세계일보

쿠팡이 최근 다크웹으로 쿠팡 고객 정보가 유출됐다는 논란과 관련해 “고객 정보가 단 한 건도 유출되지 않았으며 외부로부터 부정적인 접근도 없는 것으로 확인됐다”고 밝혔다.

쿠팡의 오픈마켓(마켓플레이스) 판매자, 또는 판매자가 위수탁을 준 배송업체에서 ‘고객 정보’라고 추정되는 데이터가 유출됐다는 일방적인 주장이지, 쿠팡 시스템에서 유출된 정황이 전혀 없다는 것이다. 국내 IT 전문가들은 “해커들이 국내 오픈마켓 판매자, 배송대행업체를 노린 데이터 유출 사고일 경우 책임은 고객 정보를 관리하는 판매자에게 있다”고 지적했다.

20일 업계에 따르면 한 해커는 다크웹에 ‘쿠팡 고객 정보’라고 주장하는 데이터 샘플을 올렸고, 이 데이터에 수십만 건의 고객 정보가 포함되어 있다고 주장한 것으로 알려졌다. 해당 데이터엔 해외 직구를 이용한 고객 배송 정보가 일부 포함돼 있으며 배송업체 등을 제외한 회사명은 노출되지 않은 것으로 전해졌다. 

이에 대해 IT보안 전문가들은 어떤 업체를 통해 유출됐는지, 쿠팡에 관련한 정보인지 사실여부를 확인할 방법이 없다고 말한다. 

한 보안 전문가는 “오픈마켓 셀러가 보유한 고객 정보를 배송업체에 전달하는 과정에서 일부 정보가 유출된 것으로 추정되지만 실제 고객 정보인지 아닌지 알 방법이 없다”고 했다.

이에 대해 쿠팡 관계자는 “쿠팡의 서버와 네트워크는 안전하다”며 “쿠팡은 지금까지 사이버 공격을 받은 적이 없으며, 어떠한 고객 정보도 유출된 적이 없다”고 말했다.  

이에 따라 고객 정보가 쿠팡에서 유출됐다는 주장은 사실이 아닌 것으로 판단된다. 쿠팡이 관리하는 IT시스템과는 전혀 무관하며, 쿠팡과 관련 있는지조차 확인할 수 없기 때문이다.

업계에서는해커의 주장이 만약 사실이라 하더라도 이는 해외 오픈마켓 판매자들이 관리하는 고객 정보를 구매하고 유출하는 과정에서 나왔을 가능성이 있다고 관측한다. 

실제 보안업계에 따르면 해외 오픈마켓 업체들은 별도의 배송업체를 이용하는 경우가 많다. 별도 구매내역과 배송 정보 등을 노리는 해커에게 정보를 판매하거나 반대로 허위 정보를 만들어 판매하는 시도가 있는 것으로 알려졌다.

개인정보분야전문인 권창범 법무법인 '인 ' 대표 변호사는 “오픈마켓은 개인정보 제3자 제공 동의를 통해 고객 정보의 관리 주체가 판매자이며, 판매자가 위수탁한 배송업체에서 데이터 유출 문제가 발생해도 이를 관리 감독할 책임은 판매자에게 있다”고 말했다. 실제 국내 오픈마켓 쇼핑몰 고객 정보는 해당 판매자가 정보 관리를 책임지고 있다. 고객이 동의하면 고객 정보가 오픈마켓 판매자에게 이전되는 ‘개인정보 제3자 제공동의’(개인정호보호법)에 의거해서다.

권 변호사는 “해커들이 영세한 오픈마켓 판매자를 노려 데이터를 빼돌리는 일은 국내 주요 오픈마켓에서 흔하게 볼 수 있는 일”이라며 “오픈마켓 판매자가 개인 정보에 대한 책임을 져야 하는 것이 원칙이지만 대부분 영세하다 보니 신고가 되지 않은 채 그냥 묻히는 경우가 많아 원천 차단이 어렵다”고 덧붙였다.

유통업계에 따르면 쿠팡 오픈마켓(마켓플레이스) 매출 비중은 전체의 1%에 불과한 것으로 알려졌다. 쿠팡 전체 매출의 99%는 로켓배송·로켓프레시 등에서 발생한다. 고객 정보도 안전하게 보호, 관리되고 있다는 입장이다.

상황이 이러다 보니 국내 법원도 “오픈마켓 판매자의 개인 계정 정보 도용 등 개인정보 문제는 오픈마켓 운영자의 책임이 아니다”는 판결을 내리기도 했다. 지난해 7월 서울행정법원은 개인정보보호위원회(이하 개보위)를 상대로 네이버와 지마켓이 낸 소송에 대해 원고 승소 판결을 내렸다. 당시 오픈마켓 판매자 계정 도용 사건에 대해 개보위는 네이버 등 오픈마켓 7개 사업자에게 과태료와 시정명령을 내렸는데, 네이버·지마켓이 불복하고 소송을 제기했다.   

당시 재판부는 “판매자가 원고(네이버,지마켓)의 지휘·감독을 받아 개인정보를 처리한 개인정보 취급자에 해당한다고 보기 어렵다”며 “피고(개인정보위) 주장대로 원고가 개인정보취급자이면 111만명에 이르는 판매자의 인터넷망, 컴퓨터, 휴대전화 차단 및 제한 조치를 해야 하는데 이 같은 조치를 취하거나 강제하는 것은 불가능하다”고 했다. 오픈마켓 판매자는 상품 구매 고객의 개인정보를 제공받은 제3자이자 ‘독립된 개인정보처리자’로 오픈마켓 운영자에게 고객 정보 유실 등에 따른 책임을 물을 수 없다는 설명이다.  

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]