“3370만 개인정보 유출” 쿠팡, 수천억 과징금 위기…국회 긴급 현안질의도

[한국금융신문 박슬기 기자] 쿠팡에서 3000만 건이 넘는 대규모 개인정보 유출 사고가 발생하면서 수천억 원의 과징금을 부과받을 위기에 놓였다. 여기에 과학기술정보방송통신위원회와 정무위원회가 쿠팡의 책임을 따져 묻기 위해 2일, 3일 긴급 현안질의를 진행한다. 대규모 개인정보 유출인 만큼 이번 사태를 둘러싼 파장이 커지는 모습이다.

1일 업계에 따르면 2023년 개정된 개인정보보호법에서는 법 위반 시 매출액의 3%까지 과징금을 부과할 수 있다. SK텔레콤은 지난 4월 발생한 개인정보 유출 사고로 1347억9000만 원의 과징금을 부과받았다. 쿠팡의 지난해 연결기준 매출은 40조원을 돌파한 가운데 이 경우 과징금 규모가 최대 1조 원대까지 올라갈 수 있을 것이란 전망이 나온다.

쿠팡은 지난달 29일 “고객 계정 약 3370만 개가 무단으로 노출된 것으로 확인됐다”고 공지했다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 밝혔다. 쿠팡이 지난달 18일 약 4500개 계정의 개인정보 무단 노출된 사실을 인지했다고 했지만 후속 조사에서 약 7500배 더 많은 정보가 노출된 것으로 확인됐다.

이번 사태와 관련해 정부는 지난달 30일 긴급 대책회의를 열고, 해킹 피해 확산을 방지하기 위해 민관합동조사단을 가동하고, 쿠파읭 안전 조치 의무 위반 여부에 대한 조사에 나섰다. 또 개인정보가 인터넷상에서 유출될 가능성을 열어두고 3개월 간 다크웹을 포함한 ‘인터넷상 개인정보 유노출 및 불법유통 모니터링 강화기간’을 운영하기로 했다.

국회 과학기술정보방송통신위원회와 정무위원회는 쿠팡의 개인정보 유출 사태로 긴급 현안질의를 진행한다. 국회에 따르면 과방위는 2일 오전 10시 전체회의를 열고 쿠팡 임원진과 유관 기관을 불러 개인정보 유출 사고 경위를 물을 예정이다. 여기에는 박대준 쿠팡 대표, 쿠팡 최고정보보호책임자, 과학기술정보통신부, 한국인터넷진흥원 등이 참석한다.

이어 3일 오후 2시에는 정무위원회가 전체회의를 열고 현안질의를 한다. 개인정보보호위원회, 국무조정실, 금융위원회, 금융감독원, 공정거래위원회, 쿠팡 관계자 들을 대상으로 질의를 실시한다.

이번 대규모 개인정보 유출 사태는 인증 관련 담당자에게 발급되는 서명된 ‘액세스 토큰’의 유효 인증키가 장기간 방치됐기 때문이라는 지적이 나온다. 해당 액세스 토큰 서명키를 쿠팡이 제때 갱신하거나 폐기하지 않아 담당 직원이 퇴사 이후에도 이를 악용했다는 것이다.

현재 이번 사태의 핵심 인물로 퇴사한 중국인 직원 A씨가 지목된 상태다. 그는 쿠팡 내부에서 인증 업무를 담당했던 것으로 전해진다. 쿠팡 측은 지난달 25일 서울경찰청 사이버수사대에 고소장을 제출했다. 고소장에서 피고소인은 ‘성명불상자’로 기재됐지만, 유출 정황 조사 과정에서 중국 국적의 전 직원 A씨를 특정한 것으로 전해졌다.

박슬기 한국금융신문 기자 seulgi@fntimes.com