[단독] "건너뛰어라" 김범석의 지시…'재앙'의 시작

<앵커>

어제(17일) 예고해 드린 대로 오늘도 쿠팡에 대한 단독 보도로 8시 뉴스 시작합니다. 김범석 의장과 쿠팡이 과거에도 고객들의 개인정보를 얼마나 가볍게 생각했는지를 확인할 수 있는 자료를 저희가 입수했습니다. 어찌 보면 이번 대규모 개인정보 유출은 예고된 인재였습니다.

첫 소식, 김혜민 기자의 단독 보도입니다.

<기자>

쿠팡은 지난 2018년 8월 '쿠팡 플렉스' 사업을 시작했습니다.

택배기사가 아닌 일반인들이 자신의 오토바이나 차량 등으로 물건을 전달하는 '배송 아르바이트' 시스템입니다.

6개월이 지난 2019년 초 당시 쿠팡 최고개인정보보호책임자였던 A 씨와 물류·배송엔지니어링책임자가 쿠팡 플렉스 관련 메시지를 주고받습니다.

A 씨가 "지난해 말에 드러난 균열 외에도 훨씬 더 많은 것들이 있다"며 "보안과 개인정보 보호 검토를 거쳐야 했다"고 말하자, B 씨는 범, 즉 김범석 당시 쿠팡 대표가 "하지 말라고 했다"고 짧게 답합니다.

이에 A 씨가 "빠르고 싸게 하라고 했을 거다, 하지만 고객과 플렉스 직원의 개인 정보를 다루고 있다"라고 반박하자, B 씨는 "이번 출시를 위해 김 대표가 당신의 팀과 소통하는 것을 건너뛰라고 했다"고 털어놓습니다.

개인정보를 다루는 사업을 김 대표의 지시로 정보 보호 담당 부서와 충분한 협의 없이 추진했다는 내용으로 풀이됩니다.

A 씨는 SBS에 "쿠팡 플렉스 출시 당시 보안과 개인정보 보호 측면에서 재앙이었다"고 말했습니다.

쿠팡의 개인정보 보안 허점을 보여주는 정황은 이뿐만이 아닙니다.

2020년 3월 당시 김범석 대표가 A 씨 등과 나눈 메신저 대화입니다.

김 대표는 쿠팡이츠 배송 과정에서 배달 기사가 고객에게 직접 보낸 문자를 보여주며 "배달 기사가 도대체 어떻게 고객 전화번호에 접근할 수 있었나", "올바른 고객 경험이 아니"라고 다그칩니다.

당시 쿠팡이츠는 배달 기사가 안전 번호를 통해서만 고객과 연락하도록 했지만, 고객 전화번호가 노출되는 문제가 있었던 겁니다.

[김승주/고려대 정보보호대학원 교수 : 미국과 유럽은 아주 오래전부터 보안 내재화를 시행했고요, 우리나라도 과기정통부를 중심으로 권고하고 있습니다. 쿠팡이 보안을 고려하지 않은 채 제품을 출시하는 건 굉장히 위험하고.]

쿠팡 측은 SBS의 해명 요청에 대해 "해당 메시지는 쿠팡에서 해고된 전 임원과 제3자 간의 대화로 추정되며 사실 관계를 확인할 수 없다"고 밝혔습니다.

(영상편집 : 전민규)