▲ 송경희 개인정보위원장
송경희 개인정보보호위원장은 21일 오후 서울 중구 프레스센터에서 연 기자간담회에서 쿠팡 개인정보 유출 사고와 관련해 "조사가 상당히 진행됐다"며 "해외 사업자든 국내 사업자든 똑같이 법에 근거해 개인정보보호법 위반 여부를 조사하는 것이 원칙"이라고 밝혔습니다.
송 위원장은 쿠팡이 미국에 상장된 기업이고 미국 의회 차원의 압박이 제기되고 있다는 질의에 대해 "국민에게 준 피해 규모가 얼마나 되는지, 실제로 제대로 조치했는지를 엄격하게 보고 그에 맞는 처분을 내리겠다"고 말했습니다.
이어 "이렇게 하는 것이 어떤 통상에 변수가 된다든지 하는 것들을 고려하고 있지 않다"고 선을 그었습니다.
앞서 쿠팡은 지난해 11월 말 약 3천370만 건의 개인정보가 무단으로 노출된 것으로 확인됐다고 공지한 바 있습니다.
이후 자체 조사를 통해 고객 계정 약 3천300만 개의 기본적인 고객 정보에 접근이 이뤄졌지만, 이 가운데 약 3천 개 계정의 고객 정보만 저장됐고 외부 전송은 없었다고 밝혀 논란이 됐습니다.
이와 관련해 송 위원장은 "확실한 것은 3천만 명 이상의 개인정보가 유출됐다는 점"이라며 "비회원 정보도 포함된 것으로 보이고, 이를 추가하면 규모는 더 늘어날 수 있다"고 지적했습니다.
이어 "(비회원 정보 유출은) 배송지를 지정하는 과정에서 본인이 아닌 다른 사람에게 (물품을) 보내는 경우 등이 들어간다"며 "이러한 사례를 확인하고 있다"고 덧붙였습니다.
송 위원장은 쿠팡의 사고 대응 과정에 대해 "조사 과정에서 자료 삭제 문제가 있었고, 이러한 문제들이 조사 과정에서 계속 (발생하고) 있다"며 "보다 강한 법률적 근거를 마련해 개인정보위의 조사 권한을 강화하겠다"고 말했습니다.
송 위원장은 ISMS-P(정보보호 및 개인정보보호 관리 체계) 제도의 개선 방안과 관련해서는 "취소 기준을 마련 중"이라며 "올해 사고를 낸 기업들 가운데 인증 취소 사례도 좀 있을 것으로 예상된다"고 말했습니다.
쿠팡은 2021년과 2024년 두 차례 정부의 ISMS-P 인증을 받았지만, 이번 대규모 유출 사고를 포함해 4건의 개인정보 유출이 발생하면서 제도 실효성 논란이 제기됐습니다.
SK텔레콤이 개인정보위의 과징금 1천348억 원 처분에 불복해 최근 행정소송을 제기한 데 대해서 그는 "부당이득을 취하지 않았기 때문에 과징금이 부당하다는 주장은 맞지 않는다"고 선을 그었습니다.
그러면서 "개인정보 유출에 대한 과징금 부과는 대규모로 정보를 보유·활용하는 과정에서 통제를 제대로 하지 못해 정보 주체에게 피해를 끼친 데 대한 책임을 묻는 것"이라고 부연했습니다.
KT 해킹 사고와 관련해서는 "조사 과정이 아직 마무리된 상태는 아니다"라면서 "확인 과정과 처리 과정이 남아 있다"고 밝혔습니다.
민관합동조사단 발표에서 제기된 펨토셀(초소형 기지국)로 인한 KT의 전 가입자 도청 위험 가능성도 개인정보위의 조사 대상이냐는 질의에는 "조사 과정에서 신고되지 않았더라도 새로운 사실이 발견되면 모두 조사에 들어간다"고 답했습니다.
앞서 LG유플러스 통합 서버 접근제어 솔루션(APPM) 서버에서 정보 유출 정황이 확인됐으나 해당 서버가 재설치·폐기돼 민관합동조사단의 조사가 중단된 것과 관련, 서버 폐기 사례가 재발할 수 있다는 질의도 나왔습니다.
송 위원장은 "서버 폐기 문제는 매우 심각한 사안"이라며 "개인정보위도 강제 조사권과 자료 보존 명령을 할 수 있도록 관련 법률안을 마련하고 있다"고 답했습니다.
최근 랜섬웨어 감염사고가 발생한 교원그룹과 관련해서는 "현재까지 개인정보 유출이 확인되지는 않았다"며 "유출 가능성을 염두에 두고 신고가 이뤄진 사안으로, 개인정보위도 함께 살펴보고 있다"고 말했습니다.
개인정보위는 이밖에 롯데카드와 넷마블 등의 개인정보 유출 사건도 조사 중입니다.
송 위원장은 "롯데카드 등의 사안에 대해서는 조사를 신속하게 하고 있다"며 "머지않은 시간에 마무리될 것"이라고 했습니다.
(사진=개인정보보호위원회 제공, 연합뉴스)
댓글