CloudPNG

ºC

logo
IT/바이오

데이터유출 확산에 민관합동조사단 가동한다

정유나 기자
입력

대형 온라인 플랫폼에서의 개인정보 유출 사고가 국내 개인정보 보호 체계의 허점을 드러내고 있다. 초기 파악 규모보다 훨씬 큰 대규모 침해 가능성이 제기되면서 정부가 민관합동조사단을 구성해 신속한 진상 규명과 제재를 예고하면서, 데이터 보안과 플랫폼 책임 논쟁이 다시 부각되는 상황이다. 유출된 정보가 2차 범죄에 악용될 수 있다는 우려가 커지며, 전자상거래 산업 전반의 보안 수준과 규제 집행 실효성이 동시에 시험대에 오른 모습이다.

 

과학기술정보통신부와 개인정보보호위원회는 29일 쿠팡에서 발생한 개인정보 침해 사고에 대한 조사와 대응 방향을 공동 발표했다. 이번 발표에 따르면 지난 19일 약 4천536개 계정의 고객명, 이메일, 주소 등이 유출된 것으로 알려졌으나, 추가 조사 과정에서 3천만개 이상 계정에서 정보가 유출된 정황이 포착된 상태다. 단일 전자상거래 플랫폼에서 수천만 단위 계정 정보가 노출됐을 가능성이 제기된 것은 매우 이례적인 수준으로, 사고 원인과 관리 책임에 대한 고강도 조사가 불가피해지고 있다.

정부는 사고의 파급력과 추가 국민 피해 가능성을 중대 사안으로 판단했다. 과학기술정보통신부는 30일부터 민관합동조사단을 구성해 사고 원인을 정밀 분석하고 보안 취약 지점을 규명할 방침이다. 민관합동조사단은 정부 관계자와 외부 보안 전문가, 개인정보 보호 전문 인력 등이 참여하는 형태로 운영될 전망이다. 특히 기존 보안 체계로 탐지하지 못한 침해 경로, 계정 관리와 암호화 수준, 내부 통제와 접근 권한 관리 실태 등 기술적·관리적 보호조치 전반을 점검할 것으로 보인다.

 

개인정보보호위원회는 쿠팡으로부터 지난 20일 1차, 29일 2차에 걸쳐 개인정보 유출 신고를 접수한 상태다. 개인정보보호법에 따라 위원회는 유출 신고 접수 이후 사고 내용을 조사하고, 안전조치 의무 이행 여부와 위법 행위가 있었는지를 판단하게 된다. 안전조치 의무는 기업이 보유한 개인정보를 암호화하고 접근 통제를 실시하며, 침해 탐지와 대응 체계를 갖추도록 규정한 법적 책임을 의미한다. 위반이 확인될 경우 과징금 등 강도 높은 제재 조치가 뒤따를 수 있다.

 

이번 사고의 특징은 초기 신고 이후 유출 규모가 급격히 확대된 점이다. 업계에서는 침해 경로가 단순한 계정 털이 수준을 넘어, 내부 시스템 또는 연동 서비스 일부가 구조적으로 노출됐을 가능성도 조심스럽게 거론하고 있다. 특히 플랫폼 규모가 클수록 계정 연동, 결제 정보, 배송지 정보 등 연계 데이터가 광범위하게 축적돼 있어, 한 번의 침해가 대규모 피해로 이어질 위험이 커진다는 지적이 제기된다. 이런 맥락에서 정부의 민관합동조사단 운영은 유출 규모와 범위를 명확히 파악하고 재발 방지 대책을 산업 차원으로 확장하는 계기가 될 수 있다.

 

정부는 2차 피해 차단 조치도 병행하고 있다. 과학기술정보통신부와 개인정보보호위원회는 유출된 정보가 스미싱 문자, 피싱 메일, 보이스피싱 등으로 악용될 가능성을 우려해 보호나라 홈페이지를 통해 대국민 보안 공지를 실시했다. 이용자들에게는 출처가 불분명한 링크나 첨부파일을 열지 말고, 계정 비밀번호 변경과 이중 인증 설정 등 추가 보안 조치를 취할 것을 안내했다. 동시에 의심 거래나 접속 기록이 발견될 경우 즉시 신고하도록 독려하고 있다.

 

전자상거래와 온라인 플랫폼 산업에서는 개인정보가 핵심 자산이자 신뢰의 기반이다. 수천만 명 규모 이용자의 이름, 이메일, 주소 등 기본 정보가 대량 유출되면 동일 비밀번호 재사용을 통한 계정 탈취, 맞춤형 피싱 공격, 신용정보 공격 등 연쇄 피해로 이어질 소지가 있다. 그동안 반복된 유출 사고에도 불구하고 실질적인 보안 투자와 조직 문화 개선이 더디다는 비판도 다시 고개를 들 수 있는 대목이다.

 

전문가들은 이번 조사가 플랫폼 산업 전반의 보안 거버넌스 수준을 재점검하는 계기가 될 수 있다고 본다. 한 개인정보 보호 전문가는 대규모 플랫폼일수록 침해 사고 발생 시 사회적 비용이 기하급수적으로 커진다며, 민관합동조사 결과를 토대로 기술적 보안뿐 아니라 경영진 책임, 사고 공지와 통지 절차, 피해 구제 체계까지 통합적으로 강화해야 한다고 지적했다.

 

정부와 업계는 민관합동조사단의 조사 결과와 제재 수위에 따라 전자상거래와 디지털 서비스 전반에 대한 보안 규제와 투자 수준이 한 단계 높아질 가능성에 주목하고 있다. 산업계는 이번 사고를 계기로 개인정보 보호 체계가 실제 시장에 안착할 수 있을지, 그리고 데이터 기반 서비스 성장과 이용자 보호 사이의 균형을 어떻게 맞출 것인지 주시하는 분위기다.

정유나 기자
share-band
밴드
URL복사
#쿠팡#과학기술정보통신부#개인정보보호위원회