연합뉴스대만 정부가 쿠팡의 대규모 개인정보 유출 사태와 관련한 행정 조사에서 관리상 중대 결함을 확인했다며 법적 처분을 예고했다.
대만 디지털발전부 디지털산업서는 26일 공고를 통해 전날 법률·정보보안 전문가, 형사경찰국, 국가사이버보안연구원 등으로 구성된 행정조사팀이 쿠팡 대만법인을 대상으로 현장 검사를 실시한 결과 "쿠팡 대만법인의 개인정보 관리에 결함(缺失)이 발견됐다"고 밝혔다.
조사에 따르면, 쿠팡 한국법인 전 퇴직자인 공격자는 2천여개의 서로 다른 IP 주소를 통해 20만4552명의 쿠팡 대만 이용자 개인정보에 접근했다. 접근한 정보에는 이름, 이메일, 전화번호, 배송 주소, 일부 주문 기록 등이 포함됐다.
대만 당국은 쿠팡 대만법인이 그간 한국과 대만의 사용자 데이터베이스(DB)가 분리돼 있다고 밝혔으나, 조사 결과 서로 다른 DB의 백업키가 동일하게 설정돼 있어 접근이 가능했다는 점을 확인했다고 설명했다.
또 퇴직 직원의 접근 권한이 삭제되지 않았고, 백업키가 정기적으로 교체되지 않은 점도 문제로 지적됐다.
디지털산업서는 지난해 11월 유출 사건 발생 직후 쿠팡 측에 설명을 요청했으며, 당시 쿠팡은 "대만 소비자 개인정보 유출 증거는 없다"는 공개 성명을 발표했다고 밝혔다.
이후 지난해 12월 24일 현장 행정 검사에서도 쿠팡은 보안업체가 조사 중이며 대만 사용자 피해 증거는 없다고 강조했고, 같은 입장을 올해 1월 12일·26일과 지난 9일에도 유지했다는 설명이다.
그러나 한국 정부가 지난 10일 발표한 조사 결과에는 공격자가 지난해 11월 쿠팡 한국법인에 보낸 이메일에서 한국·일본·대만 사용자 모두가 유출 영향을 받을 것이라고 언급한 내용이 포함됐다. 쿠팡 대만법인은 그 이후인 지난 23일이 돼서야 대만 당국에 개인정보 유출 사실을 통보한 것으로 나타났다.
앞서 쿠팡Inc는 지난 25일 전 직원이 무단 접근한 계정 가운데 약 20만개가 대만 소재 계정으로 확인됐다고 밝힌 바 있다.
디지털산업서는 개인정보보호법과 디지털경제 관련산업 개인정보 파일 안전 보호 관리 방법 등에 따라 포렌식 보고와 추가 조사를 지속하고, 법정 절차에 따라 후속 처분을 내릴 방침이라고 밝혔다.