CloudPNG

ºC

logo
IT/바이오

개인정보 유출 조회 의무화 압박…쿠팡, 확인 서비스 신설되나

장예원 기자
입력

개인정보 유출 사고 이후 기업이 이용자에게 정보를 어떻게 통지하고, 본인이 직접 피해 여부를 확인할 수 있도록 할 것인지가 디지털 시대 핵심 규제 쟁점으로 떠오르고 있다. 온라인 플랫폼에 방대한 개인 식별 정보와 결제·배송 데이터가 집중된 상황에서, 유출 뒤 확인 절차가 불투명하면 2차 피해와 신뢰 훼손이 커질 수 있어서다. 국회와 정부가 쿠팡을 상대로 개인정보 유출 여부를 직접 조회할 수 있는 별도 서비스를 열라고 공개 요구한 것은, 향후 유출 대응 표준 정립의 분기점으로 해석된다.

 

배경훈 부총리 겸 과학기술정보통신부 장관은 17일 국회 과학기술정보방송통신위원회 쿠팡 침해사고 청문회에서 쿠팡 앱과 홈페이지에 개인정보 유출 여부를 확인할 수 있는 별도 코너를 마련하도록 요청하겠다고 밝혔다. 과기정통부 차원의 행정 지도를 통해 쿠팡이 유출 확인 서비스를 신설하도록 유도하겠다는 뜻을 분명히 한 것이다.

쟁점은 쿠팡이 기존에 공지문과 개별 통지 등 최소한의 법적 통보는 했다고 주장하는 것과 달리, 이용자가 스스로 로그인해 자신의 계정과 연동된 정보 중 무엇이 어느 범위까지 유출됐는지를 직관적으로 조회하는 창구가 부재하다는 점이다. 한민수 더불어민주당 의원은 같은날 청문회에서 과거 대규모 유출을 겪은 KT와 롯데카드 사례를 언급하며 문제를 제기했다. 두 회사는 웹페이지와 모바일 앱에 전용 메뉴를 만들어 주민등록번호나 계정 정보를 입력하면 즉시 유출 여부와 항목을 조회할 수 있도록 했는데, 쿠팡은 이 같은 서비스 제공에 미흡하다는 지적이다.

 

특히 플랫폼 특성상 쿠팡 회원이 아니더라도 이름, 주소, 연락처가 타인의 배송지로 저장돼 있는 비회원 데이터가 많다는 점이 논란을 키웠다. 한 의원은 쿠팡에 가입하지 않은 사람의 정보까지 배송지 목록 형태로 저장돼 있음에도, 비회원 정보 유출 여부에 대한 안내와 확인 절차가 여전히 제공되지 않고 있다고 비판했다. 실명, 휴대전화 번호, 상세 주소 등 재식별 위험이 매우 높은 데이터가 제3자 계정에 묶인 형태로 관리되는 만큼, 비회원 통지 방식은 별도 설계가 필요하다는 지적이다.

 

과방위원장인 최민희 더불어민주당 의원도 쿠팡의 통지 방식을 문제 삼았다. 그는 쿠팡 홈페이지 첫 화면에서 누구나 쉽게 찾을 수 있는 위치에 내 정보 유출 여부를 확인하는 코너를 만들어야 한다고 강조했다. 이는 단순 공지 링크나 이메일 안내에 그칠 것이 아니라, 시각적으로 눈에 띄고 접근이 쉬운 별도 메뉴를 제공해 이용자 인지를 높이라는 요구다. 디지털 서비스 설계 측면에서 보면 이용자 인터페이스 차원의 가시적 통지가 규제 준수의 새로운 기준으로 부상하고 있다는 의미를 담고 있다.

 

정부 규제 기관도 통지 방식 개선 필요성에는 동의했다. 배 부총리는 행정 지도를 통해 쿠팡이 개인정보 유출 확인란을 신설하도록 하겠다고 답했다. 행정 지도는 법적 강제력은 약하지만, 정부가 정책 방향을 제시해 사업자의 자율적 이행을 유도하는 수단으로, 실제 시장에서는 사실상 준규범으로 작용하는 경우가 많다. 송경희 개인정보보호위원회 위원장 역시 쿠팡에 유출 사실을 명확히 통지하라고 개인정보위 의결을 통해 개선을 촉구한 바 있다고 설명했다. 다만 현재 쿠팡이 선택한 통지 방식에 여전히 문제가 있다고 보고, 구체적 개선 방안을 추가로 확인하고 조치하겠다고 덧붙였다.

 

IT 업계에선 이번 논쟁이 향후 대형 온라인 플랫폼의 개인정보 유출 대응 절차를 정교화하는 계기가 될 것으로 보고 있다. 지금까지는 유출 규모와 내용을 공지하고 문자나 이메일로 개별 통지를 하는 선에서 법적 요건을 맞추는 관행이 일반적이었다. 그러나 쿠팡 사태 이후에는 로그인 기반 실시간 조회 창구, 비회원 데이터 전담 안내 채널, 유출 항목별 후속 조치 가이드 등 더 세분화된 대응 체계가 요구될 가능성이 커졌다. 특히 쇼핑 플랫폼뿐 아니라 배달, 모빌리티, 숙박·여행 등 타 플랫폼 서비스로 논의가 확산될 수 있다는 관측도 나온다.

 

글로벌 흐름도 개인정보 유출 이후의 투명성과 이용자 통제권 강화를 강조하는 방향으로 움직이고 있다. 유럽 일반개인정보보호법과 미국 일부 주의 프라이버시법은 유출 통지 의무를 명문화하고 있을 뿐 아니라, 이용자가 자신의 정보 처리 현황을 직접 확인하고 삭제를 요구할 수 있는 권리 행사를 중시한다. 국내에서도 쿠팡 사례를 계기로, 데이터 보안 사고 이후 후속 대응의 세부 기준과 기술적 구현 수준을 어디까지 요구할 것인지에 대한 제도 논의가 한층 구체화될 전망이다.

 

업계에서는 쿠팡이 정부·국회의 요구에 맞춰 유출 확인 서비스를 신속하게 구현할 경우, 단기적인 비용 부담에도 불구하고 장기적으로는 신뢰 회복의 계기가 될 수 있다는 기대도 공존한다. 동시에 다른 플랫폼 기업들도 유출 대응 절차를 선제적으로 점검할 가능성이 있어, 데이터 보호 수준 상향을 촉진하는 압력으로 작용할 수 있다. 산업계는 결국 이번 조치가 일회성 대응에 그칠지, 디지털 플랫폼 전반의 개인정보 유출 통지와 조회 체계 재편으로 이어질지 예의주시하고 있다.

장예원 기자
share-band
밴드
URL복사
#쿠팡#과학기술정보통신부#개인정보보호위원회