[아이뉴스24 김혜경 기자] 쿠팡에서 물건을 구매한 이용자들의 개인정보가 유출됐다는 의혹이 제기되면서 논란이 일고 있다. 쿠팡은 사실무근이라고 펄쩍 뛰고 있는 가운데 개인정보보호위원회는 진상 파악에 나섰다. 오픈마켓에서 발생한 개인 정보 유출 사고는 그 책임의 주체가 누구이냐가 관건이 될 전망이다.
◆ "46만건 데이터 탈취"…해외 판매자서 유출 추정
23일 보안업계에 따르면 지난 1월 말 신원 미상의 해커가 쿠팡에서 물건을 주문한 이용자 개인정보로 추정되는 데이터를 러시아 해킹포럼에 게시했다. 보안 전문가는 "이미 같은달 데이터가 판매돼 현재는 삭제된 상태"라면서 "당시 해커가 공개한 샘플을 분석해봤더니 일부 쿠팡 판매자 정보와 일치하는 데이터가 있었는데 샘플에 특정 배송업체가 기재된 점을 미뤄봤을 때 판매자가 배송업체에 데이터를 전달하는 과정에서 유출됐을 것으로 추정된다"고 말했다.
이 해커는 자신이 빼돌린 데이터가 46만8천건이라고 주장했다. 유출 정보에는 이름과 주소, 전화번호, 주문 상품, 개인통관번호 등이 포함됐다. 국내 소비자가 해외직구 혹은 구매대행 서비스를 이용하려면 개인통관부호가 필요하다. 알파벳 P와 13자리 숫자가 합쳐진 형태의 코드다. 일부 샘플에 통관번호가 포함된 것으로 봤을 때 해커가 탈취한 정보는 해외 판매자로 추정된다. 중국 업체일 가능성이 높다는 분석이다.
이번 사건 쟁점은 크게 두 가지다. 첫 번째는 데이터의 진위 여부와 유출 경로다. 46만건 전체가 쿠팡 회원정보가 맞는지 혹은 일부만 해당되는지, 모두 허위정보인지 구체적으로 판별해야 한다. 대부분의 해커들은 자신들의 행위를 부풀리는 경향이 있으므로 일부는 중복되거나 짜깁기했을 가능성도 배제할 수 없다.
단 한 건이라도 쿠팡 회원정보가 맞다면 유출 경로를 따져봐야 한다. 앞서 쿠팡 측은 입장자료를 내고 "쿠팡을 통해 유출된 고객 정보는 물론 어떠한 부정적인 접근도 없었다"며 "수차례 조사를 통해 이 같은 사실이 전혀 없음을 확인했다"고 반박했다.
'쿠팡을 통해 유출된' 정보가 없다는 것은 쿠팡 자체 서버에 문제가 없었다는 뜻으로 해석된다. 다만 쿠팡 시스템에는 비정상적 접근이 없었을지라도 판매자 시스템 문제로 실제 회원정보가 유출됐을 가능성은 배제할 수 없다. 이용자들이 쿠팡 회원 계정으로 접속한 후 쿠팡에 입점한 판매자 물건을 구매하는 구조이기 때문이다.
판매자 관리 미흡으로 개인정보가 유출됐다면 어느 업체에서 유출된 것인지 국내‧외 여부까지 따져봐야 한다. 일부 업체들이 당초 계약과는 다르게 일정 기간이 지난 후 개인정보를 파기하지 않고 축적하다가 문제가 발생했을 가능성도 있다. 개인정보처리시스템 접근통제 등 안전조치 의무를 제대로 지켰는지 여부도 들여다봐야 한다.
◆ '개인정보처리자'는 누구…제도 개선도 필요
두 번째는 유출 책임과 사고 통지 주체의 문제다. 유출된 데이터가 회원 개인정보와 일치한다면 책임은 누구에게 있을까. 개인정보 보호법상 '개인정보처리자'가 누구냐는 것이 또 다른 쟁점이다.
개인정보위 관계자는 "판매자 시스템에서 개인정보가 유출된 것이 맞는지 여부 등을 고려해야 하므로 정식 조사에 착수한 것이 아니라 사실 여부를 파악하고 있는 단계"라면서 "오픈마켓 회원 개인정보가 대규모로 유출된 것은 이번이 처음이라는 점에서 면밀하게 들여다볼 예정"이라고 말했다. 2021년 다수의 오픈마켓에서 판매자 계정 도용이 발생해 개인정보위가 관련 처분을 내린 적은 있지만 이용자 정보 유출은 최초라는 설명이다.
최경진 가천대 법학과 교수는 "유럽 일반 개인정보 보호법(GDPR)에는 공동 개인정보처리자(컨트롤러) 개념이 있어 누가 더 책임을 져야 하는지 경중을 따지긴 해도 양쪽에 책임이 있다고 명시하고 있지만 국내법은 개인정보 처리자와 이를 수탁해 처리하는 곳으로 구분하고 있다"며 "판매자가 개인정보처리자가 되고 나머지는 수탁자가 될 가능성이 높은 것으로 보인다"고 말했다.
최 교수는 "다만 데이터가 어디에서 처리되고 있는지 거래 과정에서 이용자가 바라보는 실질적인 주체가 누구인지 등을 비롯해 오픈마켓과 판매자 간 계약관계도 살펴봐야 한다는 점에서 면밀하게 살펴볼 필요가 있다"며 "플랫폼 사업자 책임 범위를 둘러싼 논쟁이 개인정보 분야로도 확장된 셈"이라고 강조했다.
한국IT법학연구소장인 김진욱 변호사는 "판매자와 거래한 이용자 정보만 포함됐다면 판매자가 개인정보처리자가 되겠지만 만약 유출된 데이터에 특정 판매자와 거래를 하지 않았는데 특정 이용자의 정보가 발견된다면 침해사고 가능성도 고려해야 한다"며 "정식 신고가 없는 상태로 조사 결과 다른 내용이 발견된다면 배상 책임 등 사업자 입장에서는 불리하게 작용할 가능성도 있다"고 전했다.
개인정보 유출 책임과는 별도로 이용자 통지 주체는 오픈마켓 혹은 국가기관이 나서야 한다는 의견도 있다. 통지 의무는 피해 확산을 막기 위해 이용자 보호 차원에서 만들어졌기 때문이다.
보호법 제34조에 따르면 개인정보처리자는 개인정보 유출을 인지했을 경우 '지체 없이' 정보주체에게 ▲유출된 개인정보 항목 ▲유출된 시점과 경위 ▲피해 최소화를 위한 조치 ▲대응조치와 피해 구제 차 ▲피해 사실을 접수할 수 있는 담당부서‧연락처 등을 알려야 한다. 정당한 사유 없이 해당 사실을 인지했을 때부터 '24시간'을 넘어서 통지·신고해서는 안 된다.
경제정의실천시민연합 시민권익센터 위원인 김보라미 변호사는 "이용자 입장에서는 쿠팡을 이용한다고 생각하고 입점 판매자와 거래하는 것"이라며 "이번 사건에서 유출 책임은 판매자에 있다고 하더라도 이용자에 유출 사실을 통보하는 창구 역할은 쿠팡이 담당해야 하고 통지 의무가 불분명할 경우 국가기관이 나설 수 있도록 제도 개선도 필요하다"고 말했다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기