개인정보보호위원회(개인정보위)가 쿠팡에 역대 최대인 6246억 8100만원의 과징금을 부과한 것은 단순한 해킹 사고가 아니라 기업의 기본적인 개인정보 보호 의무를 전반적으로 소홀히 한 결과라고 판단했기 때문이다. 개인정보 유출뿐 아니라 법적 근거 없는 개인정보 수집, 조사 방해, 개인정보 파기 의무 위반 등 복수의 위반 사항이 확인되면서 종전 최대였던 SK텔레콤 제재 규모를 넘어서는 처분이 내려졌다.
송경희 개인정보위 위원장은 11일 정부서울청사에서 브리핑을 열고 "이번 사고는 고도의 해킹이 아니라 인증 서명키 관리와 접근통제 등 기본적인 안전관리 체계가 미흡해 발생한 사고"라며 "국내외 기업 여부와 관계없이 법과 원칙에 따라 책임에 상응하는 처분을 내렸다"고 밝혔다.
이번 처분은 전날 열린 개인정보위 전체회의에서 13시간이 넘는 심의를 거쳐 확정됐다. 오전 10시에 시작한 회의는 오후 11시30분께 종료됐으며, 쿠팡 측이 출석해 의견을 개진하고 위원들과 질의응답을 이어가면서 장시간 논의가 이뤄졌다.
이후 쿠팡은 자체 조사 과정에서 최초 신고보다 훨씬 큰 규모의 유출을 확인해 11월 29일 2차 신고를 했고, 올해 2월에는 약 16만 5000개 회원 계정의 추가 유출을 확인해 3차 신고를 했다.
조사 결과 해커는 지난해 말 퇴사한 쿠팡 전직 직원으로, 재직 당시 직접 개발했던 대체 인증 체계의 서명키를 이용해 올해 4월부터 11월까지 회원정보 수정, 배송지 관리, 주문목록 페이지 등에 반복적으로 접근하며 개인정보를 빼낸 것으로 확인됐다. 유출 규모는 회원 3322만명과 회원이 아닌 배송지 정보 주체 최소 433만명을 합쳐 약 3755만명에 달했다.
개인정보위는 특히 쿠팡의 안전조치 의무 위반을 중대한 문제로 판단했다. 인증 서명키를 평문으로 열람할 수 있도록 관리했고, 해당 키에 접근 가능했던 직원이 퇴사한 뒤에도 키를 즉시 폐기하거나 교체하지 않았다. 또 공격 기간 동안 1억 4800만회에 달하는 비정상 접속과 급격한 트래픽 증가가 발생했음에도 이를 탐지하지 못했고, 이상 징후에 대한 추가 분석도 이뤄지지 않았다. 개인정보위는 "공격 사실조차 인지하지 못한 것은 접근통제가 제대로 작동하지 않았다는 의미"라고 설명했다.
유출 이후 대응도 미흡했다고 판단했다. 쿠팡은 추가 유출 사실을 인지하고도 법정 기한인 72시간 내 통지하지 않았고, 회원이 아닌 배송지 정보 주체에 대해서는 개인정보위의 수차례 요구에도 유출 사실을 알리지 않았다. 탈퇴 회원의 개인정보를 내부 규정과 달리 보관해 일부가 실제 유출됐으며, 조사 과정에서는 자료보전 명령 이후 웹 접속 로그를 삭제하거나 자동 삭제 정책을 유지해 사고 원인 규명을 어렵게 한 점도 적발됐다. 개인정보위는 조사 방해 혐의에 대해서는 고발 조치하기로 했다.
이와 별도로 개인정보위는 쿠팡이 '쿠팡 파트너스'를 운영하면서 이용자 약 1117만명의 타사 웹사이트·앱 방문 기록을 동의 없이 수집해 회원번호와 함께 저장한 사실도 확인했다. 개인정보위는 맞춤형 광고를 위해 개인의 온라인 활동기록을 수집하면서 법적 근거를 갖추지 않았고, 광고 파트너의 이른바 '납치광고'도 제대로 관리하지 않았다며 관련 위반에 대해서만 2011억 600만원의 과징금을 추가 부과했다.
쿠팡은 개인정보위 결정에 대해 유감을 표했다. 회사는 "데이터 유출 사태와 관련한 2차 피해 방지를 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위 결정에 충분히 반영되지 않았다"며 "공식 의결서를 받은 뒤 법적 절차를 통해 사실관계가 명확히 규명되기를 기대한다"고 밝혔다. 또한 쿠팡 파트너스 역시 글로벌 기업과 동일한 제휴 모델을 기반으로 적법하게 운영되고 있다는 입장을 내놨다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
