“기본 보안도 안 지켜” vs “사실관계 반영 안 돼”…쿠팡 제재, 소송 확전 전망 작성일 06-11 22 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="xKjVUxx2Sv"> <figure class="figure_frm origin_fig" contents-hash="7372dc1d2c170089274c926d6a5216fce0d3832da29fad65bd1578b511633ab2" dmcf-pid="ypJ7Z22uvS" dmcf-ptype="figure"> <p class="link_figure"><img alt="송경희 개인정보위 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡사태 제재안 의결 브리핑을 하고 있다. 연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/11/dt/20260611144103712hbzh.jpg" data-org-width="640" dmcf-mid="QyeUHKKpTT" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/11/dt/20260611144103712hbzh.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 송경희 개인정보위 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡사태 제재안 의결 브리핑을 하고 있다. 연합뉴스 </figcaption> </figure> <p contents-hash="2893366021ba31e46cdf49def05120007fc12b2a0929e4da1ceadd96de87e829" dmcf-pid="WUiz5VV7ll" dmcf-ptype="general"><br> 역대 최대 과징금을 둘러싼 쿠팡과 개인정보보호위원회 간 공방이 법정으로 향할 전망이다. 쿠팡은 처분 직후 입장문을 내고 법적 절차를 예고했고, 개인정보위는 소송이 제기되면 적극 대응하겠다고 맞섰다. 개인정보위가 조사 방해를 이유로 쿠팡 고발까지 진행하기로 하면서 다툼은 행정소송과 형사 절차 양쪽으로 번지게 됐다.</p> <p contents-hash="9994846f22274d0f9b5412276671bde08362068e7250084adb2d34f492e92ccf" dmcf-pid="Yunq1ffzyh" dmcf-ptype="general">쿠팡은 11일 입장문에서 유출 사고에 대해 사과하면서도 “2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위 결정에 충분히 반영되지 못한 점을 유감스럽게 생각한다”고 밝혔다.</p> <p contents-hash="04eef1402a642aac02b53ecf6cbd2c287cc407af540e91b9971484e11ac10c28" dmcf-pid="G7LBt44qhC" dmcf-ptype="general">이어 “공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되길 기대한다”며 불복 소송을 시사했다.</p> <p contents-hash="3a1606c9f5c1983acff3a772a544b6d39d624caae1600250ceccf50b0f3d4f0a" dmcf-pid="HzobF88BvI" dmcf-ptype="general">개인정보위는 쿠팡의 조사 방해 행위에 대한 고발을 진행하기로 했다. 개인정보위가 조사를 시작한 직후 증거자료 보전을 명령했지만, 쿠팡이 5개월치 접속 로그를 수동 삭제했고 자동 삭제 정책도 중단하지 않아 전체 접속 기록의 13%가 사라졌다는 것이 개인정보위의 설명이다.</p> <p contents-hash="d6e83fd49da084ca0fcbad0188a22a3d1ba761fbef82af48e79ceba896025289" dmcf-pid="XqgK366bWO" dmcf-ptype="general">송경희 개인정보위원장은 “이로 인해 해당 기간 배송지 정보가 유출된 피해자를 특정하지 못했다”며 “조사를 어렵게 한 행위가 있었고, 법상 요건이 충족되면 당연히 고발하게 돼 있다”고 말했다.</p> <p contents-hash="e740d03206295ce441ba66b7ee2eeb19826c42fc524e11b468445b29159cdfb3" dmcf-pid="ZBa90PPKvs" dmcf-ptype="general">쿠팡이 자신들의 의견이 반영되지 않았다고 주장했지만, 개인정보위는 충분히 검토했다는 입장이다. 쿠팡이 처분에 앞서 수백 페이지 분량의 의견서를 제출했고, 지난 10일 전체회의에서도 유출 사건과 무단수집 사건을 논의하며 피심인 의견 진술 및 질답을 포함 13시간 넘는 개인정보위 역대 최장 심의를 진행했다는 것이다. 이 과정에서 사실에 부합하는 소명은 가중·감경에 반영했다고 설명했다.