대만 "쿠팡 개인정보 관리 결함"…20만명 정보 유출에 법적 처분 예고

쿠팡 로고. 로이터=연합뉴스

대만 정부가 쿠팡의 대규모 개인정보 유출 사태와 관련한 행정 조사에서 위법·부실 정황을 확인하고 법적 처분을 예고했다.

대만 디지털발전부는 26일 공고를 통해 전날 법률·정보보안 전문가, 형사경찰국, 국가사이버보안연구원으로 구성된 행정조사팀이 쿠팡 대만법인을 대상으로 현장 검사를 했다며 조사 결과 “쿠팡 대만법인의 개인정보 관리에 결함(缺失)이 있다는 것을 발견했다”고 밝혔다.

이어 “‘개인정보보호법’과 ‘디지털경제 관련산업 개인정보 파일 안전 보호 관리 방법’ 등 관련 규정에 따라 지속해서 포렌식 보고 및 각 상황을 조사할 것이고, 조사 결과에 관해서는 법정 절차에 따라 후속 처분을 할 것”이라고 설명했다.

━

20만여명 정보 접근…IP 2000여개 동원

행정조사팀에 따르면 유출 행위자는 과거 쿠팡 한국 지사 직원으로, 2000여개의 서로 다른 IP 주소를 이용해 20만4552명의 쿠팡 대만 이용자 개인정보에 접근한 것으로 파악됐다. 유출 대상에는 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 기록 등이 포함됐다.

대만 당국은 쿠팡 대만법인이 그간 한국과 대만의 사용자 데이터베이스가 분리돼 있다고 설명해 왔으나, 조사 결과 서로 다른 데이터베이스의 백업용 암호키가 동일해 쿠팡 한국의 전직 직원들은 퇴사 이후에도 기존 백업 키를 통해 데이터베이스에 접근할 수 있었던 것으로 드러났다.

━

“영향 없다”던 쿠팡…한국 발표 후 뒤늦은 통보

디지털발전부는 지난해 11월 개인정보 유출 사건 발생 직후 쿠팡 대만법인에 해명을 요구하고 대만 이용자 정보의 영향 여부를 확인했다고 설명했다. 당시 쿠팡은 공개 성명을 통해 대만 소비자의 개인정보 유출 증거는 발견되지 않았다고 밝혔다.

이어 지난해 12월 24일에도 법률·정보보안 전문가들이 국가사이버보안연구원과 함께 현장 검사를 진행했지만, 쿠팡은 보안업체가 조사 중이며 대만 이용자 피해 정황은 없다는 기존 입장을 유지했다. 이 같은 설명은 올해 1월 12일과 26일, 이달 9일에도 반복됐다고 당국은 전했다.

그러나 한국 정부가 2월 10일 발표한 조사 결과에는 공격자가 지난해 11월 쿠팡 한국법인에 보낸 이메일에서 한국·일본·대만 이용자가 모두 유출 피해를 입을 것이라고 언급한 내용이 포함된 것으로 나타났다. 이후 쿠팡 대만법인은 2월 23일에야 대만 측에 개인정보 유출 사실이 확인됐다고 통보했다고 디지털산업부는 지적했다.

━

쿠팡Inc “대만 계정 20만개”…행정처분 수순

쿠팡의 모회사인 쿠팡Inc는 25일 전 직원이 무단 접근한 계정 가운데 약 20만 개가 대만 소재 계정으로 확인됐다고 밝혔다. 한국 고객뿐 아니라 대만 고객 정보까지 유출된 사실이 뒤늦게 드러난 셈이다.

이에 따라 대만 디지털발전부는 추가 행정 조사와 함께 관련 법령에 따른 제재 절차에 착수할 방침이다.

또 디지털발전부는 쿠팡 대만에 대해 개인정보보호법과 디지털 경제 관련 업종의 개인정보 보관·관리 규정에 따라 필요한 조치를 취할 계획이라고 밝혔다.

한영혜 기자 han.younghye@joongang.co.kr