개보위, 쿠팡 사태 '총제적 관리 실패' 결론…근거는
지난해 대규모 개인정보 유출 사건을 일으킨 쿠팡 사건에 대해 개인정보보호위원회가 회사의 총체적인 보안 관리 실패로 결론지었다. 인증수단의 미흡한 관리 체계와 소홀한 접근 통제, 조사 방해, 탈퇴 회원의 자료 미파기 등을 근거로 들었다. 이와 함께 개보위는 쿠팡에 대한 고발도 병행한다. 지난해 11월 사고 관련 증거 자료 보전을 명령했지만 5개월 분량의 웹 접속 기록을 수동으로 삭제하고, 자동 삭제 시스템 역시 중단시키지 않은 사실이 확인됐기 때문이다. 개보위는 11일 서울 종로구 정부서울청사에서 쿠팡 제재안 관련 브리핑을 열고 안전조치 및 의무 위반 및 법적 근거 없는 개인정보 수집 등에 대해 과징금 6246억8100만원, 과태료 1680만원을 부과했다. 회사의 물류를 담당하는 쿠팡풀필먼트서비스(CFS)에도 과징금 2억4800만원을 내렸다. 개인정보 수집·이용 및 민간정보 처리 제한 위반 사실을 확인하면서다. 인증수단 관리 미흡·조사 방해·회원 자료 미파기가 이유 개보위는 인증수단을 안전하게 관리하지 않고, 불법적인 접근·침해사고 방지를 위한 접근 통제를 소홀히 했다는 점을 총체적 보안 관리 실패로 본 이유로 꼽았다. 쿠팡이 운영하는 토큰 기반 인증체계는 전자서명 검증만으로 인증을 허용하는 방식으로, 서명에 사용되는 키 관리 실패 시 전체 회원 계정에 대한 무단 접근을 허용할 수 있다는 점에서 엄격한 운영·관리가 필요하지만 이를 소홀히 했다는 것이다. 해커가 퇴사를 했음에도 서명키를 즉시 갱신하거나 폐기하지 않는 등 인증 서명키를 안전하게 관리하지 않은 것도 영향을 미쳤다. 해커가 공격하는 과정에서 과도한 트래픽 이상과 비정상 접속이 다수 있었음에도 회사는 해커의 협박 메일을 받은 고객 민원 접수 전까지 이상행위를 인지하지 못했다. 개인정보가 포함된 페이지에 대한 차단 임계치 설정이 미흡하고, 이상행위에 대한 별도 상세 분석을 수행하지 않아 사전에 유출사고를 차단할 수 있는 기회도 놓친 것으로 확인됐다. 여기에 올해 1월 30일 회원 약 16만명의 개인정보가 추가 유출됐고 이를 인지했음에도 법령이 정한 72시간이 경과한 2월 5일에서야 유출 사실을 통지했다. 유출된 배송지 정보에 쿠팡 회원이 아닌 정보주체의 개인정보가 존재해 이를 통지할 것을 촉구했음에도 이를 이행하지 않은 것도 하나의 요인이다. 해킹에 대한 자체적인 조사 당시 결과를 홈페이지에 공개할 때 개인정보보호책임자(CPO)를 의사결정 과정에서 배제하고 관련 정보를 공유하지 않아 직무수행 권한을 무력화한 것도 원인으로 작용했다. 자료 폐기 등을 통해 개보위의 조사도 방해를 받았다. 회원정보는 탈퇴 후 90일이 경과하면, 주소·계좌번호는 즉시 파기하도록 하는 내부 규정이 있었음에도 246만5592건은 파기 하지 않아 실제 유출로 이어졌다. 탈퇴회원의 계좌번호 31만8499건을 즉시 파기하지 않고, 탈퇴 후 90일이 경과한 71만7865명의 개인정보도 별도의 발송용 DB에서 파기하지 않은 점도 드러났다. 개보위 "쿠팡 고발 진행…자료보전명령 미이행" 개보위는 이번 사안에 대해 쿠팡에 대한 고발을 진행하기로 했다. 송경희 개보위원장은 "조사를 개시하고 자료보전명령을 내렸는데도 이후 (자료가) 삭제된 적이 있었다"며 "자동 삭제 시스템도 중단시키지 않아 다시 한 번 삭제되는 일이 있어 조사를 어렵게 했다"고 설명했다. 아울러, 개보위는 이번 결정에서 쿠팡 측 의견도 일부 반영됐으며, 국내와 국외 사업자의 차별은 없었다고 강조했다. 송 위원장은 "제안된 의견에 대해서는 사실 여부를 면밀하게 확인하고 조사 결과와도 대비해 여러번 확인하는 과정을 거쳤다"며 "물론 사실과 부합하는 부분은 감안된 것이 있다"고 말했다. 쿠팡이 피해 회복과 관련된 일부 프로그램을 진행했다는 점도 가중·감경에 반영됐다. 개보위 관계자는 "심의에 고려하기 위해서는 쿠팡에서 시행하는 프로그램이 어느 정도로 이용됐는지가 정확하게 확인되는 게 중요하다"며 "쿠팡이 답변을 하지 않아 정확히 얼마가 집행됐는지는 확인이 안되고 있는 상황이지만 종합적으로는 판단에 일부 고려가 됐다"고 덧붙였다. 앞서 쿠팡은 개인정보가 유출된 이용자를 대상으로 쿠팡 플랫폼과 쿠팡 이츠에 각각 5000원, 쿠팡 럭스와 트래블에 2만원씩 총 5만원의 쿠폰을 지급한 바 있다. 안전 강화·정보 유출 통지 등 명령…"불복 시 적극 대응" 시사 개보위는 과징금·과태료와 유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체 대상 유출 통지 실시, CPO 실질적 역할 보장 등을 시정 명령했다. 또한 탈퇴회원 개인정보 처리 체계와 관련해 개선을 권고하며 3개월 이내 시행·조치 결과를 확인할 예정이다. 쿠팡이 부과받은 과징금과 과태료가 역대 최대치로 나오면서 회사는 사과와 함께 "지난해 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못했다"며 유감스럽다는 의사를 표현했다. 또 "쿠팡 파트너스는 다른 글로벌 기업들과 동일한 제휴 모델을 사용해 고객 데이터를 보호하고 적법하게 운영하고 있다"며 "개보위로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되기를 기대한다"고 강조했다. 이같은 쿠팡의 후속 조치에 개보위는 불복할 경우 적극 대응하겠다는 입장이다. 송 위원장은 "만약 소송이 제기된다면 적극적으로 대응하겠다"며 "처분은 법과 원칙에 근거해 매우 면밀한 검토와 충분한 숙고 끝에 내려진 타당한 처분"이라고 밝혔다. 쿠팡은 파트너스 프로그램을 통한 타사 온라인 활동 기록 무단 수집을 두고 "비의도적이다. 자연적으로 적재가 됐다"고 항변했으나 인터넷 통신 규약상 자연적으로 적재할 수 있는 형태가 아니라고 봤다. 특히, 기기 식별자를 회원들 브라우저에 설치해 이를 바탕으로 타사의 웹·앱의 온라인 기록들을 쿠팡 서버에 들어왔을 때 회원 식별번호와 결합해 의도적으로 데이터베이스(DB)에 쌓아놨다는 점이 충분히 의도성이 있다는 설명이다. 개보위 관계자는 "이 DB를 나중에 쿠팡이 일정하게 조회한 사실도 확인했기에 이를 위법하다고 본 것"이라고 부연했다.
