CloudPNG

ºC

logo
IT/바이오

개인정보 유출 쿠팡 정조준…개보위 최고수준 제재 예고

김태훈 기자
입력

쿠팡 대규모 개인정보 유출 사고를 둘러싸고 개인정보보호당국이 법이 허용하는 최고 수위 제재를 예고하며 전자상거래·플랫폼 업계 전반의 보안 거버넌스가 도마에 올랐다. 특히 퇴사자 계정 미회수, 장기간 유지된 인증키, 수개월간 이어진 이상 접근 등 기초적 보안 통제가 연쇄적으로 실패한 정황이 국회에서 지적되면서, 기업 내부 보안 체계 전반의 구조적 개편 필요성이 부각되고 있다. 업계에서는 이번 조사가 국내 디지털 플랫폼 산업의 개인정보 보호 규범을 재정의하는 분기점이 될 수 있다고 보고 있다.  

 

송경희 개인정보보호위원회 위원장은 3일 국회 정무위원회 현안 질의에서 쿠팡 개인정보 유출 사고와 관련해 회사 측의 구조적 과실이 확인될 경우 개인정보보호법이 허용하는 최고 수준의 제재를 집행하겠다는 입장을 밝혔다. 더불어민주당 이정문 의원이 쿠팡의 구조적 과실이 인정될 때 최고 수준 제재를 집행할 의지가 있느냐고 묻자 송 위원장은 상응하는 엄격한 책임을 묻겠다고 답했다.  

이정문 의원은 이번 사고를 두고 기업 내부 통제 시스템의 총체적 부실에서 비롯된 사고라고 본다며 이에 동의하느냐고 질의했고, 송 위원장은 동의한다고 답했다. 개인정보보호법상 안전조치 의무 위반 여부가 쟁점이 되는 가운데, 규제당국 수장이 구조적 관리 부실에 대한 문제의식을 공개적으로 공유한 셈이다.  

 

국회 질의에서는 유출 규모와 통보 과정에 대한 문제 제기도 이어졌다. 쿠팡의 2차 신고에서 개인정보 유출 규모가 3천4백만 건 수준으로 급증한 점을 언급한 이 의원은 사고 축소나 은폐 가능성을 배제할 수 없다며, 만약 축소 또는 지연 통보가 확인될 경우 과징금이나 형사책임 등 강력한 제재를 가할 수 있느냐고 압박했다. 송 위원장은 어떤 방안도 제외하지 않고 모든 가능성을 검토하겠다고 밝혔다.  

 

이번 사고의 구체적 관리 부실 사례도 국회에서 나열됐다. 이 의원은 퇴사자 권한 미회수, 인증키 장기간 유지, 약 5개월에 걸친 비정상 접근, 이상 접근 탐지 실패, 축소된 초기 발표 등 어느 하나라도 정상적인 보안과 통제 시스템이 작동했다면 발생하지 않았을 것이라고 지적했다. 이는 계정·권한 관리, 접근 통제, 침해 탐지, 사고 대응 등 정보보호 관리체계 전 단계에서 결함이 중첩됐다는 의미로 해석될 수 있다.  

 

쿠팡 사태의 성격을 두고도 질의가 이어졌다. 이 의원은 현재 합동조사단이 조사를 진행 중인 것으로 안다며 이번 사고를 전직 직원의 개인적 범죄로 보고 있는지, 아니면 기업의 구조적 관리 부실에서 비롯된 고도화된 사고로 판단하고 있는지 물었다. 송 위원장은 안전조치 의무 위반은 근본적으로 구조적인 문제라며 이러한 구조적 문제가 있을 수 있다는 전제하에 현장 조사와 자료 검토를 철저히 진행하고 있다고 설명했다.  

 

개인정보보호위원회와 관계 부처가 구성한 합동조사단은 시스템 로그 분석, 계정 발급·회수 이력, 접근 권한 관리 체계, 침해 탐지 및 경보 시스템 운영 내역, 사고 인지 및 신고 시점 등을 집중적으로 들여다보고 있는 것으로 알려졌다. 조사 결과는 향후 행정처분 수위와 더불어 국내 주요 플랫폼 기업들의 보안 투자 전략에도 직접적인 영향을 줄 전망이다.  

 

국회에서는 쿠팡을 넘어 통신·플랫폼 전반의 국가 차원 방어 체계 부재에 대한 비판도 제기됐다. 이 의원은 SK텔레콤과 KT 등에서 발생한 대규모 개인정보 유출 사례를 언급하며 국가 차원의 방어 체계와 컨트롤타워가 부재하다고 지적했다. 민간 개별 기업의 자율적 보안 태세만으로는 초대형 데이터 침해를 막기 어렵다는 문제의식이다.  

 

입법 공백과 제재 한계도 논의 테이블에 올랐다. 이 의원은 SK텔레콤 개인정보 유출 사고 이후 정부가 마련한 후속 대책의 진행 상황을 점검하며 징벌적 손해배상과 집단소송 제도를 이번 쿠팡 사태에 바로 적용할 수 있느냐고 물었다. 송 위원장은 법적으로 소급 적용은 어렵다고 선을 그었다. 다만 향후 유사 사고 재발 방지를 위해 징벌적 과징금과 손해배상 실효성을 강화하는 법안을 준비하고 있다고 설명해, 데이터 보호 관련 제재 체계가 한층 강화될 가능성을 시사했다.  

 

2차 피해 관리에 대한 문제 제기도 이어졌다. 이 의원은 이번 쿠팡 사태에서도 유출된 개인정보가 보이스피싱, 스팸, 계정 탈취 등 2차 피해로 이어지는지에 대해 지속적인 모니터링이 필요하다고 강조했다. 송 위원장은 취지에 공감한다며 가능한 다양한 방안을 함께 검토할 필요가 있다고 답했다. 여기에는 피해자 대상 안내 강화, 이상 금융 거래 모니터링 지원, 다중 인증 활성화 권고, 유출 데이터 불법 유통 추적 강화 등이 포함될 수 있다.  

 

전문가들 사이에서는 이번 쿠팡 사태가 국내 디지털 경제 전반의 개인정보 보호 수준을 재점검하는 계기가 될 수 있다는 관측이 나온다. 특히 방대한 고객 데이터를 보유한 전자상거래와 플랫폼 기업에 대해, 단순 침해 사고 대응을 넘어 퇴사자 계정 관리와 장기 인증키 회수, 실시간 이상 징후 탐지 및 경보, 투명한 초기 공지 등 전 주기적 거버넌스를 법제화해야 한다는 목소리도 커지고 있다.  

 

개인정보보호위원회가 실제로 어느 수준의 과징금과 시정명령을 내릴지는 조사 결과가 나와야 가늠할 수 있다. 다만 국회 질의를 통해 최고 수준 제재가 공개 언급된 만큼, 향후 전자상거래·통신·금융 등 데이터 집약 산업 전반에서 보안 투자와 내부 통제 강화 압력은 한층 커질 것으로 보인다. 산업계는 이번 쿠팡 사례가 향후 개인정보 보호 규범과 책임 구조를 어떻게 바꿀지 예의주시하고 있다.

김태훈 기자
share-band
밴드
URL복사
#쿠팡#송경희#개인정보보호위원회