666 읽음
반복되는 개인정보 유출, 이번엔 쿠팡… “디지털회복탄력성 논의해야”
시사위크
0
국내 이커머스 시장 1위 업체 쿠팡에서 3,000만건 이상의 대규모 개인정보 유출이 발생했다. 인증 업무 담당 직원이 퇴사 후 개인정보를 유출했을 가능성이 제기된 가운데, 이것이 사실로 판명되면 쿠팡은 인증토큰 관리에 소홀했다는 지적을 피하기 어려울 것으로 보인다.
◇ 3,370만개 계정 정보 유출… 2차 피해 주의
이번 사태로 개인정보가 유출된 쿠팡 이용자 계정은 3,370만개로, 지난달 쿠팡의 월간 활성 이용자 수(MAU)가 약 3,440만명(와이즈앱·리테일 조사 기준)인 점을 고려하면 사실상 거의 모든 이용자의 계정이 유출된 셈이다.
지난 11월 20일 쿠팡은 약 4,500개 계정의 정보가 유출됐다고 KISA(한국인터넷진흥원) 등에 신고했다. 그리고 11월 29일, 추가조사 결과 3,370만개 계정의 정보가 유출됐다고 밝혔다. 또한 개인정보 무단 접근 시도가 시작된 시점은 지난 6월 24일로, 5개월이 지나서야 쿠팡이 개인정보 유출 사실을 인지했다는 점이 밝혀지면서 비판이 일었다.
유출된 정보는 이름, 전화번호, 이메일 주소, 배송 주소록, 주문 내역 등으로 결제 정보나 신용카드 번호 등은 유출되지 않았다는 것이 쿠팡 측 설명이다. 하지만 KISA는 “피해보상, 피해사실 조회, 환불 등을 미끼로 한 스미싱·보이스피싱이 예상된다”며, 2차 피해에 주의할 것을 당부했다.
쿠팡 이용자들은 “(개인정보 유출 사실이) 뉴스로 나오고 나서야 문자 하나 보낸 쿠팡의 대처에 화가 난다”, “가족들 주소가 다 쿠팡에 등록돼있어서 불안하다”는 반응을 보이고 있다. 카카오톡 오픈채팅방, 네이버 카페 등을 통한 집단소송 준비 움직임도 포착됐다.
◇ 쿠팡, 책임 피하기 힘들어… “디지털회복탄력성 논의해야”
쿠팡의 개인정보 유출 사태가 내부자의 소행일 가능성도 제기됐다. 과학기술정보방송통신위원장 최민희 의원실에 따르면 쿠팡의 개인정보 유출 사건의 유력한 용의자는 인증업무를 담당하던 직원 A씨로, 퇴사 후 쿠팡 측이 제때 갱신하거나 폐기하지 않은 ‘액세스 토큰 서명키’를 통해 범행을 저지른 것으로 추정된다고 밝혔다.
로피드 법률사무소 하희봉 대표변호사는 1일 시사위크와의 통화에서 “내부 직원의 소행이라는 것이 사실이라면, 아마 이번 쿠팡 사태가 내부자가 일으킨 개인정보 유출 중 가장 대규모일 것”이라며, “해커가 아주 고도화된 기술을 동원한 경우가 아니라면, 직원의 소행인 것과 관계없이 책임을 피하기 힘들다”고 설명했다.
또 2023년 개정된 개인정보보호법에 따라 법 위반 시 기업 매출액의 3%까지 과징금을 부과할 수 있다. SK텔레콤은 지난 4월 발생한 개인정보 유출 사고로 1,347억9,000만원의 과징금을 부과받은 바 있다. 쿠팡은 이로써 잠재적인 집단소송 배상금에 더해 수천억원에서 최대 1조원의 과징금을 부과받을 위기에 놓였다.
최경진 가천대 법학과 교수(인공지능·데이터 정책연구센터장)은 “개인정보 유출을 시도한 사람의 목적을 반드시 규명해야 한다”며 “돈이 아니라 쿠팡의 망을 교란하려는 목적으로 일어난 것이라면 국가적인 문제가 될 수 있기 때문”이라고 말했다.
이어 반복되는 개인정보 유출 사고에 대해 “이제는 대증적 요법을 넘어 사고가 일어났을 때, 2차 피해가 없도록 대응하는 ‘디지털 회복 탄력성’(기업이 디지털 위협에 대응하고 회복하는 능력)에 대한 논의가 필요하다”고 말했다.