눈 ‘시그널’ 메신저 대화 내용을 보면, 쿠팡은 개인 차량 배송 서비스 ‘쿠팡플렉스’ 출시(2018년 8월)에 앞서 보안 및 개인정보 보호 규정 관련 검토를 하지 않은 정황이 발견됐다.

ㄱ씨는 메신저 대화에서 “이건(쿠팡플렉스 출시) 당연히 보안·개인정보 보호 검토를 거쳤어야 한다는 걸, 당신들도 알지 않느냐”고 문제를 제기했다. 그러자 에릭 렌 당시 총괄은 “범(Bom·김 의장의 영문 이름)이 하지 말라고 했다”고 답했다. 이에 ㄱ씨는 재차 “그(김 의장)는 분명 ‘빨리, 싸게 하라’고 말했을 것이다. 하지만 이건 고객과 쿠팡플렉스 노동자들의 개인정보·개인식별정보(PII)를 다루는 일 아닌가”라고 반문했지만, 에릭 렌 총괄은 “범이 당신 팀을 참여시키지 말라고 했다”고 선을 그었다. 김 의장의 결정 아래 ㄱ씨가 몸담았던 사내 정보보호 조직은 사실상 ‘패싱’ 당했던 셈이다.

2018년 하반기에 쿠팡은 본인 차량으로 로켓배송 서비스를 할 수 있는 쿠팡플렉스 지원자를 별도 검증 절차 없이 뽑았다. 지원자들은 △이름 △휴대폰 번호 △배송 희망 지역 △자차 배송 가능 여부 등 항목만 제출하면 신청 지역 내 아파트, 빌라 현관 출입 비밀번호 등을 공유받을 수 있었다. 이렇게 공유된 개인정보가 범죄에 악용될 수 있다는 우려가 제기되기도 했다.

쿠팡이 핀테크 사업에 대한 금융감독원 검사를 받으며, 김 의장 지시로 금융사고 발생 위험이 있는 데이터 피드를 은폐한 정황도 확인됐다. ㄱ씨는 2020년 7월 알베르토 포나로 당시 최고재무책임자(CFO)로 추정되는 인물에게 메신저로 “(회사가 자체적으로 보유·운영하는) 핀테크 시스템에서 쿠팡 데이터 플랫폼 팀의 데이터 웨어하우스(중앙 저장소)로 연결되는 비준수 및 불법 데이터 피드가 있다”고 보고했다. 쿠팡페이(쿠페이)의 전자금융 시스템과 쿠팡 데이터 플랫폼을 자동·상시로 연결하는 데이터 연계 구조에 문제가 있었다는 취지다. 그러면서 ㄱ씨는 “이 데이터 피드는 법에 정해진 보안 및 개인정보 보호 검토를 한번도 거치지 않았다”고 덧붙였다. 앞서 쿠팡은 2020년 4월 쿠페이 결제 서비스를 담당하던 핀테크 자회사 ‘쿠팡페이’를 설립했는데, 시스템을 완전히 분리하는 과정에서 이 문제가 뒤늦게 발견됐던 것으로 보인다.

하지만 이런 문제는 금융감독원 검사에서 적발되지 않았다. ㄱ씨는 그 이유에 대해 “키로(Kiro·경인태 당시 쿠팡페이 CEO)가 금감원 검사가 진행되는 동안 이 데이터 피드를 삭제”했기 때문이라며 “키로는 여러 사람에게 ‘범이 이 일을 하라고 지시했다’고 말했다고 한다”고 해당 메신저 대화에서 전했다.

.. 후략 ..

[단독] “김범석이 하지 말라 해”…쿠팡 개인정보 보호팀 ‘패싱’ 정황