개보위 "쿠팡, 조사 마무리 단계…무단 조회는 유출"

쿠팡 개인정보 유출 사건과 관련해 이정렬 개인정보보호위원회 부위원장이 "조사가 마무리 단계에 있다"며 "법과 원칙에 따라 아주 엄정하게 보고 있다"고 밝혔습니다.

이 부위원장은 오늘(25일) 정례브리핑에서 "쿠팡이 자체 입장문을 내고 있으나 추가 확인이 필요한 부분이 있다"며 "유출 규모와 개인정보보호법 위반 여부를 중심으로 조사하고 있다"고 말했습니다.

이어 "신고를 접수한 직후인 11월 30일 전담팀을 구성해 현재도 현장에 상주하고 있다"며 "가장 경험 있는 전문가들과 조사관을 실제 조사팀에 투입해 한국인터넷진흥원(KISA)과 함께 아주 면밀하게 보고 있다"고 강조했습니다.

앞서 과학기술정보통신부 민관합동조사단 발표에 따르면 쿠팡 '내 정보 수정 페이지'에서 이용자 성명과 이메일이 포함된 개인정보 3천 367만여 건이 유출된 것으로 드러났습니다.

조사단은 또 공격자가 '배송지 목록 페이지'에서 이름·전화번호·배송지 주소와 함께 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 1억 4천800만여 차례 조회한 사실을 확인했다고 밝혔습니다.

이 부위원장은 "조회를 1억 5천만 건 했다는 것이 1억 5천만 개의 계정 유출을 의미하는 것은 아니"라며 "한 계정에 수없이 들어갈 수도 있다"고 짚었습니다.

또, "한 사람이 두 개 계정을 가질 수도 있다"며 "배송지 주소에 비회원 정보가 포함되어 있다는 것은 확인했는데, 구체적으로 밝힐 필요가 있다"고 덧붙였습니다.

조회 행위의 법적 성격에 대해서는 선을 그었습니다.

이 부위원장은 "무단 조회는 유출"이라며 "우리나라뿐 아니라 유럽연합(EU) 일반개인정보보호법(GDPR)에서도 처리자의 관리·통제권을 벗어나 무단으로 공개되거나 접근하는 행위를 유출로 본다"고 강조했습니다.

쿠팡의 모회사인 쿠팡Inc가 전 직원이 무단 접근한 계정 중 약 20만 개가 타이완 소재 계정으로 확인됐다고 밝힌 데 대해서는, "쿠팡의 자체 조사 결과로 파악하고 있다"며 "개인정보위가 확인한 내용이 아니"라고 설명했습니다.

(사진=개인정보위 제공, 연합뉴스)