보안

쿠팡이 사용자 개인정보를 중국에 넘긴다?

이종현
[디지털데일리 이종현기자] 국내 1위 이커머스 기업으로 거듭난 쿠팡이 고객 개인정보를 중국에 유출한다는 의혹이 불거졌다. 양정숙 의원(무소속)의 주장으로, 쿠팡은 이를 적극 부인하고 있다.

논란의 시발점은 지난 26일 양 의원의 발표부터다. 양 의원은 쿠팡이 이용자 개인정보에 대한 접근권한을 중국 기업에 주면서, 수천만명에 달하는 이용자의 개인정보가 중국에 넘어갈 수 있다고 주장했다.

이는 쿠팡의 개인정보 처리방침에서 확인할 수 있다. 쿠팡은 개인정보 국외 처리 위탁 기업으로 ▲미국 ‘쿠팡 글로벌’ ▲중국 ‘한림네트워크’ ▲일본 ‘젠디스크’, ‘제네시스’ 등을 명시하고 있다. 이들 기업에는 쿠팡 고객의 개인정보를 열람할 수 있는 권한이 부여된다.

문제로 지목된 것은 중국 기업인 한림네트워크다. 한림네트워크는 부정행위 모니터링 및 탐지 등을 수행하는 과정에서 쿠팡의 고객정보를 열람할 수 있다.

◆양정숙 의원 Vs 쿠팡··· 누구 말이 맞나?

양 의원이 26일 “수집한 중요 정보를 한림네트워크에 이전해 보관·관리하고 있다”고 주장한 데 대해 쿠팡은 즉각 해명에 나섰다.

쿠팡은 “쿠팡의 고객정보는 한국에 소재한 데이터센터에 저장되고 있으며 어떠한 개인정보도 중국에 이전되거나 저장되지 않는다. 쿠팡의 고객 데이터가 중국에 저장되고 있다는 주장은 사실이 아니다”라고 반박했다.

또 “한림네트워크는 부정행위 모니터링 및 탐지 등 업무 목적상 제한적으로 열람할 수 있을뿐 고객정보를 이 회사에 이전해 저장한다는 것은 사실이 아니다. 이와 같은 제한적인 열람도 한국 내 개인정보책임자의 승인과 관리 및 통제 범위 내에서 이뤄진다”고 부연했다.

쿠팡은 “쿠팡의 고객정보는 한국에 보관되고 있기에 중국 정부가 언제든지 열람할 수 있다는 주장은 원천적으로 불가능하다. 쿠팡은 한국의 개인정보 관련 법령을 철저히 준수하고 있으며 고객 정보 보안을 최우선 가치로 두고 있다”고 강조했다.

양 의원 측은 29일 재차 반박 입장을 냈다. 양 의원은 “개인정보보호위원회(이하 개인정보위)는 업무위탁과 개인정보 제3자 제공 모두 개개인정보가 다른 사람에게 이전하거나 이용된다는 측면에서 동일하다고 설명하고 있다. ‘이전된다’는 사실적 측면은 동일하다”고 주장했다.

이어서 “쿠팡은 7월 23일 이전 처리방침에서는 개인정보 이용 목적에 ‘연구개발’ 내용도 포함돼 있다. 연구개발 업무는 대량의 데이터 이전을 수반하는 만큼 제한적 일회성 조회 열람이라는 쿠팡의 입장과 상충된다”고 지적했다.

◆논란의 이유는 ‘중국’이기 때문··· ‘차이나 리스크’

쿠팡은 논란 자체가 억울하다는 입장이다. 전 세계 기업들이 개발자 인력부족에 시달리는 상황에서 시스템 관리 등을 목적으로 해외 기업과도 협력할 수밖에 없고, 한림네트워크 역시 그 일환이라는 설명이다. 다만 문제제기를 하는 양 의원은 ‘왜 하필 중국’이냐를 꼬집는 중이다.

양 의원의 문제제기의 근저에는 ‘중국’의 법체계에 대한 문제의식이 깔려있다. 미국의 ‘쿠팡 글로벌’도 한림네트워크와 같은 권한을 보유하고 있음에도 한림네트워크만 지목한 이유다.

중국 네트워크안전법은 중국 내 정보 인프라 사업자는 중화인민공화국 경내에서 운영 중 수집하고 생성된 개인정보와 중요 업무 데이터를 반드시 경내에 저장해야 한다고 규정하고 있다.

또 중국의 국가정보법은 중국의 모든 조직과 시민은 국가의 정보 작업에 지원·협조·협력해야 하며 이를 거절할 수 없다고 규정하고 있다. 이밖에 반간첩법, 반테러법, (중국)개인정보보호법 등, 정부가 기업에 대한 영향력을 행사할 수 있는 제도적 장치가 마련돼 있는 상황이다.

이와 같은 강력한 중국 법제는 글로벌 기업이 중국에서 철수하도록 하는 원인이 되고 있다.

양 의원은 “한림네트워크는 중국에 소재하고 있는 중국법의 적용을 받는다. 중국 내 개인정보 처리에 관해서는 한국 쿠팡의 관리 및 통제권이 무력해질 수 있으므로 중국 정부가 쿠팡 고객정보를 열람하는 것이 원천적으로 불가능하다는 것은 사실과 다르다”고 피력했다.

◆법 위반은 아니지만··· 개인정보 유출 ‘가능성’은 부정 못한다

현재까지 드러난 정황상 개인정보보호법 위반이라고 단정하기는 어렵다. 개인정보위 관계자는 “문제제기된 내용에 대해서는 인지하고 있다. 국민 피해가 있는지 살피기 위해 쿠팡에 자료를 요청해둔 상태”라며 “다만 현 단계에서는 법 위반이라고는 단정하기 어려운 측면이 있다. 쿠팡이 개인정보 처리방침에 국외 처리 위탁 사실을 안내하고 있기 때문”이라고 말했다.

실제 유사한 사례가 있다. 일본의 국민 메신저 애플리케이션(앱) ‘라인’의 사례다. 라인은 사내에 사용할 시스템 개발을 중국 기업 ‘라인 디지털 기술 상하이’에 맡겼는데, 3월 중국 개발자가 라인 이용자의 개인정보에 접근한 것이 드러나며 문제가 됐다.

불법이 아니더라도, 중국 기업이 개인정보를 들여다 볼 수 있다는 것은 유쾌한 일이 아니다. 사용자를, 국민을 안심시킬 만한 설명이나 조치가 필요하나 쿠팡은 ‘잘 관리하고 있다’는 원론적인 수준의 입장만을 내놓을 뿐, 구체적인 방법론 등은 언급하지 않고 있다.

중국 기업이 쿠팡 사용자의 개인정보에 접근할 수 있다는 ‘가능성’은 부정할 수 없는 현실이다. 어떤 안전장치를, 얼마나 잘 갖춰놨느냐의 영역이다.

양 의원은 “국정감사를 통해 사실관계를 명확히 따지겠다. 추가 자료요구를 통해 국민 불안을 해소해 나갈 것”이라고 전했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널