쿠팡 관련 개인정보 46만건 유출
“피해 알고도 무마에만 급급했다”
정보보호 투자, 이커머스 중 1위
[천지일보=손지하 기자] 정보보호 분야에 꾸준한 투자를 이어온 쿠팡이 개인정보 유출 사건이 발생하자 피해자 구제를 뒷전으로 미뤘다는 비판이 나온다.
지난 1월 쿠팡에서 물품 구매 기록이 있는 사람들의 개인정보 46만건이 유출돼 다크웹(해킹 데이터 거래 사이트)에서 판매됐다. 유출된 개인정보는 이름, 주소, 전화번호, 상품 거래 정보 등이다. 때문에 쿠팡이 해킹을 당해 개인정보가 유출된 게 아니냐는 의혹이 제기됐다.
쿠팡은 ‘쿠팡을 통해’ 유출된 고객 정보는 없다고 선을 그었다. 쿠팡은 “자사 서버를 확인한 결과 쿠팡의 고객 정보는 안전하게 보호 관리되고 있다”며 “어떠한 부정적인 접근도 없었다”고 밝혔다.
정부도 위법 여부를 조사하는 단계는 아니다. 쿠팡이 직접적으로 해킹을 당한 게 아니라면 입점 업체 등 제3자를 통해 유출됐을 가능성이 있기 때문이다. 개인정보 보호법에서는 ‘개인정보 처리자’가 유출 책임을 지기 때문에 정부도 사전 조사로 명확한 해킹 대상·경로가 나와야 다음 단계를 밟을 수 있다.
현재 개인정보보호위원회(개인정보위)는 쿠팡과 관련된 것으로 보이는 개인정보 유출 사고에 대해 사실 여부를 확인하고 있다. 개인정보위는 유출된 개인정보의 출처 확인과 유출 경위, 규모 등을 검토하고 유출 관련 개인정보처리자 등이 확인되면 개인정보 보호법 위반에 대한 조사에 착수할 계획이다.
문제는 이 과정에서 이미 쿠팡이 모니터링을 통해 고객들의 개인정보가 유출된 걸 인지하고 있었다는 사실이다. 하지만 피해자들에게 이를 알리지 않았고 해킹 사실이 알려진 후에야 “‘쿠팡을 통해’ 유출된 정보는 없다”고 사실상 책임 소재를 분리했다.
개인정보 보호법에 따르면 기업에서 정보 유출이 발생했을 때는 24시간 안에 한국인터넷진흥원·개인정보위 등에 신고하고 피해 당사자들에게 이를 알려야 한다. 쿠팡은 이번 피해가 자사를 통한 것이 아니라서 책임을 질 필요가 없다는 판단을 한 것으로 해석된다.
이번 사건에서 고객 피해 구제에 나서지 않은 점만 제외하면 쿠팡은 고객 정보를 보호하는 데에는 진정성 있는 모습을 보여왔다. 과학기술정보통신부의 ‘2022년 정보보호 공시 현황 분석 보고서’에 따르면 쿠팡은 도소매업·이커머스 분야에서 가장 많은 자금과 인력을 투입하고 있다. 이 보고서는 정보보호 현황을 의무 또는 자율로 공시한 기업 648곳의 정보보호 투자 실태를 분석한 결과를 담았다.
서비스별 주요 기업의 최고 정보보호 투자 비중은 플랫폼 카카오 3.91%(141억원), 이동통신사 KT 5.24%(1021억원), 게임사 넥슨코리아 8.02%(136억원), 이커머스 쿠팡 7.13%(535억원)다. 쿠팡은 카카오와 넥슨코리아의 투자액의 4배에 달하는 수준으로 정보보호에 큰 비용을 써왔다.
쿠팡은 이커머스 분야에서 정보보호 전담 인력도 1등이었다. 주요 업종의 전담 인력 상위기업을 보면 정보통신업은 KT(335.8명, 6.64%), SK텔레콤(196.1명, 7.76%), 넥슨코리아(156.8명, 32.67%) 순이고 도소매업은 쿠팡(170.6명, 7.41%), 11번가(37명, 7.07%), 위메프(30.2명, 9.75%) 순으로 높았다.
보안 업계 관계자는 “해커가 마음을 먹고 해킹하고자 하면 기업에서는 막기가 어렵다. 쿠팡이 다크웹을 모니터링해 개인정보 유출 사실을 확인한 걸 보면 (정보) 관리를 잘하고 있었던 건 맞다”면서 “사전에 발견한 건 잘했지만 유출 사고 발생에 따른 대응에 문제가 있었다. 사건의 진상을 알리고 피해 확산 방지와 재발방지대책 수립 등에 힘써야 하는데 사건을 무마하기에 급급했다”고 지적했다.
비슷한 선례로 구글·메타 등 빅테크도 현행법에 명시된 ‘개인정보 처리자’의 개념을 이용해 법망을 빠져나갈 궁리를 해온 바 있다. 이용자(고객)의 개인정보를 일차로 입수한 건 구글·메타일지라도 이를 제3자(광고 사업자, 플랫폼 등)가 활용하는 과정에서 법에 저촉되는 문제가 생긴다면 그들의 책임이라는 것이다.
한편 올해 초부터 카카오·LG유플러스·올리브영·쿠팡 등 대표적인 국내 기업의 개인정보 유출 이슈가 연이어 발생하면서 사이버 보안 강화의 필요성이 대두되고 있다.