민변홈
기능개선요청  로그인

[디지털정보위][성명]사상 최대 규모의 쿠팡 개인정보 유출 강력하게 규탄한다!

  • 2025-12-01
  • 9
  • 일반게시판

[디지털정보위][성명]

사상 최대 규모의 쿠팡 개인정보 유출 강력하게 규탄한다!

  언론 보도에 따르면 주식회사 쿠팡의 3379만개의 고객 개인정보가 유출되었다. 쿠팡의 활성 고객수가 2479만 명임을 고려할 때, 사실상 쿠팡에 가입한 모든 고객과 탈퇴한 고객을 포함하여 쿠팡에 가입한 적이 있는 모든 국민의 개인정보가 유출된 것이나 다름없는 규모이다. 쿠팡은 결제정보는 유출되지 않았다고 주장하며, 유출 피해를 축소하려 하지만, 시간이 지날수록 결제정보까지 유출되었을 가능성이 제기되는 상황이다. SK텔레콤, 롯데카드사에 이어 올해 역대 최대규모의 개인정보 유출을 야기한 쿠팡을 강력하게 규탄하며,  기업의 개인정보 유출이 일상화되는 상황을 해결하기 위한 개인정보보호위원회, 과학기술정보통신부 등 관계 부처의 신속하고 근본적인 조사와 조사 결과에 따른 강력한 조치를 요구한다. 이번 개인정보 유출은 올해 6월 24일 경부터 시작되었으나, 쿠팡은 사건 발생 5개월이  지난 후에야 피해 사실을 인지하였고, 초기엔 ‘4500개의 개인정보가 유출되었다’라고 발표하는 등 피해 규모조차 제대로 파악하지 못하여 소비자에게 혼란을 가중시켰다. 특히 이번 유출 사고는 고객 정보가 외부 해킹이 아닌 내부 직원에 의해 빠져나갔을 가능성이 제기되면서, 조직 내 개인정보 관리 및 감독이 전혀 이루어지지 않았을 분석도 나오는 상황이다.   이번 유출 사고는 그 피해 규모가 SK텔레콤의 유심정보 유출, 롯데카드사의 고객 정보 유출보다도 현저히 크고 심각하다. 그럼에도 쿠팡은 개인정보 ‘유출’이 아닌 ‘노출’이라고 지칭하며 그 피해를 의도적으로 축소시키고 있다. 정보가 공개되어 있는 상태를 일컫는 ‘노출’이라는 표현을  사용하며  기업의 중대한 과실이나 악의적 행위로 인한 사고가 아니라는 것을 강조한 것이다. 전례없는 대규모 개인정보 유출 사고를 야기하고도 그 피해 규모를 제대로 공지하거나 신속한 원인 분석을 하기는 커녕, SK텔레콤과 롯데카드사와 똑같이 책임을 축소, 은폐하려는 시도만 이어지고 있다. 심지어 카드번호와 같은 결제 정보는 분리 관리되어 안전하다는 쿠팡의 해명을 소비자 입장에서 그대로 믿기도 어려운 상황이다.   이번 사고는 단순히 내부/외부 개인의 악의적 해킹만으로 발생된 것이 아니다. 쿠팡은 국가 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)을 2021년, 2024년 두 차례나 취득하고도 이러한 대규모 개인정보 유출 사고를 야기했다. 위 인증 제도가 기업의 소비자  개인정보 보호에 있어  실효적인 역할을 다하고 있는지 심히 의심스러운 지점이다. 실제로 2020년 이후부터 현재까지 27개의 인증기업에서 무려 34건의 개인정보 유출 사고가 발생했다. 기업의 고객 정보 보호 의무 방기, 국가 차원의 미흡한 통합 감독 시스템, 실효성 없는 관리 체계 등이 복합적으로 얽힌 인재라는 것이 다시 한 번 확인되었다.   이번 유출 사고에서는 고객 이름, 이메일 주소, 전화번호, 거주지 주소와 함께 배송 주소록, 주문 정보도 노출되어 소비자들의 분노를 사고 있다. 개인정보와 함께 유출된 구매이력은 소비자에게 피싱 등 범죄에 악용될 소지가 매우 높음에도 불구하고, 지금까지 개인정보보호위원회는 구매이력 등이 개인정보에는 해당하지 않을 수 있다는 미온적인 태도를 취해왔다. 이번 사고의 진상규명 과정에서 개인정보보호위원회는 소비이력과 같은 행태정보 유출이 실질적으로 정보 주체에게 어떠한 피해를 낳는지 명확하게 규명해야 하며, 행태정보를 보호할 수 있는 방안까지 내놓아야 한다. 더불어, 개인의 정보가 기업의 부주의로 유출되는 일이 반복되지 않도록, 기업 책임을 대폭 강화하는 입법 조치를 적극 추진할 것을 요구한다.   올해만 세번째 기업의 대규모 개인정보 유출이다. 우리 위원회는 이러한 참사를 예방하지 못한 쿠팡을 강력하게 규탄하고, 민관합동조사를 면밀하고 철저하게 진행하며 이에 따른 응당한 책임을 부담시킬 것을 요구한다. 개인정보보호위원회를 포함한 유관 기관에 대해서는 ISMS-P 인증제도의 근본적인 검토를 포함하여 개인정보 유출을 막기 위한 시스템을 마련할 것을 촉구한다. 우리 위원회는 이번 유출 사고로 인해 필요한 법적 대응에 조력을 다 할 것이며, 대규모 개인정보 유출 방지를 위한 노력을 멈추지 않을 것이다.    

2025. 12. 1. 

민주사회를 위한 변호사모임 디지털정보위원회

 
목록