[디지털데일리 이안나 기자] 쿠팡에서 물품을 구매한 사람들 개인정보가 유출됐다는 의혹이 제기됐다. 2021년 개인정보 유출 사고가 있던 쿠팡엔 사고가 재발 될 때 타격이 크다. 다만 쿠팡이 서버에서 유출된 정보는 전혀 없다고 반박하자 일각에선 외부에서 정보 유출 가능성이 제기됐다.
20일 쿠팡은 고객 개인정보 46만건이 다크웹을 통해 유출됐다는 의혹에 대해 “회사 서버 등을 확인해 유출된 고객 정보나 어떠한 부정적인 접근도 없는 점을 확인했다”며 “쿠팡 고객 정보는 안전하게 보호·관리되고 있다”고 말했다.
앞서 한겨레는 쿠팡에서 물품 구매한 기록이 있는 사람들 개인정보 46만건이 유츨돼 다크웹에서 판매되고 있다고 보도했다. 다크유출된 정보는 이름·주소·전화번호·상품거래 정보 등이다.
당시 해커가 판매를 시도하며 다크웹에 공개한 정보엔 해외직구를 이용한 고객 배송정보가 일부 포함됐고, 배송업체 정보를 제외하면 회사명은 명시되지 않은 것으로 전해진다. 공개된 정보를 유추하면, 오픈마켓에 입점해 활동하는 판매자(셀러)가 주문한 고객 정보를 배송업체 전달하는 과정에서 일부 정보가 유출됐을 가능성도 배제할 수 없다.
만약 셀러가 관리하는 고객 정보가 유출된 것이라면 그 피해 대상은 쿠팡뿐 아니라 오픈마켓 방식으로 운영되는 다른 플랫폼 고객들이 됐을 수 있다는 의미다.
개인정보보호위원회와 한국인터넷진흥원(KISA) 등 정보보호 당국은 셀러를 통한 고객정보 유출까지 포함, 모든 가능성을 열어두고 유출 경로 등을 파악하고 있다. 보안업계에선 해외 오픈마켓 업체 구매내역이나 배송정보가 유출된 사례가 빈번하다고 이야기하지만, 아직 국내에선 셀러를 통한 고객정보 유출 사례는 없다.
개인정보보호위원회 측은 “현재 사실관계 확인 중인 사안이고, 유출된 개인정보 출처 확인과 유출 경위, 규모 등을 검토해 유출관련 개인정보처리자 등이 확인되면 개인정보 보호법 위반에 대한 조사에 착수할 계획”이라고 전했다.
KISA 측은 “아직까지 오픈마켓 셀러 유출 관련 사례는 없다”며 “이번 쿠팡 고객유출 건은 경로 등이 확인되지 않았기 때문에 주체를 단정할 수 없다”고 말했다.
고객정보 유출 경로와 원인이 파악되기까진 상당한 기간이 소요되는 게 사실이다. 개인정보보호법에 따르면 아픈마켓 고객정보 관리 주체는 개별판매자로, 판매자가 위·수탁한 배송업체에 데이터 유출 문제가 발생하면 이를 관리 감독하는 책임은 판매자에 있다.
다만 김진욱 한국IT법학연구소 소장(변호사)은 “고객이 동의하면 고객정보가 오픈마켓 판매자에게 이전되는 ‘개인정보 제3자 제공동의’가 있긴 하지만 동의 절차 역시 제대로 밟았는지 여부에 따라 책임 소재 여부가 판가름 날 수 있다”고 설명했다.