“내 정보도 포함됐나”…쿠팡 개인정보 유출, 피해구제 넘어 보안체계 바꿔야

국내 대형 온라인 플랫폼 쿠팡의 개인정보 유출 사건이 과징금 처분을 넘어 피해구제 단계로 접어들었다. 개인정보분쟁조정위원회는 쿠팡으로부터 개인정보 유출 통지를 받은 이용자를 대상으로 집단분쟁조정 추가 참가 신청을 받고 있다. 신청 마감일은 오는 6월 26일이다.

개인정보보호위원회 조사 결과 쿠팡에서는 인증 서명키 관리와 접근통제 소홀 등 기본적인 안전관리 체계가 제대로 작동하지 않아 약 3,755만명의 개인정보가 유출된 것으로 확인됐다. 개인정보위는 쿠팡에 과징금 6,246억8,100만원과 과태료 1,680만원을 부과하고, 재발 방지를 위한 안전조치 강화와 유출 통지 확대 등을 명령했다.

조사에서는 정보 유출 외에 또 다른 문제가 드러났다. 쿠팡이 다른 회사의 웹사이트와 애플리케이션에 접속한 회원 약 1,117만명의 방문기록과 접속시간, 인터넷주소 등을 법적 근거 없이 수집해 데이터베이스에 저장한 사실도 확인됐다. 이용자가 쿠팡 앱을 직접 사용하지 않는 순간의 온라인 활동까지 수집됐다는 점에서 개인정보 수집의 범위와 투명성을 둘러싼 논란이 커질 것으로 보인다.

이번 사건은 개인정보 유출이 단순한 기업 내부 전산사고가 아니라는 점을 보여준다. 이름과 연락처, 이용기록 등이 외부에 노출되면 택배 도착, 환불, 보상 안내를 가장한 스미싱과 피싱에 악용될 수 있다. 사고가 발생한 날보다 이후 이어지는 계정 탈취와 금융사기가 이용자에게 더 큰 피해를 줄 수 있다는 의미다.

소비자는 먼저 쿠팡으로부터 유출 통지를 받았는지 확인해야 한다. 통지를 받은 이용자는 집단분쟁조정 추가 참가를 신청할 수 있다. 동시에 쿠팡 계정의 비밀번호를 변경하고, 같은 비밀번호를 사용하는 다른 쇼핑·금융·포털 계정도 함께 바꾸는 것이 필요하다. 출처가 불분명한 환불이나 보상 문자에 포함된 인터넷 주소는 누르지 말아야 한다.

기업의 대응도 달라져야 한다. 사고 이후의 사과와 보상만으로는 신뢰를 회복하기 어렵다. 서비스 제공에 반드시 필요한 개인정보만 수집하고, 인증키와 관리자 계정을 분리해 관리하며, 협력업체까지 포함한 접근권한 점검과 모의훈련을 정례화해야 한다. 특히 대규모 플랫폼은 개인정보를 많이 보유하는 만큼 더 높은 수준의 보호 책임을 져야 한다.

정부는 거액의 과징금을 부과하는 데서 그쳐서는 안 된다. 개인정보위가 명령한 보안체계 개선과 유출 통지 조치가 실제로 이행됐는지 지속적으로 확인하고, 피해자가 분쟁조정과 신고 절차를 쉽게 이용하도록 지원해야 한다. 집단분쟁조정은 당사자 한쪽이 조정안을 받아들이지 않으면 성립하지 않는 만큼, 실효성 있는 피해구제 방안에 대한 제도적 보완도 필요하다.

디지털 서비스의 편리함을 계속 누리기 위해서는 개인정보를 기업의 자산이 아니라 이용자가 맡긴 정보로 바라봐야 한다. 소비자는 자신의 계정을 스스로 점검하고, 기업은 필요한 정보만 안전하게 보관하며, 정부는 사고 이후의 처벌보다 사고 이전의 예방과 사후 개선 여부까지 관리해야 한다. 개인정보 보호는 문제가 터진 뒤 시작하는 대응이 아니라 일상적으로 지켜야 할 디지털 사회의 기본 질서다.

#개인정보유출 #쿠팡 #집단분쟁조정 #스미싱예방 #정보보호 #사이버안보저널

※ 본 기사는 AI의 도움을 받아 작성되었습니다.