[디지털투데이 조믿음 기자] 이커머스 개인정보 유출 논란이 또 다시 수면 위로 떠올랐다. 올해 초 G마켓 상품권 도용 사건, 인터파크 사이버공격에 이어 쿠팡의 고객정보 유출 의혹까지 등장하면서 이커머스 업계에서 보안에 대한 경각심이 높아지고 있다. 

업계에 따르면 지난 1월 다크웹에서 쿠팡에서 물건을 구매한 고객 개인 정보로 추정되는 데이터가 게시됐다. 해당 데이터에는 해외 직구를 이용한 고객의 이름과 주소, 전화번도 등의 개인 정보가 포함돼 있었으며 배송업체 이외의 사명은 빠진 것으로 알려진다. 

쿠팡은 보도자료를 통해 "쿠팡을 통해 유출된 고객 정보는 물론 어떠한 부정적인 접근도 없었다"고 밝혔다. 이어 "수차례 조사를 통해 그러한 사실이 전혀 없음을 다시 한번 확인했다"며 "허위 주장을 하는 모 매체에 강력한 법적조치를 취할 것이며 사실관계를 바로잡을 것"이라는 강경한 입장을 밝혔다. 

업계에서는 정확한 정보 유출 경위를 파악하는 것이 먼저라고 말한다. 이번에 유출된 데이터 정보를 기반으로 추측했을 때 쿠팡이 아닌 쿠팡에 입점한 오픈 판매자로부터 정보가 유출됐을 가능성이 높다고 추정하고 있다.

오픈마켓에 입점한 판매자들은 고객에게 상품을 전달하기 위해 주소와 구매 물량 등 일정 부분의 정보를 플랫폼으로부터 전달받는다. 이번 다크웹에서 유통된 고객 개인 정보도 개인 판매자의 비교적 약한 보안 벽을 뚫고 불법적으로 수집한 개인정보라는 추측이다. 

개인정보위원회는 20일 개인정보유출 사고에 대한 사실 여부 확인에 나섰다. 위원회는 개인정보의 출처 확인과 유출 경위, 규모 등을 검토하고 유출 관련 개인정보처리자 등이 확인되면 개인정보 보호법 위반에 대한 조사에 착수할 계획이다. 

국내 오픈마켓 정책상 쇼핑몰 고객 정보 관리는 해당 판매자에게 책임이 있다. 고객이 가입할 때 동의한 개인정보 제3자 제공동의에 따라 판매자에게 고객의 정보가 제공되는 방식이다. 판매자는 개인정보처리자가 돼 정보 유출 책임을 져야 한다. 

김승주 고려대 정보보호대학원 교수는 "쿠팡이 자신의 사이트에서 유출된 것이 아니라고 주장하는데 이에 대한 사실 관계를 명확히 파악하는 것이 우선"이라며 "제 3자를 통해 유출이 된 것이라면 플랫폼에게는 판매자의 관리·감독 책임을 물을 수 있을 것"이라고 말했다. 

다른 전문가 역시 유출 경위 파악이 우선이라는 설명이다. 염흥열 순천향대학교 교수는 "플랫폼에서 불법적인 경로로 개인정보 탈취가 있었다면 로그기록이 남을 것이라며 정확한 유출원인을 파악해야한다"고 말했다. 이어 그는 "쿠팡과 계약을 체결한 제 3자와 계약 관계를 면밀히 살펴볼 필요가 있다"며 "플랫폼으로부터 개인정보를 전달받은 기업이 계약에서 약속한 목적에 맞춰 정보를 활용했는지 확인해야할 것"이라고 말했다.