[3줄 요약]
1. “CPO 배제하고 공격자 진술만 의존한 자체조사”
2. “CPO 독립성 중요해지는데... 쿠팡은 무력화”
3. 법조계 “불법 행위로 간주될 수 있어”
[보안뉴스 강현주 기자] 개인정보 유출은 “3000명 뿐”이라고 발표하며 이른바 ‘셀프 조사’ 논란을 일으킨 쿠팡의 행위에 대해 “개인정보보호책임자(CPO)의 독립적 업무 수행 방해”라는 진단이 나왔다.
11일 개인정보보호위원회(위원장 송경희)는 개인정보 보호 법규를 위반한 쿠팡에 총 6246억 8100만 원의 과징금 및 1680만 원의 과태료 부과와 함께 시정 명령, 공표 및 공표 명령 등을 의결했다고 밝혔다.
[출처: 연합]
“CPO 의사결정 과정 배제... 독립성 무력화”
개인정보위는 지난해 11월 21일 개인정보 유출 조사에 착수했다. 조사 결과 인증 서명키 관리 및 접근통제 소홀 등 기본적 안전관리 체계 미흡으로 약 3755만 명의 개인정보가 유출됐다는 결론이다. 유출통지·파기 의무 및 개인정보 보호책임자(CPO)의 독립성 보장 위반 및 조사 방해 등도 추가 확인됐다.
개인정보위의 조사 결과는 지난해 12월 25일 “유출자가 3300만명의 정보를 빼갔으나 3000명의 정보만 저장했으며 범행 장비도 자체 회수했다”고 쿠팡이 스스로 발표한 내용과 큰 차이가 있다.
이에 대해 개인정보위는 쿠팡이 CPO를 배제하고 독립적 업무 수행을 방위한 처사라고 진단했다.
개인정보위는 “쿠팡은 해커에 대한 자체 조사(2025년 12월 9일~18일)를 진행하고, 그 결과를 홈페이지를 통해 공개(2025년 12월 25일)하는 과정에서 CPO를 의사결정 과정에서 배제하고 관련 정보를 공유하지 않았다”며 “그 결과 해커 진술에만 의존한 자체 조사 결과가 사실관계 검증 없이 쿠팡 앱·웹 내 공지 배너, 언론 등을 통해 공개돼 사회적 혼란이 야기됐다”고 지적했다.
이는 단순한 내부 소통 부재가 아니라, 개인정보 보호 체계의 핵심인 CPO 제도를 형해화하는 것이라는 게 개인정보위의 판단이다. 보호법이 보장하는 CPO의 독립적 직무수행 권한을 실질적으로 무력화했다는 설명이다.
개인정보 정책 전문가인 염흥열 순천향대학교 교수는 “개인정보 보호 규제가 강화되고 정보주체의 통제권에 대한 요구가 높아지고 있는 요즘, CPO의 독립성 확보가 중요해지고 있으며, 유럽 등에서는 이를 위한 정책적 지원이 강화되고 있다”며 “개인정보 안전성 조치 점검을 통해 사전 예방 대응체제를 강화하고, 개인정보 거버넌스 정비를 통해 사전 대응을 위한 인원과 보호 조치에 대한 투자를 높여야 한다”고 말했다.
법조계 “국내·외서 불법행위 간주 가능”
쿠팡의 이 같은 행위에 대해 앞서 국회 입법조사처는 “경우에 따라 형사 책임도 문제될 수 있다”고 지적한 바 있다. 만약 쿠팡이 민관합동조사단 및 수사기관과 사전 협의없이 독자적으로 유출자를 특정하고, 자체 선정한 외부 업체에 증거를 전달해 포렌식 과정에서 유출자와 부적절한 합의를 했다면 문제가 될 수 있다는 설명이다.
이 같은 행위를 통해 증거 은닉이나 변형 등 증거 효용을 해하는 행위를 했거나, 조사·수사 과정에서 사실과 다르거나 수사 기관의 판단을 오인·혼돈케 할 정도의 허위·과정된 진술을 했다면 형사 책임을 물어야 할 사안으로 볼 수 있다는 것이다.
이는 쿠팡 개인정보 유출 관련 집단 소송이 진행되고 있는 미국에서도 쿠팡이 소비자보호법을 위반했다는 근거가 될 수 있다는 게 법조계 전문가의 지적이다.
한 미국 변호사는 “쿠팡이 유출 규모를 3000명이라고 발표한 것과 달리 실제 규모가 3755만명에 달한다는 것은 뉴욕주 소비자보호법 위반을 뒷받침하는 근거가 될 수 있다”며 “이런 ‘기만적 관행’은 해당 법령상 불법 행위로 간주돼 배상 책임의 근거가될 수 있다”고 말했다.
한편, 쿠팡은 이번 개인정보위의 제재 심의 결과에 대해 “이번 개인정보 유출 사고로 인해 고객과 국민께 심려를 끼쳐드린 점에 대해 사과드린다”며 “개인정보 보호 프레임워크를 더욱 강화하고 새로운 의지로 고객 신뢰 회복을 위해 노력하겠다”고 밝혔다.
다만 개인정보위의 제재 수위에 대해 “작년 데이터 유출 사태와 관련, 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 위원회 결정에 충분히 반영되지 못한 점을 유감스럽게 생각한다”며 아쉬움을 드러냈다.
