“3370만명 개인정보 ‘유출’인데 ‘노출’ 통지만”…쿠팡 대응에 제동

3370만 명에 이르는 고객 개인정보가 새어나간 쿠팡 사태를 두고, 개인정보보호위원회가 쿠팡의 사고 인식과 통지 방식이 부적절했다며 정정·보완 조치를 공식 요구했다. 국민 다수가 이용하는 전자상거래 서비스에서 대규모 유출이 발생했는데도 피해 안내와 구제 절차가 충분치 않다는 판단이다.

개인정보위는 3일 쿠팡 개인정보 유출 사건과 관련해 긴급 전체회의를 열고 쿠팡의 사고 대응과 통지 내용을 점검했다고 밝혔다. 앞서 쿠팡은 미확인자의 비정상 접속으로 고객 개인정보가 외부로 빠져나간 사실을 확인하고도, 고객에게 보낸 안내문 제목에 ‘개인정보 노출’이라는 표현만 사용해 ‘유출’ 사실을 명시하지 않은 것으로 드러났다.

또 쿠팡은 홈페이지에 관련 공지를 1~2일 정도만 짧게 게시했고, 유출된 정보 항목 가운데 공동현관 비밀번호 등 일부 민감 정보가 안내에서 누락된 것으로 파악됐다. 배송지 명단에 포함된 사람들 가운데 실제 유출 피해를 본 이들에 대해서도 충분한 개별 통지가 이뤄졌는지 논란이 제기된 상태다.

개인정보위는 점검 결과를 토대로 쿠팡에 대해 여러 보완 조치를 요구했다. 우선 고객 안내 제목과 내용에서 ‘노출’이 아닌 ‘유출’로 명확히 수정하고, 실제 유출된 개인정보 항목을 빠짐없이 반영해 다시 통지하라고 지시했다. 배송지 명단에 포함돼 정보가 유출된 사람에게도 식별이 가능한 범위에서 유출 사실을 알리고, 추가 유출이 확인될 경우 즉시 관계 당국 신고와 정보주체 통지를 병행하도록 했다.

동시에 쿠팡 홈페이지 초기 화면이나 팝업창을 통해 일정 기간 이상 유출 사실과 경위를 공지할 것을 요구했다. 공동현관 비밀번호와 쿠팡 계정 비밀번호 변경 권고 등 추가 피해 예방 요령을 적극 안내하도록 한 것도 이번 조치에 포함됐다. 개인정보위는 “정보주체가 취할 수 있는 피해 예방 조치 안내가 충분하지 않았고, 쿠팡의 자체 대응과 피해 구제 절차도 미흡해 국민 우려가 커진 상황”이라고 설명했다.

쿠팡이 제시한 기존 피해 방지 대책에 대해서도 실효성 재점검이 필요하다고 판단했다. 개인정보위는 쿠팡이 자체 모니터링을 강화하고, 전담 대응팀(help desk)을 확대 운영해 민원 제기나 언론 보도에 즉각 대응할 것을 주문했다. 단순 공지에 그치지 않고 실제 상담·보상 절차를 신속하게 가동할 수 있는 체계를 갖추라는 취지다.

개인정보위는 쿠팡에 7일 이내 조치 결과를 제출하도록 했으며, 이행 상황을 지속적으로 점검하겠다고 밝혔다. 위원회는 “국민 다수의 연락처, 주소 등이 유출된 사안의 중대성을 무겁게 인식하고 있다”며 “쿠팡의 개인정보 유출 경위, 규모·항목, 안전조치 의무 위반 여부 등을 신속·철저히 조사하고, 위반 사항이 확인될 경우 엄정 제재할 것”이라고 강조했다.

이번 사건은 대형 온라인 플랫폼의 보안 관리와 사고 후 통지 의무 이행 수준이 여전히 취약하다는 점을 드러냈다. 개인정보위의 조사 결과와 제재 수위에 따라 다른 전자상거래 사업자와 플랫폼 업계 전반의 보안·통지 관행에도 변화 압박이 가해질 것으로 보인다.