송경희 개보위원장 "쿠팡 조사 상당히 진행… 엄중 처분"

신년 간담회서 쿠팡 사후대응 지적 ISMS-P 취소 가능성도 언급 송경희 개인정보보호위원장이 21일 지난해 말 쿠팡 개인정보 유출 사고에 대해 "해외 사업자라고 차등을 두는 부분이 없다"며 "관련 법령에 근거해 개인정보보호법 위반 시 그에 따른 처분을 내릴 것"이라고 밝혔다. 송경희 개인정보위원장은 이날 서울 중구 프레스센터에서 열린 신년 기자간담회에서 "쿠팡 개인정보 유출 사고 조사가 상당히 진행됐다"며 이같이 말했다. 송 위원장은 "쿠팡이 미국에 상장된 기업이라도 우리나라 국민에게 준 피해 규모가 얼마나 되는지, 실제로 제대로 조치했는지를 판단해 엄중 처분을 내릴 것"이라고 거듭 강조했다. 앞서 쿠팡은 지난해 11월 말 약 3370만건의 개인정보가 무단으로 노출된 것으로 확인됐다고 신고했다. 자체 조사를 통해 고객 계정 약 3300만건의 기본적인 고객 정보에 접근이 있었지만, 이 가운데 약 3000개 계정의 고객 정보만 저장됐고 외부 전송은 없었다고 밝혀 논란이 일었다. 송 위원장은 이에 대해 "조사를 통해 3000만명 이상의 개인정보가 유출됐다는 것을 확인했다"며 "배송지 정보에 포함된 비회원 정보도 고려하면 규모는 더 늘어날 수 있다"고 했다. 송 위원장은 쿠팡의 사고 대응 과정에 대해서도 지적했다. 그는 "개인정보 유출 사업자나 개인정보를 훼손한 기관들의 대응과는 달리 미흡한 점이 많았다"며 "조사 과정에서 자료 삭제와 청문회에서 지적한 사항을 이행하지 않았다"고 말했다.이날 송 위원장은 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증' 제도 개선 방안으로 "사후 심사 과정에서 중대 결함이 발생되면 인증을 취소할 계획"이라고 밝혔다. 그는 "사고를 낸 기업 중 인증취소 사례가 있을 수 있다"고 말했다. 이에 쿠팡에 인증취소가 적용될지 주목된다. 쿠팡은 2021년과 2024년 두 차례 정부의 ISMS-P 인증을 받았다. 그러나 이번 대규모 유출 사고를 포함해 4건의 개인정보 유출이 발생하면서 제도 실효성 논란을 불러 일으켰다. 임성원 기자 sone@dt.co.kr