서울 송파구에 위치한 쿠팡 본사 모습.(사진=뉴시스)
이는 쿠팡이 앞서 지난달 25일 밝힌 자체 조사 결과와는 큰 차이를 보인다. 당시 쿠팡은 용의자의 노트북을 자체 포렌식한 결과를 근거로 “저장된 고객 정보는 약 3000건이며, 제3자 전송 없이 삭제됐다”고 발표했다. 그러나 경찰 수사 결과 실제 유출 규모는 쿠팡의 설명보다 1만 배 이상 큰 것으로 드러났다.
문제는 이처럼 대규모 유출 정황이 확인됐음에도 쿠팡이 비회원 피해자들에 대한 유출 통지를 이행하지 않고 있다는 점이다. 이번 사고에서 유출된 정보에는 회원의 이름과 전화번호, 주소뿐 아니라 공동현관 비밀번호, 배송지 주소록 등이 포함된 것으로 파악됐다. 특히 배송지 주소록에는 회원이 아닌 제3자의 주소 정보가 포함돼 있어 비회원 개인정보가 대량으로 유출됐을 가능성이 제기된다. 실제로 용의자는 쿠팡 측에 보낸 이메일에서 “1억2000만 건 이상의 배송지 주소를 확보했다”고 주장한 것으로 알려졌다.
이에 개인정보보호위원회는 지난달 3일부터 이달 14일까지 세 차례에 걸쳐 “배송지 명단에 포함된 정보주체에게 유출 통지를 신속히 진행하라”고 권고했다. 그러나 쿠팡은 “데이터를 분석 중”이라는 이유를 들어 즉각적인 통지는 어렵다는 입장을 유지해온 것으로 전해진다.
법조계와 전문가들은 이러한 대응이 현행 개인정보 보호법 위반 소지가 크다고 지적한다. 개인정보 보호법 제34조와 시행령에 따르면 개인정보처리자는 유출 사실을 알게 된 후 72시간 이내에 유출 시점과 경위, 피해 구제 절차 등을 ‘지체 없이’ 정보주체에게 알려야 한다. 여기서 보호 대상인 ‘정보주체’는 회원 가입 여부와 무관하게 개인정보가 처리된 모든 개인을 의미한다.
김도승 전북대 법학전문대학원 교수는 “회원이 입력한 배송지 정보라 하더라도 쿠팡 서버에 저장·관리된 이상 쿠팡이 보호해야 할 개인정보임은 분명하다”며 “배송 서비스 특성상 연락처 등 정보 확인이 가능한데도 신속한 통지를 하지 못할 정당한 사유를 찾기 어렵다”고 지적했다.
일각에서는 쿠팡의 ‘늑장 통지’가 향후 집단소송을 염두에 둔 대응이라는 해석도 나온다. 김 교수는 “비회원 통지가 지연되는 배경에는 향후 법적 분쟁에서 확인된 피해 규모를 최소화하려는 전략이 깔려 있을 수 있다”며 “실질적인 피해 회복보다 사법적 방어를 우선시하는 모습으로 비칠 수 있다”고 분석했다.
쿠팡의 대응이 이어질 경우 제재 수위가 높아질 가능성도 있다. 유출 통지 의무 위반 자체는 3000만 원 이하의 과태료 대상이지만, 과징금 산정 과정에서는 위반 기간과 횟수, 피해 확산 방지 노력 여부 등이 함께 고려되기 때문이다.
개인정보보호위원회 관계자는 “현재 조사가 진행 중이어서 개선 권고를 유지하고 있지만, 정당한 사유 없이 유출 사실을 통지하지 않는 행위 자체는 명백한 법 위반 소지가 있다”고 경고했다.
