송경희 개인정보보호위원장은 오늘(21일) 오후 서울 중구 프레스센터에서 연 기자간담회에서 쿠팡 개인정보 유출 사고와 관련해 "조사가 상당히 진행됐다"며 "해외 사업자든 국내 사업자든 똑같이 법에 근거해 개인정보보호법 위반 여부를 조사하는 것이 원칙"이라고 밝혔습니다.

송 위원장은 쿠팡이 미국에 상장된 기업이고 미국 의회 차원의 압박이 제기되고 있다는 질의에 대해 "국민에게 준 피해 규모가 얼마나 되는지, 실제로 제대로 조치했는지를 엄격하게 보고 그에 맞는 처분을 내리겠다"고 말했습니다.

이어 "이렇게 하는 것이 어떤 통상에 변수가 된다든지 하는 것들을 고려하고 있지 않다"고 선을 그었습니다.

앞서 쿠팡은 지난해 11월 말 약 3천370만건의 개인정보가 무단으로 노출된 것으로 확인됐다고 공지한 바 있습니다.

이후 자체 조사를 통해 고객 계정 약 3천300만개의 기본적인 고객 정보에 접근이 이뤄졌지만, 이 가운데 약 3천개 계정의 고객 정보만 저장됐고 외부 전송은 없었다고 밝혀 논란이 됐습니다.

이와 관련해 송 위원장은 "확실한 것은 3천만명 이상의 개인정보가 유출됐다는 점"이라며 "비회원 정보도 포함된 것으로 보이고, 이를 추가하면 규모는 더 늘어날 수 있다"고 지적했습니다.

이어 "(비회원 정보 유출은) 배송지를 지정하는 과정에서 본인이 아닌 다른 사람에게 (물품을) 보내는 경우 등이 들어간다"며 "이러한 사례를 확인하고 있다"고 덧붙였습니다.

송 위원장은 쿠팡의 사고 대응 과정에 대해 "조사 과정에서 자료 삭제 문제가 있었고, 이러한 문제들이 조사과정에서 계속 (발생하고) 있다"며 "보다 강한 법률적 근거를 마련해 개인정보위의 조사 권한을 강화하겠다"고 말했습니다.

송 위원장은 ISMS-P(정보보호 및 개인정보보호 관리체계) 제도의 개선 방안과 관련해서는 "취소 기준을 마련 중"이라며 "올해 사고를 낸 기업들 가운데 인증 취소 사례도 좀 있을 것으로 예상된다"고 말했습니다.

쿠팡은 2021년과 2024년 두 차례 정부의 ISMS-P 인증을 받았지만, 이번 대규모 유출 사고를 포함해 4건의 개인정보 유출이 발생하면서 제도 실효성 논란이 제기됐습니다.

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

이지현(ji@yna.co.kr)