로그인회원가입
SW 보안

송경희 개보위원장, “쿠팡 3000건 유출 주장 사실과 달라…엄정 처분할 것”

송경희 개인정보보호위원회 위원장이 21일 서울 중구 프레스센터에서 개최된 출입기자단 신년간담회에서 인사말을 하고 있다.(개인정보보호위원회 제공)
송경희 개인정보보호위원회 위원장이 21일 서울 중구 프레스센터에서 개최된 출입기자단 신년간담회에서 인사말을 하고 있다.(개인정보보호위원회 제공)

쿠팡이 '셀프 조사'를 통해 3000여개 개인정보를 유출했다고 주장하는 가운데 사고를 조사 중인 개인정보보호위원회가 3000만건 이상의 개인정보가 빠져나갔다고 정면 반박했다. 특히 유출된 개인정보엔 비회원 정보도 포함돼 있어 유출 건수는 더 늘어날 전망이다.

송경희 개인정보위 위원장은 21일 서울 중구 프레스센터에서 열린 출입기자단 신년간담회에서 “쿠팡이 자체 조사 결과를 발표하면서 혼선이 있는 것처럼 보였다”며 “조사가 상당히 진행됐고 확실한 것은 3000만명의 개인정보가 유출됐다는 것”이라고 말했다.

개인정보위는 개인정보 유출 규모가 더 커질 수 있다고 보고 있다. 유출된 개인정보엔 회원정보뿐만 아니라 비회원 정보도 포함돼 있다. 예를 들어, 쿠팡 회원이 비회원에게 배송할 때 배송지 등 개인정보가 들어가 있다. 겉보기엔 쿠팡 회원 한 명의 정보이지만 들여다보면 다수의 비회원 정보가 담긴 것이다.

송 위원장은 “불법적인 요소들이 분명히 상당히 있다”며 “유출된 개인정보의 유형과 규모를 정밀하게 확인 중”이라고 말했다.

쿠팡의 비협조적인 태도 등 대응에 대해서도 지적했다. 앞서 개인정보위는 쿠팡에 '개인정보 노출'을 '유출'로 재통지, 자체 조사 결과 홈페이지 게재 중단 등을 개선 권고한 바 있다.

송 위원장은 협조적이냐는 질문에 “충분하지 않다”면서 “강제조사권 마련 등 필요성이 조사 과정에서 더 드러났다”고 말했다.

특히 송 위원장은 쿠팡 개인정보 유출 사고가 통상 문제로 번진 점에 대해 “국내 기업인지 해외기업인지는 전혀 고려하지 않는다”며 “국민에게 준 피해의 규모가 얼마나 되는지, 제대로 조치했는지 등 위반 여부를 엄격하게 봐서 맞는 처분을 내리겠다”고 말했다.

송 위원장은 SK텔레콤·LG유플러스 등 대규모 개인정보 유출 사고 현안에 대해서도 언급했다.

SKT는 개인정보위로부터 받은 1347억원의 과징금 처분에 불복해 행정소송을 제기했다. 또 정부는 LG유플러스가 해킹 정황 서버를 폐기해 공무집행 방해 혐의로 경찰 수사를 의뢰했다.

송 위원장은 “'부당한 이득을 취하지 않았기에 과징금이 부당하다'는 SKT의 주장은 논리에 맞지 않는다”며 “개인정보를 대량 보유·활용하면서 통제를 못해 정보주체에 피해를 끼친 책임을 묻는 것이 과징금 취지”라고 말했다.

송 위원장은 LG유플러스의 서버 폐기에 대해선 “매우 심각한 문제로 본다”며 “기존의 법률 체계 하에서도 (서버 폐기 정황이) 확인될 경우 엄정하게 대응할 것”이라고 말했다.

송경희 개인정보보호위원회 위원장(가운데)이 21일 서울 중구 프레스센터에서 개최된 출입기자단 신년간담회에서 기자단의 질의에 답하고 있다.(개인정보보호위원회 제공)
송경희 개인정보보호위원회 위원장(가운데)이 21일 서울 중구 프레스센터에서 개최된 출입기자단 신년간담회에서 기자단의 질의에 답하고 있다.(개인정보보호위원회 제공)

송 위원장은 또 개인정보 보호 체계를 '사후 제재'에서 '사전 예방' 중심으로 전환하겠다는 정책 기조를 재확인했다.

송 위원장은 '사전 예방'에 방점을 찍은 이유로 클라우드 환경, 인공지능(AI) 에이전트 시대 초개인화 서비스, 개인정보 불법거래 증가와 한국의 구조적 취약성 등을 꼽았다.

클라우드 전환으로 사고가 발생하면 짧은 시간 안에 대량의 정보가 외부로 확산하고 이후 어디로 유통되고 어떻게 오용되는지를 파악하기가 매우 어려운 환경이 됐다. 사고 이후 조사·처벌 중심 대응으론 이미 불법 유통이 끝난 뒤여서 실질적 피해를 막지 못한다는 판단이다.

또 AI 에이전트 시대 도래로 정보주체의 이메일·사진·검색기록·통화·메시지 등 개인정보를 활용한 초개인화 서비스가 등장하고 있다. “알아서 다 해줘”라는 식의 명령어 하나면 원하는 서비스를 받을 수 있게 된 것이다. 이때 하나하나 동의를 받는 방식은 더 이상 실효성이 없고 개인정보 활용 여부가 아니라 설계 단계에서 안전하게 쓰이도록 구조를 만드는 게 핵심이라는 게 송 위원장의 설명이다.

한국이 다른 국가에 비해 디지털 전환(DX)이 빨라 해커의 먹잇감이 되고 있다는 점도 거론했다. 해커 입장에선 탈취할 수 있는 개인정보가 많은 데다 몸값 지불 능력도 있어 공격 대상이 될 가능성이 높아졌다.

송 위원장은 “기업이 사고 발생 후 과징금·몸값 지불로 끝내기보다 사전 예방 관리 구조를 구축하는 게 더 비용 효과적이라는 보호 정책 체계를 만들고 있다”며 “기업이 선제적으로 개인정보 보호에 투자하고 예방 조치를 충실히 이행할 시 과징금 감경 등 인센티브 제도의 법적 근거를 확보해서 예방 중심 관리가 합리적인 선택이 되도록 하겠다”고 말했다.

조재학 기자 2jh@etnews.com