과거에는 인터넷에서 어떤 물건을 주문하기 위해 네이버 쇼핑이나 티몬과 같은 이커머스 앱을 많이 이용했는데, 지금은 소셜커머스나 오픈마켓으로 분류되는 쿠팡을 주로 이용하고 있는 것 같습니다. 다음 날 일찍 배송되는 새벽배송이나 해외 상품들도 로켓직구로 빠르게 받아볼 수 있는 점이 굉장히 좋았던 것 같은데요.
아마 쿠팡의 국내 이용자 수가 거의 3천만명 가까이 될텐데, 이 정도면 웬만한 사람들은 다 쓴다고 봐도 무리가 없겠죠. 하지만 그 말인 즉슨 쿠팡에서 가지고 있는 개인정보의 수가 어마어마하다는 걸 의미합니다. 그런데 최근 쿠팡의 고객 정보 46만건이 다크웹에 유출된 사실이 확인 되었는데, 오늘은 이 부분에 대해 간단히 말씀드려보도록 하겠습니다.
사건에 대해 먼저 간략히 설명드리면, 지난 1월 중순에 다크웹에 쿠팡 고객 개인정보 판매 글이 올라왔다고 합니다. 그래서 쿠팡에서는 이를 인지하고 자체적으로 조사에 착수했는데요. 쿠팡 서버가 해킹 공격을 받았는지와 협력사와 개인정보 위탁업체에 정보가 유출되었는지 사실 확인을 요청했다고 합니다.
그런데 쿠팡에서는 다크웹에 올라온 정보만으로는 쿠팡에서 유출된 데이터라는 것을 특정할 수 없다고 판단했는지 개인정보보호위원회에 유출 사실을 신고하지 않았는데요. 원칙대로라면 개인정보보호법에 따라 기업에서 정보 유출 사고가 발생했을 때 24시간 안에 개인정보보호위원회에 신고해야 하고 개인정보가 유출된 당사자들에게 알려야 합니다.
하지만 다크웹에 올라온 샘플 데이터만 확인하더라도 각 데이터에 쿠팡의 링크가 달려 있고, 상품 판매자도 모두 달랐기 때문에 쿠팡 거래정보가 담긴 서버가 해킹된 것으로 예상할 수 있었는데요. 심지어 해당 데이터에는 쿠팡과 거래한 고객들의 이름, 전화번호, 주소 등이 포함되어 있었습니다.
일각에서는 쿠팡이 수집한 개인정보 처리를 위해 위탁 업체에게 데이터를 전달했을 때, 해당 업체에서 개인정보가 유출된 것이 확인되면 쿠팡이 법적 책임을 피할 수 있기 때문에 신고를 하지 않은 것으로 보인다고 말했는데요. 하지만 실제로는 손해배상 책임이 발생하면 쿠팡은 법적 책임에서 자유롭지 못하게 됩니다.
개인정보보호법에서는 기본적으로 위수탁 관계가 체결되는 경우, 수탁자의 잘못으로 발생한 책임은 위탁자에서 발생한 것과 동일하게 본다는 규정이 있기 때문인데요. 그렇기 때문에 법적 책임을 피하려고 신고를 하지 않았다는 말은 조금 어폐가 있지 않나 생각됩니다.
개인정보위, 쿠팡 관련 개인정보 46만건 유출사고 확인 중
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 쿠팡과 관련된 것으로 보이는 개인정보 유출 사고에 대해 사실 여부를 확인 중이라고 밝혔다.
www.boannews.com
개인적으로도 다크웹에 올라온 샘플 데이터를 확인했었는데, 직관적으로 쿠팡의 개인정보라고 할 수 밖에 없는 데이터였기에 쿠팡의 대처에 대해 조금 의아했는데요. 최근 개인정보보호법이 개정되면서 과징금도 전체 매출의 3%로 강화되서 그럴진 몰라도 수탁사에서 발생한 유출사고라면 책임을 피할 수는 없을 것으로 봅니다.
이번 사건에 대해 개인정보보호위원회에서 이제 막 조사에 착수한 단계이기 때문에, 정확한 사실 규명이 되기 전까지 지켜봐야 하겠지만, 쿠팡처럼 많은 사람들이 이용하고 있는 기업에서 너무 안일하게 대응한 것이 아닌가 싶습니다. 이후 이와 관련된 기사가 보도되면 다시 말씀드리도록 하고 이번 글을 마치도록 하죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 해킹 공격 대응을 위한 스토리지 백업 시스템 구축 (0) | 2023.04.20 |
|---|---|
| 인수위원회 및 국립외교원 출입 기자 사칭 메일 유포 주의 (0) | 2023.04.03 |
| 클라우드에 저장된 데이터를 기업이 확인할 수 있을까? (0) | 2023.03.18 |
| 비밀번호 재설정할 때 해킹에 덜 노출된다? (0) | 2023.03.14 |
| 2023년 K-Shield 주니어, BoB 등 보안 교육 정리 (0) | 2023.03.12 |
댓글