송경희 개인정보보호위원장이 쿠팡 대규모 개인정보 유출 사태와 관련해 "확실한 유출이 3천만명 이상이고 더 늘어날 수 있다"고 밝혔다. 앞서 쿠팡이 이른바 '셀프조사' 결과로 3천명의 정보가 유출됐다고 발표했는데, 이를 정면 반박하는 내용이다.
송경희 위원장 "비회원 정보 유출 다수 포함하면 3천만명 이상"
송 위원장은 21일 출입기자단 신년간담회에서 쿠팡 조사 마무리 시기를 묻는 질문에 "쿠팡 사태의 정밀한 내용에 대해 확인을 거치는 중이고 조사는 상당히 진행됐다"며 이같이 답했다.
그는 "분명히 말씀드릴 수 있는 건 쿠팡 자체조사 때문에 혼선이 있는 것처럼 보일 수 있지만 확실하게 아이디 등 개인정보가 3천만명 이상 유출됐다"며 "그 중에 회원 정보와 비회원 정보도 포함된 것으로 보이고 비회원이 (많이) 포함될 경우 유출 규모는 더 늘어날 수 있다"고 설명했다. 비회원 정보 유출의 경우 상품 배송 시 다른 사람의 주소를 입력한 경우 등이 있을 수 있어 주문자 정보에 더해 다른 사람의 정보가 유출됐을 수 있다는 설명이다.
송 위원장은 또 쿠팡의 조사 태도가 협조적이지 않다고도 지적했다.
그는 "(쿠팡의 태도가) 협조적이냐라고 하면 충분하지 않다. 최근 개인정보위에서 강제조사권 법률 기반을 마련하겠다고 밝힌 것도 이같은 측면이 있다"며 "쿠팡에서 자체 자료 삭제가 있었고 조사 과정에서 문제가 불거졌기 때문에 좀 더 강한 법률적 근거를 마련해 조사 권한을 강화하겠다는 것"이라고 강조했다.
이어 "(쿠팡은) 대응 과정에서 여러가지 미흡한 점이 많이 있었다"며 "전반적으로 봤을 때 쿠팡의 대응은 다른 유출 사업자나 개인정보 훼손 기업과는 다른 면모가 있다"고 지적했다. 구체적으로 쿠팡이 홈페이지에 개인정보 유출이 아닌 '노출'이라고 표기한 점, 홈페이지에 자체조사 결과를 일방적으로 공지한 점 등을 언급했다.
송 위원장은 최근 SK텔레콤이 가입자 정보 유출 사태와 관련해 개인정보위의 과징금 부과 처분을 취소해 달라는 소송을 제기한 것에 대해서는 "여러 법적 사항을 철저히 검토한 뒤 낸 처분이기 때문에 적극 대응하면 될 것"이라고 말했다.
이어 "최근 한 기사에서 (SK텔레콤 정보 유출 이후) 실제 피해가 발생하지 않았음에도 처분이 과도하다는 기사도 있었지만 이는 맞지 않다"며 "미국이나 유럽연합이 개인정보 유출에 대해 과징금을 부과하는 이유는 개인정보를 보유하고 관리하는 과정에서 통제에 미흡해 정보 주체에 피해를 끼친 책임을 묻는 것"이라고 적극 반박했다.
다만 개인정보위의 송무팀 규모가 상대적으로 적어 재판에 불리한 게 아니냐는 지적에 대해서는 "송무팀 규모가 작은 것도 사실"이라면서도 "개인정보 유출 관련 과징금 규모가 커지고 앞으로 이런 사태가 많아질 가능성이 높기 때문에 송무팀 보강도 필요하다고 생각한다"고 인정했다.
해킹 피해 후 자체 서버 폐기한 의혹을 받는 LG유플러스에 대한 강도 높은 비판도 나왔다. 송 위원장은 "서버 폐기 등 자료를 없애는 문제는 매우 심각한 문제라고 보고 있다"며 "기존 법률 체계 하에서라도 (은폐 의혹이) 확인될 경우 엄중하게 볼 것이지만 이것만으로는 부족한 면이 분명히 있다"며 "향후 자료보전 명령 등 법적으로 명문화하는 작업을 진행하고 있다"고 지적했다.
이밖에 유출 사태를 빚은 KT와 롯데카드 등 사건에 대해서도 곧 결론을 내겠다고 부연했다.
개인정보위, 제재 중심→유출 예방 체계로 전환 방침
최근 개인정보 유출이 빈발하는 것과 관련해 개인정보위는 향후 유출을 사전 예방하는 체계로 전환하겠다는 방침이다.
송 위원장은 "조사 과정에서 확인된 많은 사고들은 첨단 해킹 기법보다는 기본적인 관리·점검·통제의 부재에서 비롯된 경우가 적지 않았다"며 "이는 개별 기업의 문제뿐만 아니라 사후 대응에 치중해 온 기존 보호 체계의 구조적 한계를 보여주는 측면도 있다"고 지적했다.
특히 AI와 자동화 기술이 확산된 환경이 더욱 그렇다면서 "사고가 발생하지 않도록 설계 단계에서부터 위험을 관리하는 것으로 이동할 수밖에 없다"고 강조했다. 다만 사전 예방 체계로의 전환이 기존의 제재를 약화하는 것은 아니라며, 징벌적 과징금 특례 도입 등을 추진 중이라고 덧붙였다.
이와 함께 개인정보 보호 신뢰 기반의 AI 전환을 위해 공공·민간의 '안전한 AX'도 적극 지원하겠다는 입장이다.
송 위원장은 "공공기관에 축적된 고품질 데이터가 안전하게 가명처리돼 활용되도록 밀착 지원하는 가명정보 원스톱 지원, 비조치의견서 시범운영, 개인정보 이노베이션 존 등 사업을 적극 추진할 것"이라며 "AI 사업 추진시 개인정보 침해 위협이 우려되거나 불확실한 경우 공공 AX혁신지원 헬프데스크를 통해 사전 컨설팅을 받을 수 있도록 지원하는 방안도 추진 중이다"라고 설명했다.