한국의 개인정보 보호감독당국은 수요일 전자상거래 대기업 쿠팡에게 수백만 명의 이용자 개인정보가 유출된 데이터 침해와 관련해 쿠팡이 자체적으로 조사 결과를 공개하는 것을 중단하라고 지시했다. 확인되지 않은 발언이 이용자들을 오도하고 진행 중인 공식 조사에 지장을 줄 수 있다고 경고했다.
개인정보보호위원회(PIPC)는 쿠팡이 앱과 웹사이트를 통해 공개한 정보가 당국의 공식 조사로 확인되지 않았다고 밝혔다.
위원회는 쿠팡의 침해 대응과 위원회가 12월에 두 차례 승인한 개선 권고에 대한 준수 여부를, 이날 수요일에 열린 전체 위원회 회의에서 검토했다.
검토 과정에서 PIPC는 누출의 의심 소스로 지목된 전 직원과의 자사 접촉을 통해 얻은 진술에 근거한 쿠팡의 공지가, 공식 조사가 계속되는 와중에 나온 점을 문제 삼았다. 당국이 그 진술을 확인한 것처럼 쿠팡이 제시했다고 위원회는 밝혔다.
위원회는 이러한 공개가 누출 정보의 정확한 내용과 피해 범위를 결정하는 데 혼선을 가져올 수 있으며, 대중이 상황을 오해하게 만들 수 있다고 말했다. 또한 이러한 관행은 위원회의 조사에 대한 간섭에 해당할 수 있으며, 시정 조치를 촉구했던 이전 결의의 의도에 반한다고 덧붙였다.
쿠팡은 현재 11월에 보고된 데이터 침해로 조사를 받고 있으며, 이 사건은 이름과 이메일, 전화번호 및 주소를 포함한 3,370만 명의 고객 개인정보가 노출된 것으로 알려져 있다.
위원회는 앞선 권고가 주로 형식적으로 이행되었고 충분하지 않다고 판단했다. 쿠팡에 사용자의 개인정보가 누출되었는지 확인할 수 있는 기능을 앱과 웹사이트에 추가하고, 누출된 배송지 목록에 자신의 정보가 올라간 이용자들에게 신속히 통보하는 등 추가 조치를 취하라고 명령했다.
또한 위원회는 쿠팡이 요청된 자료를 제출하는 데 반복적으로 실패했거나 제출이 늦어지는 경우가 있었다고 경고했다. 이러한 행위는 조사를 방해하는 행위로 간주될 수 있으며, 향후 제재에서 가중 요인으로 작용할 수 있다고 덧붙였다.
