개인정보보호위원회가 오는 10일 전체회의를 열고 쿠팡 개인정보 유출 사건에 대한 제재안을 심의·의결한다. 쿠팡이 지난해 11월 침해사고 발생을 인지·신고한 지 약 7개월 만이다.
이번 심의의 핵심 쟁점은 유출 규모와 침해 범위다.
과학기술정보통신부 민관합동조사단은 앞서 쿠팡 '내 정보 수정 페이지'에서 성명과 이메일이 포함된 개인정보 3367만3817건이 유출됐다고 발표했다. 공격자가 조회한 배송지 주소 등 정보는 1억5000만건에 달하는 것으로 파악했다.
반면 쿠팡은 정부 발표 이후 일부 사실관계가 누락됐다고 주장했다.
쿠팡은 유출 정보가 이름, 이메일, 전화번호, 배송지 주소, 제한적 주문 내역과 일부 공동현관 출입 코드에 한정됐고 결제 정보, 금융 정보, 사용자 ID·비밀번호, 신분증 등 고도 민감 정보에는 접근하지 않았다고 밝혔다.
공동현관 출입 코드 접근 규모도 정부 발표와 달리 봤다. 쿠팡은 포렌식 분석과 아카마이 보안 로그를 통해 검증한 결과, 공동현관 출입 코드 접근은 5만건이 아니라 2609개 계정에 한정됐다고 주장했다.
개인정보위가 최종 의결에서 과기정통부 조사 결과와 같은 판단을 내릴 경우 과징금 규모는 상당 수준에 이를 가능성이 있다. 유출 건수와 정보의 민감도, 안전조치 의무 위반 여부, 신고·통지 과정, 사후 대응 등이 제재 수위에 반영되기 때문이다.
쿠팡 과징금은 현행법상 관련 매출액의 최대 3% 내에서 산정된다. 이번 사건에는 오는 9월 시행되는 '징벌적 과징금'(매출액의 최대 10%) 조항이 적용되지 않는다. 법 시행 전 발생한 침해 사고이기 때문이다.
이번 처분은 향후 대형 플랫폼 개인정보 유출 사건의 기준점이 될 것으로 보인다.
또 현재 진행 중인 민사소송에도 영향을 줄 전망이다. 개인정보위 제재 판단은 피해자들이 제기한 손해배상 소송에서 쿠팡의 과실을 주장하는 근거로 활용될 수 있다는 의미다.
박진형 기자 jin@etnews.com
