변재일 의원(더불어민주당, 청주시청원구)은 쿠팡 고객정보 46만건 유출 사태와 관련해 오픈마켓사업자의 고객정보유출 신고 의무를 강화하고, 중간판매자를 통한 고객정보 유출 방지를 위해 대책을 조속히 마련해야 한다고 지적했다.

쿠팡은 2022년 국내 최대 이커머스 플랫폼으로 점유율은 20.8%, 매출액은 43.7조원에 달한다.

그런데 지난 1월25일, 해외 다크웹페이지에 쿠팡 고객정보 46만건을 판매하는 게시글이 등록됐다. 해당 게시글에는 이름, 주소, 연락처와 같은 기본정보 외 오더ID, 물품 내용, 휴대전화 기기 종류, 배송 방법 등 구체적인 정보가 포함되어 있어 보이스피싱과 같은 2차 피해가 우려되는 상황이다.

현행 「개인정보 보호법」과 동법 시행령에 따르면 고객의 개인정보 유출을 확인한 기업은 사고 발생 72시간 이내에 KISA(한국인터넷진흥원)와 개인정보보호위원회에 신고하고 피해 당사자에게 사실을 알리도록 규정하고 있다.

그러나 쿠팡은 보안업체로부터 고객정보 유출 사실을 인지하고도 즉시 당국에 신고하지 않았고, 유출된 고객정보 데이터를 해커로부터 1,200달러에 구매해 쿠팡의 고객정보 여부를 확인한 이후에도 여전히 신고를 하지 않았으며, 고객들에게도 해당 사실을 고지하지 않았다.

2023년 3월21일에서야 쿠팡은 고객정보 유출사태를 보도한 언론사(한겨레)에 대해 쿠팡이 해킹을 당해 고객정보가 유출되었다는 것은 사실무근이라며 입장문을 발표했다. 유출된 고객정보는 쿠팡이 아니라 중국의 중간판매자 시스템에서 해킹된 것이라며 개인정보 유출에 대한 책임을 전가했다.

쿠팡은 여전히 KISA에는 개인정보유출 사고에 대해 신고하지 않고 있으며, 개인정보보호위원회는 사실조사에 착수해서 사건을 조사 중이라고 밝혔다.

한편, 쿠팡에 입점해 물건은 배송하지 않고 개인정보만 탈취해가는 유령업체 문제도 2022년부터 계속해서 지적되고 있다. 주문 즉시 고객의 개인정보가 판매자에게 전달되는 시스템 특성상 개인정보 유출의 우려는 늘 존재할 수밖에 없는 구조다.

변재일 의원은 “쿠팡의 자체시스템이 해킹당해 고객정보가 유출된 것은 아니나, 쿠팡이 제공하는 고객정보가 중간판매자를 통해 유출된 것은 사실이므로 사실을 인지한 즉시 더 큰 피해를 막기 위해라도 신고를 했어야 했다.”고 지적하며, “KISA와 개인정보보호위원회는 쿠팡이 고객정보 유출을 인지하고도 신고를 하지 않은 것에 대해서는 반드시 책임을 물어야 할 것”이라고 지적했다.

또한, 변 의원은 “쿠팡을 비롯한 오픈마켓사업자들은 막대한 수수료만 챙기고, 개인정보 유출의 책임은 중간 판매자에게 전가하고 있다.”며,“해외 업체의 자체 배송을 제한하고 인증받은 풀필먼트서비스를 통해서만 배송할 수 있도록 하는 등 개인정보만 탈취해가는 유령업체에 대해서도 적극적인 대책을 마련해야 한다.”고 전했다.