</p> <p contents-hash="ace0ed403956eee61a34afa1e99b577bf8d7482d3ddaf3dfdbf80bd869022af6" dmcf-pid="5bN2pQQ9vm" dmcf-ptype="general">양측은 유출 사고의 성격부터 다르게 보고 있다. 쿠팡은 전직 직원이 재직 중 정당하게 알고 있던 서명키를 퇴사 후 악용한 것이 근본 원인인 만큼 일반적인 유출 사고와 다르게 봐야 하며, 법이 요구하는 인증키 관리와 이상행위 탐지 및 대응을 충분히 했다고 주장했다.</p> <p contents-hash="f9ba97e891d8ad5c9e04896c4265c1deb72adb2366cbb3444df224aaf50c2190" dmcf-pid="1KjVUxx2Cr" dmcf-ptype="general">반면 개인정보위는 서명키 유출에 취약한 인증체계를 설계·운영하면서 접근 권한을 과도하게 부여하고, 키 관리 정책도 갖추지 않은 기본적인 내부 보안 실패로 판단했다. 공격 기간 중 평시 대비 과도한 트래픽과 존재하지 않는 회원 계정의 비정상 접속이 이어졌지만 6개월 넘게 인지하지 못한 점도 근거로 들었다.</p> <p contents-hash="744898768f198cc5565a90fa780b446c968237d36f4d73f0935caa61c05a902d" dmcf-pid="t9AfuMMVTw" dmcf-ptype="general">타사 온라인 활동 기록 무단수집을 두고도 시각차가 뚜렷하다. 쿠팡은 입장문에서 쿠팡 파트너스에 대해 “다른 글로벌 기업들과 동일한 제휴 모델을 사용해 고객 데이터를 보호하고 적법하게 운영하고 있다”고 반박했다.</p> <p contents-hash="b09aceaef337fc37aa5a601372fd07752ceea8e1b4faf71822fad48e017a915c" dmcf-pid="F2c47RRfvD" dmcf-ptype="general">심의 과정에서는 타사 방문 기록이 회원 식별번호와 결합돼 저장된 사실 자체는 인정하면서도, 의도적 수집이 아닌 자연적으로 쌓인 것이라고 항변했다.</p> <p contents-hash="6a6e42d0bd4415ac72ebcda6e810bb7c9eab8616ff97f3ae5920223eb63db92e" dmcf-pid="3Vk8zee4hE" dmcf-ptype="general">하지만 개인정보위는 쿠팡이 광고 도구를 배포하고 기기 식별자를 심은 뒤 회원번호와 결합해 의도적으로 적재했다고 판단했다. 해당 데이터베이스를 실제 조회한 사실까지 확인했다는 것이다. 개인정보위는 같은 사유로 과거 구글과 메타에 약 1000억원의 과징금을 부과한 바 있다.</p> <p contents-hash="2ff2458f54fb5748be9526ee27b0f889b486131a51785921d0b368ab690274bb" dmcf-pid="0fE6qdd8Ck" dmcf-ptype="general">2차 피해를 둘러싼 시각도 갈린다. 쿠팡은 선제적 방지 조치를 강조했지만, 개인정보위는 현재까지 유출 정보의 불법 유통 정황이 확인되지 않았을 뿐 정보가 회수된 것은 아니라고 선을 그었다.</p> <p contents-hash="7151632aadafbbacad2a969bf755ee4c3ceaca7e165cc728c4750f0a03911ddb" dmcf-pid="p4DPBJJ6yc" dmcf-ptype="general">해커가 협박 메일에서 주장한 규모는 배송지 주소만 1억2000만개로 공식 확인치를 크게 웃돌아, 사이버 범죄에 악용될 가능성이 남아 있다는 것이다.</p> <p contents-hash="82f7043eafde1e823f406e70b17f1d2a3ea57498c64684e3974baf6328cb5994" dmcf-pid="UWVHC33GWA" dmcf-ptype="general">이번 제재가 미국과의 외교 문제로 연결될 수 있다는 지적에 대해 송 위원장은 “법 위반 사실과 증거, 조사 결과에 집중해 결론을 내렸다”며 “국내 회사냐, 해외 회사냐, 이를 둘러싼 다른 영향들은 고려하지 않았다”고 일축했다.</p> <p contents-hash="bfaca821a093881f712174577f90edca78afa5842cc002a80d93ff8462a23b7e" dmcf-pid="uYfXh00HSj" dmcf-ptype="general">이어 “처분은 법과 원칙에 근거해 면밀한 검토와 충분한 숙고 끝에 내려진 타당한 처분”이라며 “소송이 제기된다면 적극적으로 대응하겠다”고 말했다.</p> <p contents-hash="d92393c873066be7c2571bd7bd45fe991fa5253ea8be9066fc43dc4df0733f0f" dmcf-pid="7G4ZlppXSN" dmcf-ptype="general">김남석 기자 kns@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 광고 안 눌러도 내 정보 전송…쿠팡, 1117만명 ‘타사 방문기록’ 무단 수집 06-11 다음 [단독]삼성메디슨, 튀르키예에 초음파 기술 수출 06-11 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
