개인정보보호위원회가 쿠팡의 대규모 개인정보 사고를 ‘노출’이 아닌 ‘유출’로 규정하고 재통지와 추가 조치를 명령한 사실이 확인됐다.

X

개인정보 유출 관련 문자 발송한 쿠팡 (서울=연합뉴스)

개인정보위는 3일 긴급 전체회의에서 쿠팡이 3천만건이 넘는 개인정보를 외부 비정상 접속에 의해 유출한 정황을 파악하고도, 이용자에게 보낸 안내문 제목을 ‘노출’로 기재한 점을 문제로 지적했다. 개인정보위는 쿠팡이 정확한 사고 성격을 반영해 ‘유출’로 수정·재통지하고, 유출 항목을 모두 포함하도록 즉각 조치하라고 의결했다.

쿠팡은 유출 사실 인지 후 홈페이지에 관련 내용을 단기간만 공지했고, 공동현관 비밀번호 등 일부 항목을 누락한 채 안내해 이용자 혼란을 초래했다는 비판을 받았다. 개인정보위는 “이커머스 시장을 널리 활용하는 국민의 상황을 감안하면, 사고 중대성에 비해 쿠팡의 대응이 부족했다”는 판단을 내렸다.

특히 개인정보위는 쿠팡이 회원 기준으로만 통지한 점을 문제로 보고, 배송지 명단에 이름이 포함된 제3자에게도 범위가 식별되는 대로 유출 사실을 통지하도록 요구했다. 쿠팡의 시스템 구조상 여러 배송지가 하나의 묶음으로 저장되며 이름·주소·전화번호·공동현관 비밀번호 등이 함께 포함돼 있어, 선물 배송 등으로 등록된 제3자의 정보도 유출됐을 가능성이 크기 때문이다.

개인정보위는 쿠팡에 홈페이지 초기 화면 또는 팝업을 통해 일정 기간 이상 사고 내용을 지속 공지하고, 공동현관 및 계정 비밀번호 변경 권고 등 예방 조치를 적극 안내하라고 명령했다. 피해 방지 대책의 실효성 점검, 모니터링 강화, 전담 대응팀 확대 운영도 함께 요구했다.

쿠팡은 향후 7일 이내 이행 결과를 개인정보위에 제출해야 하며, 개인정보위는 후속 점검을 계속 수행할 방침이다. 개인정보위는 “국민 다수의 연락처와 주소 등이 포함된 유출 사고의 중대성을 무겁게 인식하고 있다”며 “쿠팡의 유출 경위와 규모, 안전조치 위반 여부를 신속하게 조사하고 확인된 위반 사항에는 엄정하게 제재하겠다”고 밝혔다.

한편 개인정보위는 지난달 30일부터 3개월간 인터넷·다크웹 내 개인정보 불법 유통 모니터링 강화 기간을 운영하며, 관련 협·단체와 함께 피해 예방 교육과 캠페인을 집중 전개하고 있다.

1 0