쿠팡에 ‘경고’ 신호는 보냈지만...따르지 않아도 제재는 못해
개인정보위는 3일 오전 긴급 전체회의를 열고 쿠팡에 권고할 내용을 심의·의결했다. 개인정보위 점검 결과, 쿠팡은 지난달 18일 비정상적 접속으로 고객 개인정보가 외부로 유출된 사실을 확인하고도 이용자(정보 주체)에게 ‘노출’ 통지라는 제목으로 관련 내용을 알렸다. 실제로 쿠팡이 사태 초기 이용자에게 발송한 문자메시지를 보면, ‘쿠팡 개인정보 노출통지’란 제목으로 ‘고객의 소중한 개인정보가 일부 노출되는 사고가 발생했다’고 썼다.
쿠팡은 또 유출 사실을 홈페이지에 최대 2일 정도로만 짧게 올려뒀다. 이마저도 내용이 부실했다는 게 개인정보위의 판단이다. 공동 현관 비밀번호 등 유출 항목 일부가 누락됐기 때문이다. 전날(2일) 열린 쿠팡에 대한 국회 과학기술정보방송통신위원회의 현안 질의에서도 노출 통지와 부실한 홈페이지 공지 등의 문제가 제기됐었다. 노종면 더불어민주당 의원은 “노출·유출은 법적으로 개념이 다른데 노출이 들어간 순간 쿠팡의 대응방향이 드러난 것”이라며 “유출에 대해서만 처벌 규정이 있다. 쿠팡이 이걸 알고 의도적으로 노출이라고 쓴 것”이라고 주장했다.
개인정보위는 이날 전체회의에서 쿠팡에 권고할 3가지 사항을 의결했다. 우선 이용자의 혼선이 없도록 개인정보 ‘노출’ 통지를 ‘유출’ 통지로 수정하고 유출 항목을 빠짐없이 반영한 재통지다. 또 유출 내용을 홈페이지 초기 화면 또는 팝업창 등에 일정 기간 이상 공지하는 내용도 포함됐다. 여기에는 쿠팡계정 비밀번호 변경이나 아파트 공동현관 비밀번호 변경 등과 같은 2차 피해 예방을 위한 내용도 담도록 했다. 이밖에 개인정보위는 쿠팡이 피해 방지 대책의 실효성을 검토하고 이용자를 위한 전담 대응팀(help desk)을 확대 운영해줄 것도 권고했다.
개인정보위는 3가지 권고사항에 대한 이행 조치결과를 쿠팡에 7일 안에 제출해달라고 했다. 하지만 ‘권고’ 사항이다 보니 쿠팡이 따르지 않아도 제재할 수는 없다. 직접적 집행력이나 강제력이 없어서다. 민관합동조사단의 조사를 통한 위법사실이 확정된 뒤에야 법적 구속력을 지닌 구체적인 시정 명령이 이뤄질 수 있다. 개인정보위 관계자는 “쿠팡이 개선 권고를 따를지 아니면 그렇지 않을지를 보면, (쿠팡이) 국내 소비자를 어떤 식으로 바라보는지 알 수 있을 것”이라며 “개인정보위로서는 우선 쿠팡에 ‘경고’를 한 셈인데 이번 개선 권고를 이행하지 않으면 나중에 실제 제재 때 영향을 줄 수 있다”고 밝혔다.
한편 정부는“유명무실하다”는 비판을 받은 ‘정보보호 및 개인정보보호 관리체계 인증(ISMS-P)’체계를 개편한다. 쿠팡은 2021년 3월 ISMS-P 첫 인증을 받았고, 2024년 3월 인증을 경신했다. 하지만 인증을 받은 이후에도 개인정보 유출 사고가 4건이나 이어졌다. 쿠팡뿐 아니다. 한창민 사회민주당 의원실에 따르면 2020년 이후부터 올 11월까지 총 27개의 ISMS-P 인증 기업에서 34건의 개인정보 유출 사고가 발생했다.
이에 정부는 현재 서류 중심의 인증 심사를 예비·현장심사로 완전히 바꿀 방침이다. 현장심사 때는 모의 해킹도 이뤄진다. 또 정부는 인증 기업에서 중대 결함이 발견될 경우 아예 인증을 취소할 계획이다. 김승주 고려대 정보보호대학원 교수는 “(정부가) ISMS-P를 현실화시키면서 모의 해킹 위주로 검토하는 것 같다”면서 “ISMS-P 평가자들이 있는데 우선 평가자들을 모아놓고 현장의 (여러) 의견을 들어봐야 한다”고 했다.
김민욱([email protected])