[강현주 기자(jjoo@boannews.com)]
1. “CPO 배제하고 공격자 진술만 의존한 자체조사”
2. “CPO 독립성 중요해지는데... 쿠팡은 무력화”
3. 법조계 “불법 행위로 간주될 수 있어”
[보안뉴스 강현주 기자] 개인정보 유출은 “3000명 뿐”이라고 발표하며 이른바 ‘셀프 조사’ 논란을 일으킨 쿠팡의 행위에 대해 “개인정보보호책임자(CPO)의 독립적 업무 수행 방해”라는 진단이 나왔다.
11일 개인정보보호위원회(위원장 송경희)는 개인정보 보호 법규를 위반한 쿠팡에 총 6246억 8100만 원의 과징금 및 1680만 원의 과태료 부과와 함께 시정 명령, 공표 및 공표 명령 등을 의결했다고 밝혔다.
[출처: 연합]
“CPO 의사결정 과정 배제... 독립성 무력화”
개인정보위는 지난해 11월 21일 개인정보 유출 조사에 착수했다. 조사 결과 인증 서명키 관리 및 접근통제 소홀 등 기본적 안전관리 체계 미흡으로 약 3755만 명의 개인정보가 유출됐다는 결론이다. 유출통지·파기 의무 및 개인정보 보호책임자(CPO)의 독립성 보장 위반 및 조사 방해 등도 추가 확인됐다.
개인정보위의 조사 결과는 지난해 12월 25일 “유출자가 3300만명의 정보를 빼갔으나 3000명의 정보만 저장했으며 범행 장비도 자체 회수했다”고 쿠팡이 스스로 발표한 내용과 큰 차이가 있다.
이에 대해 개인정보위는 쿠팡이 CPO를 배제하고 독립적 업무 수행을 방위한 처사라고 진단했다.
개인정보위는 “쿠팡은 해커에 대한 자체 조사(2025년 12월 9일~18일)를 진행하고, 그 결과를 홈페이지를 통해 공개(2025년 12월 25일)하는 과정에서 CPO를 의사결정 과정에서 배제하고 관련 정보를 공유하지 않았다”며 “그 결과 해커 진술에만 의존한 자체 조사 결과가 사실관계 검증 없이 쿠팡 앱·웹 내 공지 배너, 언론 등을 통해 공개돼 사회적 혼란이 야기됐다”고 지적했다.
이는 단순한 내부 소통 부재가 아니라, 개인정보 보호 체계의 핵심인 CPO 제도를 형해화하는 것이라는 게 개인정보위의 판단이다. 보호법이 보장하는 CPO의 독립적 직무수행 권한을 실질적으로 무력화했다는 설명이다.
개인정보 정책 전문가인 염흥열 순천향대학교 교수는 “개인정보 보호 규제가 강화되고 정보주체의 통제권에 대한 요구가 높아지고 있는 요즘, CPO의 독립성 확보가 중요해지고 있으며, 유럽 등에서는 이를 위한 정책적 지원이 강화되고 있다”며 “개인정보 안전성 조치 점검을 통해 사전 예방 대응체제를 강화하고, 개인정보 거버넌스 정비를 통해 사전 대응을 위한 인원과 보호 조치에 대한 투자를 높여야 한다”고 말했다.
법조계 “국내·외서 불법행위 간주 가능”
쿠팡의 이 같은 행위에 대해 앞서 국회 입법조사처는 “경우에 따라 형사 책임도 문제될 수 있다”고 지적한 바 있다. 만약 쿠팡이 민관합동조사단 및 수사기관과 사전 협의없이 독자적으로 유출자를 특정하고, 자체 선정한 외부 업체에 증거를 전달해 포렌식 과정에서 유출자와 부적절한 합의를 했다면 문제가 될 수 있다는 설명이다.
이 같은 행위를 통해 증거 은닉이나 변형 등 증거 효용을 해하는 행위를 했거나, 조사·수사 과정에서 사실과 다르거나 수사 기관의 판단을 오인·혼돈케 할 정도의 허위·과정된 진술을 했다면 형사 책임을 물어야 할 사안으로 볼 수 있다는 것이다.
이는 쿠팡 개인정보 유출 관련 집단 소송이 진행되고 있는 미국에서도 쿠팡이 소비자보호법을 위반했다는 근거가 될 수 있다는 게 법조계 전문가의 지적이다.
한 미국 변호사는 “쿠팡이 유출 규모를 3000명이라고 발표한 것과 달리 실제 규모가 3755만명에 달한다는 것은 뉴욕주 소비자보호법 위반을 뒷받침하는 근거가 될 수 있다”며 “이런 ‘기만적 관행’은 해당 법령상 불법 행위로 간주돼 배상 책임의 근거가될 수 있다”고 말했다.
한편, 쿠팡은 이번 개인정보위의 제재 심의 결과에 대해 “이번 개인정보 유출 사고로 인해 고객과 국민께 심려를 끼쳐드린 점에 대해 사과드린다”며 “개인정보 보호 프레임워크를 더욱 강화하고 새로운 의지로 고객 신뢰 회복을 위해 노력하겠다”고 밝혔다.
다만 개인정보위의 제재 수위에 대해 “작년 데이터 유출 사태와 관련, 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 위원회 결정에 충분히 반영되지 못한 점을 유감스럽게 생각한다”며 아쉬움을 드러냈다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
