쿠팡, 해커에 “뭘 원해?”…개인정보 유출 2개월 은폐
다크웹 ‘쿠팡 정보’ 거래 글 올라온 뒤 협력사 조사
해커에 “추가 데이터 줄 수 있냐” 거래 시도 이메일
정보인권전문가 “유출 알고도 방치…피해 키웠다”
자체 조사를 진행하면서도 쿠팡은 개인정보위에 신고하지 않았다. 특히 지난 1월26일 한국인터넷진흥원이 쿠팡 협력사 등을 대상으로 다크웹 해킹포럼 누리집 게시 글 관련 조사를 진행하고 있다는 사실도 쿠팡은 파악한 상태였다. 당시 인터넷진흥원은 유출 정보가 쿠팡 고객 정보인지 여부는 특정하지 못한 상태였다. 개인정보보호법은 고객 정보 유출을 확인한 기업은 사고 발생 24시간 안에 한국인터넷진흥원과 개인정보위 등에 신고하고, 피해 당사자들에게 알리도록 정하고 있다. 개인정보보호 법령 및 지침·고시에는 유출의 의미를 개인정보처리자의 관리 범위를 벗어나 개인정보가 외부에 공개·누설된 모든 상태로 본다.
정보인권 전문가들은 쿠팡이 정보보호 책임자로서의 책임을 다하지 않아 2차 피해 가능성을 키웠다고 말한다. 장여경 정보인권연구소 상임이사는 “쿠팡 고객 개인정보가 다크웹에 올라온 뒤 오랜 시간 방치된 사이 개인정보가 추가로 거래되는 등의 2차 피해가 발생했을 수 있다”라며 “쿠팡 고객들이 개인정보 유출 사실을 언론 보도를 통해 알게 되고, 쿠팡이 협력업체 쪽에 책임을 전가하는 모습에서 고객정보를 얼마나 허술하게 관리했는지를 알 수 있다”고 말했다.
https://v.daum.net/v/20230321142507491