“쿠팡, 개인정보 ‘유출’을 ‘노출’로 축소…바로 잡아라”

개인정보위 “수정해 재통지해야”

쿠팡이 고객의 개인정보가 유출된 사실을 확인한 뒤에도 개인정보 일부 ‘노출’ 사고 발생이라고 안내했을 뿐 유출 사실을 통지하지 않은 것으로 나타났다.

쿠팡은 관련 내용을 홈페이지에 단기간(1~2일) 공지했으며, 공동현관 비밀번호 등 유출 항목의 일부를 누락하는 등 국민의 혼선을 초래했다고 개인정보보호위원회(개인정보위)는 밝혔다.

2일 오후 서울 여의도 국회 과학기술정보방송통신위원회 전체회의에서 쿠팡 해킹 관련 현안질의가 열렸다. 박대준 쿠팡 대표이사, 브랫 매티스 쿠팡 최고 정보 보호책임자(CISO)가 참석했다. 장승윤 기자 tomato99@donga.com

개인정보위는 3일 오전 9시 전체회의를 열고 쿠팡 개인정보 유출 사고와 관련해 쿠팡의 대응 상황을 점검했다.

개인정보위는 “국민 대다수가 이용하는 이커머스 서비스에서의 유출 사고임에도 정보 주체가 취할 수 있는 피해 예방 조치에 대한 안내가 소홀했다”며 “쿠팡의 자체적 대응 조치 및 피해 구제 절차 등이 미흡했다”고 했다.

개인정보위는 추가 피해를 막기 위해 쿠팡에 세 가지 조치를 즉시 시행하도록 의결했다.

개인정보위가 의결한 세 가지는 △개인정보 노출 통지를 유출 통지로 수정하고 유출 항목을 빠짐없이 반영해 재통지할 것 △홈페이지 초기 화면 또는 팝업창 등을 통해 일정기간 이상 유출 내용을 공지하고 정보 유출로 인한 이용자의 추가적인 피해 예방 요령 등을 적극적으로 안내할 것 △현재까지 취한 피해 방지 대책의 실효성을 검토하고 자체 모니터링을 강화하며 이용자 민원에 충실한 대응을 위해 전담 대응팀 확대 운영 및 민원 제기·언론 보도 사례에 즉각 대처할 것이다.

쿠팡의 대규모 개인정보 유출 사태가 발생하면서 이용자들이 집단소송을 준비하는 가운데 2일 이용자들이 관련 카페를 살펴보고 있다. 김재명 기자 base@donga.com

개인정보위는 쿠팡에 7일 이내 조치 결과를 제출하도록 했다. 향후 이행 상황을 지속적으로 점검해 국민 혼란과 불안 해소에 집중할 예정이다.

개인정보위는 “국민 다수의 연락처, 주소 등이 유출된 사안의 중대성을 무겁게 인식하고, 쿠팡의 개인정보 유출 경위, 규모·항목, 보호법상 안전조치 의무 위반 등을 신속·철저히 조사하고 있다”며 “쿠팡의 보호법상 위반사항 확인 시 엄정 제재하고 피해 확산 및 재발 방지에 최선을 다할 계획”이라고 했다.

정봉오 기자 bong087@donga.com