SBS Biz

대만 정부가 쿠팡의 대규모 개인정보 유출 사태에 관한 행정 검사(행정 조사)에서 쿠팡의 잘못을 발견했다며 법적 처분을 예고했습니다.



대만 디지털발전부 디지털산업서는 26일 공고에서 전날 오전 법률 및 정보보안 전문가, 형사 경찰국, 국가사이버보안연구원으로 구성된 행정조사팀이 쿠팡 대만법인을 찾아 행정 검사를 했다면서 "쿠팡 대만법인의 개인정보 관리에 결함(缺失)이 있다는 것을 발견했다"고 밝혔습니다.

디지털산업서는 "'개인정보보호법'과 '디지털경제 관련산업 개인정보 파일 안전 보호 관리 방법' 등 관련 규정에 따라 지속해서 포렌식 보고 및 각 상황을 조사할 것이고, 조사 결과에 관해서는 법정 절차에 따라 후속 처분을 할 것"이라고 했습니다.

대만 행정조사팀의 조사에 따르면 쿠팡 한국법인 퇴직자인 공격자는 2천여개의 서로 다른 IP 주소를 통해 20만4천552개 쿠팡 대만 사용자의 개인정보에 접근했습니다. 접근된 개인정보에는 이름과 이메일, 전화번호, 배송 주소, 일부 주문 기록 등이 포함됐습니다.

대만 측은 쿠팡 대만법인이 앞서 대만과 한국의 사용자 데이터베이스가 분리됐다고 밝혔으나, 조사 결과 서로 다른 데이터베이스의 백업키가 동일해 접근이 가능하다는 점이 발견됐다고 했습니다.



대만 디지털산업서는 작년 11월 쿠팡의 개인정보 유출 사건이 발생한 뒤 즉시 쿠팡 대만법인에 설명을 요청하는 한편 대만 사용자의 정보가 영향을 받았는지 확인했으며, 당시 쿠팡은 공개 성명으로 대만 소비자의 개인정보가 유출됐다는 증거가 발견되지 않았다고 발표했다고 설명했습니다.

디지털산업서는 또 작년 12월 24일 법률·정보보안 전문가들이 국가사이버보안연구원과 함께 현지 행정 검사를 했으나 쿠팡은 여전히 보안업체가 조사 중이며 당시 조사에서 대만 사용자 영향이 있다는 증거가 없다고 거듭 강조했고, 이 같은 쿠팡의 설명은 올해 1월 12일·26일, 이달 9일에도 마찬가지였다고 했습니다.

그러나 한국 정부가 2월 10일 발표한 조사 결과에는 공격자가 작년 11월 쿠팡 한국법인에 보낸 이메일에서 한국·일본·대만의 사용자가 모두 개인정보 유출의 영향을 받을 것이라고 언급한 내용이 있었다는 사실이 담겼고, 쿠팡 대만법인은 그 이후인 2월 23일이 돼서야 대만 측에 개인정보 유출 사실이 확인됐다고 통보했다고 대만 디지털산업서는 지적했습니다.

앞서 쿠팡의 모회사인 쿠팡Inc는 25일 전 직원이 무단 접근한 계정 중 약 20만 개가 대만 소재 계정으로 확인됐다고 밝혔습니다. 대규모 개인정보 유출사태가 발생한 쿠팡에서 한국 고객뿐 아니라 대만 고객의 정보까지 흘러나갔다는 사실이 뒤늦게 알려진 것입니다. 이에 대만 디지털산업서는 행정 검사와 법적 조치를 예고했습니다.