한국과 다르다...대만, 쿠팡 사태 '개인정보보호법 위반'으로 접근

신수정 2026. 3. 2. 11:11
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
 
[뉴스토마토 신수정 기자] 쿠팡 정보 유출 때 대만 사용자 계정 20만여건이 포함된 사실이 뒤늦게 알려진 가운데 대만 정부가 개인정보 관리·통제 실패를 위법으로 규정하고 즉각 행정조사에 나섰습니다. 정보 유출 뒤 피해가 없어 쿠팡을 강하게 처벌하기 어렵다는 우리 정부의 판단과 온도차가 뚜렷합니다. 
 
2일 유통업계 등에 따르면 쿠팡에서 발생한 3370만건에 이르는 고객 개인정보 유출 건의 20만4552건은 대만의 고객 계정으로 뒤늦게 알려졌습니다. 앞서 쿠팡은 지난해 11월29일 한국에서 대규모 정보 유출 사건을 공지한 직후 공개 성명을 통해 '쿠팡 대만 고객 데이터가 유출됐다는 증거는 없다'는 자료를 배포했습니다. 그럼에도 대만 디지털발전부 디지털산업서(AID)는 당해 12월24일 법률·정보보안 전문가들이 국가사이버보안연구원과 함께 현지 행정 검사를 실시해 대만 사용자 정보가 유출에 영향을 받았는지 별도로 확인했습니다.
 
쿠팡 대만법인은 최근까지 '대만 사용자 영향이 있다는 증거가 없다'고 거듭 강조했는데요. 대만 당국의 지도 아래 글로벌 보안업체 맨디언트와 팔로알토 네트웍스 등과 진행한 정밀 포렌식 검사에서 3개월 만에 상황은 반전을 맞았습니다. 쿠팡의 미국 모회사 쿠팡Inc가 지난달 25일 발표한 조사 결과에서 고객 개인정보 유출 사실을 인정하면서입니다. 대만 고객 정보에 접근한 범인은 국내 유출 건과 동일범(중국 국적의 전 직원) 소행으로 드러났습니다.
 

(그래픽=뉴스토마토)
 
쿠팡Inc는 "유출된 고객 데이터는 이름, 이메일 주소, 전화번호, 배송 주소, 일부 주문 내역과 같은 기본적인 연락처와 주문 정보에 국한됐다"고 설명했습니다. 
 
하지만 다음날 대만 디지털발전부는 법률 및 정보보안 전문가, 형사 경찰국, 국가사이버보안연구원으로 구성된 행정조사팀을 쿠팡 대만법인에 보내 행정 검사한 결과 보고서를 발표했습니다. 보고서에는 "쿠팡 대만법인의 개인정보 관리에 결함이 있다는 것을 발견했다"며 "쿠팡 대만법인이 앞서 대만과 한국의 사용자 데이터베이스가 분리됐다고 밝혔으나, 조사 결과 서로 다른 데이터베이스의 백업 키가 동일해 접근이 가능했다"는 내용이 담겼습니다.
 
쿠팡 대만법인은 한국과 대만의 사용자 데이터베이스(DB)가 분리돼 있다고 주장했으나, 조사 결과 양국 데이터베이스 백업 키가 동일하게 설정돼 접근이 가능했던 것으로 밝혀졌습니다. 또한 퇴직 직원의 접근 권한을 삭제하지 않고 백업 키를 정기적으로 교체하지 않은 점도 문제로 지적됐습니다.
 
대만 디지털발전부는 쿠팡 대만법인에 대해 개인정보보호법 및 디지털 경제 관련 업종의 개인정보보관 및 관리 규정에 따른 조처를 하겠다고 예고했습니다. 또한 한국 개인정보보호위원회(PDPC)에도 "필요시 대만 당국과 협조하겠다"는 입장을 전달하며 공조 가능성을 열어두면서 쿠팡을 상대로 양국 동시 압박 구도를 형성했습니다.
 
쿠팡 개인정보 유출에 대해 행정적 과실을 철저히 따지고 엄정 처벌을 예고한 점에선 양국의 기조가 같지만, 쿠팡과 쿠팡페이 간의 '원 아이디·원 클릭' 정책에 따른 쿠팡페이의 결제 정보 유출 여부에 대한 문제의식은 결을 달리하고 있습니다.
 
국내에선 범정부 차원의 광범위한 조사와 수사가 석 달째 이어지고 있지만 각 부처 간 정보 유출을 바라보는 관점 차이가 여전합니다. 특히 공정거래위원회는 최근 쿠팡 본사에 대한 영업정지 처분이 사실상 어렵다는 판단을 내렸습니다. 
 
결국 쿠팡을 강하게 제재하기 어려워지자 금융당국이 나서 쿠팡페이와 쿠팡파이낸셜에 대한 조사에 착수했을 뿐입니다. 금감원은 지난해 12월부터 6주간 쿠팡페이와 쿠팡파이낸셜에 대한 현장 점검을 실시한 뒤, 지난 1월12일부터 정식 검사로 전환했습니다. 특히 쿠팡페이에 대해선 '원 아이디·원 클릭' 구조로 결제 정보가 연동된 쿠팡페이 역시 정보 유출 정황을 살피는 데에 중점을 뒀습니다.
 
금감원에 따르면 쿠팡파이낸셜에 대한 검사는 지난달 10일 종료됐으며, 쿠팡페이에 대한 검사도 지난달 말로 마무리될 예정입니다. 시장에선 양사에 대해 신용정보법, 전자금융거래법, 금융소비자보호법, 여신전문금융업법 등 다수의 법령 위반 가능성이 점쳐졌습니다.
 

(사진=뉴시스, 챗GPT 합성)
 
신수정 기자 newcrystal@etomato.com