쿠팡 수년전 탈퇴 회원정보도 유출
활성·탈퇴 고객정보 통합보관 법위반
정부 “암호키 사용해 비정상 접속”
활성·탈퇴 고객정보 통합보관 법위반
정부 “암호키 사용해 비정상 접속”
 |
서진호(36) 씨는 지난달 30일 쿠팡으로부터 개인정보 유출 안내 문자를 받았다. 서 씨는 2022년 말 쿠팡을 탈퇴했다. 그는 “저와 아내 모두 쿠팡을 탈퇴했고, 이후 쿠팡으로부터 택배를 받은 적조차 없는데 어떻게 정보를 아직도 보관할 수 있는지 의문”이라고 말했다. ▶관련기사 4면
김 모 씨(29) 도 최근 같은 내용의 문자를 받았다. 김 씨 또한 쿠팡을 수년 전 쿠팡을 탈퇴했다. 김 씨는 “탈퇴한 회원은 본인이 어떤 개인정보를 기재했는지 확인할 수 없다”며 “정확히 어떤 주소와 배송지 주소록이 유출됐는지 알 수 없어 답답하다”고 분노했다.
국내 이커머스(전자상거래) 1위 쿠팡에서 대규모 개인정보가 유출된 가운데 탈퇴한 회원의 개인정보가 포함된 것으로 파악됐다. 수년 전 탈퇴한 회원의 개인정보까지 유출되면서 쿠팡이 이들 고객정보를 분리하지 않고, 보관한 것 아니냐는 지적이 제기된다.
2일 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 류제명 과기정통부 2차관은 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3000만개 이상 계정에서 개인 정보가 유출됐다”고 언급했다. 이어 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”라며 “이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다”라고 설명했다.
과학기술정보통신부가 쿠팡 개인정보 유출 사고와 관련해 밝힌 식별된 공격 기간은 지난 6월 24일부터 11월 8일까지다.
이번 사태로 개인정보가 유출된 쿠팡 고객은 3370만명이다. 이는 쿠팡이 올해 3분기 밝힌 활성 고객(구매 이력이 있는 고객)인 2470만명보다 큰 규모다. 쿠팡에서 가입 경험이 있는 소비자 대부분의 개인정보가 노출된 셈이다.
쿠팡의 개인정보 처리 방침에 따르면 쿠팡은 탈퇴한 회원의 개인정보를 탈퇴 시 90일간 보관 후 파기한다. 쿠팡 서비스를 이용했다는 기록 또한 90일 뒤 삭제가 원칙이다. 해외 판매 물품 구매 시 필요한 개인통관고유부호는 정보 삭제를 요청하거나 회원 탈퇴 시 삭제한다. 쿠팡을 탈퇴한 소비자들이 개인정보 처리 방침 위반이라고 주장하는 이유다.
업계는 현행 전자상거래법에 따라 탈퇴 회원이라도 일부 정보를 보관할 수는 있다고 본다. 전자상거래법에 따르면 통신판매중개자는 계약 또는 청약철회 등에 관한 기록, 대금결제 및 재화 등 공급에 관한 기록, 소비자 불만 처리에 관한 기록 등을 5년간 보존해야 한다. 기업과 소비자 간 혹시 모를 분쟁에 대비해 소비자 권리를 보장하기 위해서다.
하지만 쿠팡이 활성 고객과 탈퇴 고객의 정보를 한 데에 모아 관리했다면, 이는 현행법 위반 소지가 있다. 개인정보보호법은 개인정보를 파기하지 않고 보관할 경우 다른 개인정보와 분리해 저장해야 한다고 명시하고 있다. 개인정보보호위원회는 쿠팡이 탈퇴 회원의 개인정보를 어떤 방식으로 보관했는지 조사할 계획이다. 개인정보보호법에 따르면 개인 정보를 분리해 저장하지 않은 자에게는 1000만원 이하의 과태료를 부과한다.
박대준 쿠팡 대표는 이날 국회 과방위 현안 질의에서 “한국 법인 대표로서 끝까지 책임을 지고 사태를 해결하도록 최선의 노력을 하겠다”고 말했다. 신현주 기자
