46만건 해킹 유출 피해 추정
쿠팡 입점 판매자 책임 될 듯
이용자, 피해 모르고 2달 지나
“약관 개정 및 보상 마련 시급”

오픈마켓의 사이버 보안에 대한 경각심이 커지고 있다. (출처: 게티이미지뱅크)
오픈마켓의 사이버 보안에 대한 경각심이 커지고 있다. (출처: 게티이미지뱅크)

[천지일보=손지하 기자] 국내 대기업들의 연이은 개인정보 해킹 피해로 사이버 보안에 대한 경각심이 산업계 전반으로 번지는 가운데 쿠팡·네이버·지마켓 등 전자상거래를 중개하는 오픈마켓의 개인정보 보호 사각지대에 관심이 쏠린다.

쿠팡은 46만건의 이용자 개인정보 유출 정황으로 개인정보보호위원회(개인정보위)로부터 사실 확인 절차를 밟고 있다. 조사 여부는 유출 데이터의 진위를 판별한 후 개인정보 처리 책임이 누구에게 있는지가 밝혀지면 결정될 예정이다.

쿠팡이 직접 “쿠팡으로부터 유출된 고객 정보는 없다”고 밝힌 걸 미뤄 볼 때 가장 유력한 시나리오는 쿠팡에 입점한 판매자로부터 개인정보가 유출됐을 가능성이다. 이 경우 쿠팡이 가진 고객 정보가 제3자인 판매자로 이전한 것이기 때문에 개인정보 처리 책임은 쿠팡이 아닌 이 판매자에게 있다.

앞서 올해 1월 해커는 다크웹에 쿠팡의 고객 정보를 해킹했고 이를 판매한다는 글을 올렸다. 쿠팡은 비슷한 시기부터 이 사실을 인지하고 있었다. 그런데 쿠팡이 개인정보위 등 관계 기관에 신고한 시점은 3월경 언론에 보도된 후부터다.

쿠팡으로부터 유출된 게 아니라면 쿠팡이 관계 기관에 신고하거나 이용자 피해를 알릴 법률상 의무는 없다. 때문에 판매자가 빨리 이 사실을 인지하지 않으면 이용자들이 개인정보가 유출됐다는 사실을 모른 채 고스란히 피해 상황에 노출되는 공백이 생긴다. 쿠팡의 사례가 대표적이다. 피해 사실이 알려지지 않은 채 2개월여가 지났고 아직도 피해 규모를 알 수 없다.

LG유플러스나 카카오 같은 대기업조차 해킹으로부터 무사하지 못한 상황이기 때문에 판매자 보안 조치 강화와 함께 이용자 피해를 신속하게 인식시킬 필요성이 대두된다. 또 쿠팡을 믿고 개인정보 수집에 동의하는 이용자들의 입장에서 제도적인 정비가 필요하다는 목소리가 나온다.

쿠팡 배송차량. (제공: 쿠팡) ⓒ천지일보 2022.08.20
쿠팡 배송차량. (제공: 쿠팡) ⓒ천지일보 2022.08.20

전(前) 개인정보보호법학회 회장 최경진 가천대학교 법학과 교수는 “유럽의 개인정보 보호 규정(GDPR)에 보면 개인정보 처리에 관여한 다양한 당사자가 있을 경우 그들이 함께 공동으로 책임을 지는 게 있다”며 “우리나라는 어느 한쪽이 무조건 책임을 지도록 하는 구조인데 유럽과 같은 형태로도 논의해 어떻게 적절하게 책임을 분배할 수 있을지 고민이 필요해 보인다”고 진단했다.

한국IT법학연구소 소장 김진욱 법무법인 주원 변호사는 “개인정보를 수집한 쿠팡이 어설픈 업체에 이를 제공하는 부분을 좀 더 확인하고 주의와 의무를 상향하는 방향으로 약관을 개정할 필요가 있다”며 “이용자 보호 측면에서도 개인정보 제공에 대한 반대급부를 마련해 문제가 발생하기 전에 이용자 보상 방안을 마련해야 한다”고 제안했다.

다만 이번 사건에 대해 쿠팡이 관계 기관에 빠르게 신고하지 않은 부분은 있지만 이용자 피해를 직접 알리는 건 어려웠을 것이라는 의견도 나온다. 익명을 요구한 한 전문가는 “쿠팡 입장에서는 이용자 피해 규모를 파악하기 어려웠을 것”이라고 설명했다.

쿠팡 관계자는 “쿠팡의 서버와 네트워크는 안전하고 보호되고 있다”며 “쿠팡 네트워크와 고객 개인 정보에 대한 사이버 공격도 없었다”고 강조했다. 쿠팡은 이 사건 이후 최근 개인정보 관리·감독 강화 조치에 나섰다.

먼저 이용 약관 내 본인 확인 절차 관련 조항을 정비한다. 내달 4일부터 쿠팡의 이용약관 제6조에는 ‘회사는 서비스의 안전한 제공을 위해 사이버몰의 결제 관련 서비스를 제공하는 자를 통해 본인확인이 완료된 회원에 대해서만 회원가입을 승인하거나 본인확인이 이뤄지지 않은 회원에 대해서는 서비스 이용 또는 상품 등 구매를 제한할 수 있다’는 내용이 포함된다.

또 판매자들로부터 개인정보가 유출될 경우의 법적 책임을 명확히 공지했다. 쿠팡은 판매자 전용 홈페이지에 “최근 판매자들이 광고·구인 등 과정에서 계정을 양도·대여했다가 온라인 범죄가 발생한 사실을 확인했고 이 책임은 판매자들에게 있다”고 알리는 긴급 팝업 공지를 띄웠다.

판매자가 개인정보 보호 조치를 강화할 수 있는 최선은 개인정보위가 정한 가이드라인을 모두 준수하는 것뿐이다. 또 셀러툴(쇼핑몰 관리 솔루션) 사업자의 보안 조치를 믿거나 관리·감독하는 수준에 그칠 수밖에 없다. 이 역시 현행법으로는 셀러툴 사업자로부터 개인정보가 해킹된 게 아니라면 판매자가 모든 관리 책임을 지게 된다.

개인정보 보호법 개정안이 시행되는 오는 9월부터는 셀러툴 사업자도 일정 부분 관리 책임을 지게 되지만 이 방법으로도 여전히 앞서 서술한 방식대로 개인정보 사각지대가 발생할 가능성은 있다.

천지일보는 24시간 여러분의 제보를 기다립니다.
저작권자 © 천지일보 무단전재 및 재배포 금지