대만 "쿠팡 개인정보 관리 결함"…20만명 정보 유출에 법적 처분 예고
대만 정부가 쿠팡의 대규모 개인정보 유출 사태와 관련한 행정 조사에서 위법·부실 정황을 확인하고 법적 처분을 예고했다.
대만 디지털발전부는 26일 공고를 통해 전날 법률·정보보안 전문가, 형사경찰국, 국가사이버보안연구원으로 구성된 행정조사팀이 쿠팡 대만법인을 대상으로 현장 검사를 했다며 조사 결과 “쿠팡 대만법인의 개인정보 관리에 결함(缺失)이 있다는 것을 발견했다”고 밝혔다.
이어 “‘개인정보보호법’과 ‘디지털경제 관련산업 개인정보 파일 안전 보호 관리 방법’ 등 관련 규정에 따라 지속해서 포렌식 보고 및 각 상황을 조사할 것이고, 조사 결과에 관해서는 법정 절차에 따라 후속 처분을 할 것”이라고 설명했다.
━
20만여명 정보 접근…IP 2000여개 동원
대만 당국은 쿠팡 대만법인이 그간 한국과 대만의 사용자 데이터베이스가 분리돼 있다고 설명해 왔으나, 조사 결과 서로 다른 데이터베이스의 백업용 암호키가 동일해 쿠팡 한국의 전직 직원들은 퇴사 이후에도 기존 백업 키를 통해 데이터베이스에 접근할 수 있었던 것으로 드러났다.
━
“영향 없다”던 쿠팡…한국 발표 후 뒤늦은 통보
이어 지난해 12월 24일에도 법률·정보보안 전문가들이 국가사이버보안연구원과 함께 현장 검사를 진행했지만, 쿠팡은 보안업체가 조사 중이며 대만 이용자 피해 정황은 없다는 기존 입장을 유지했다. 이 같은 설명은 올해 1월 12일과 26일, 이달 9일에도 반복됐다고 당국은 전했다.
그러나 한국 정부가 2월 10일 발표한 조사 결과에는 공격자가 지난해 11월 쿠팡 한국법인에 보낸 이메일에서 한국·일본·대만 이용자가 모두 유출 피해를 입을 것이라고 언급한 내용이 포함된 것으로 나타났다. 이후 쿠팡 대만법인은 2월 23일에야 대만 측에 개인정보 유출 사실이 확인됐다고 통보했다고 디지털산업부는 지적했다.
━
쿠팡Inc “대만 계정 20만개”…행정처분 수순
이에 따라 대만 디지털발전부는 추가 행정 조사와 함께 관련 법령에 따른 제재 절차에 착수할 방침이다.
또 디지털발전부는 쿠팡 대만에 대해 개인정보보호법과 디지털 경제 관련 업종의 개인정보 보관·관리 규정에 따라 필요한 조치를 취할 계획이라고 밝혔다.
한영혜([email protected])