[뉴스토마토 신수정 기자] 쿠팡 본사에 대한 영업정지 처분이 사실상 어렵다는 판단이 나오면서 시선은 자연스럽게 결제 부문인 쿠팡페이로 옮겨가고 있습니다. 금융당국의 쿠팡페이 정보유출 관련 검사가 이달 말 종료될 예정인 가운데, 당국이 정보 '유출' 자체에 무게를 둘지, 유출로 인한 실질적 '피해 발생' 여부를 중시할지에 따라 제재 방향이 갈릴 것이란 전망이 나옵니다.
공정위 "영업정지 요건 충족 어렵다"
20일 금융권에 따르면 공정거래위원회는 전날 국회에 쿠팡의 개인정보 유출 사태와 관련해 영업정지 조치를 내리기에는 법적 요건이 충족되지 않는다는 입장을 보고했습니다. 공정위 측은 더불어민주당 을지로위원회가 국회에서 개최한 '쿠팡 개인정보 유출 간담회'에서 "개인정보의 유출은 있었으나, 해당 정보가 실제 이용되거나 제3자에게 추가로 유출됐다는 사실은 확인되지 않았다"고 밝혔습니다. 이에 따라 영업정지 처분은 불충분하다는 견해를 전달한 것으로 전해졌습니다.
민병덕 쿠팡TF 총괄분과위원장이 지난 19일 서울 여의도 국회 의원회관에서 열린 더불어민주당 을지로위원회 쿠팡 개인정보유출 대책 간담회에서 발언하고 있다. (사진=뉴시스)
현행 전자상거래법상 영업정지는 소비자 정보가 도용돼 재산상 손해가 발생했거나 발생할 우려가 있음에도 사업자가 피해 회복 조치를 하지 않은 경우에 한해 가능합니다. 공정위는 이번 사안에서 유출 정보에 카드번호나 계좌번호 등 결제 정보가 포함되지 않았다는 점을 들어 재산상 피해 가능성이 크지 않다고 판단했습니다.
쿠팡페이 정보유출 여부 촉각
공정위 판단이 알려지면서 '원 아이디·원 클릭' 구조로 결제 정보가 연동된 쿠팡페이 역시 정보 유출 정황이 없을 가능성이 크다는 일부 관측이 제기됩니다. 금융권 관계자는 "아직 금융감독원의 최종 검사 결과가 나오진 않았지만, 공정위의 판단을 감안하면 결제정보가 연동된 쿠팡페이에서도 추가 유출이나 피해 정황이 확인되지 않았을 가능성이 있어 보인다"고 말했습니다.
금감원은 지난해 12월부터 6주간 쿠팡페이와 쿠팡파이낸셜에 대한 현장 점검을 실시한 뒤, 지난달 12일부터 정식 검사로 전환했습니다. 원 아이디·원 클릭 구조를 통해 결제 정보가 함께 유출됐는지를 집중적으로 들여다봤습니다.
쿠팡 측은 "결제정보 유출 가능성을 문제 삼아 검사가 시작됐지만, 초기 단계부터 내부적으로도 유출 정황은 확인되지 않았다"고 설명했습니다. 금융권에 따르면 쿠팡과 쿠팡페이 간 결제정보 공유 과정에서는 응용프로그램(API) 보안키가 적용돼 카드번호 등 민감 정보가 가려지는 방식이 사용되고 있으며, 이는 다른 금융사들도 채택하고 있는 방식으로 알려졌습니다.
(그래픽=뉴스토마토)
과기부 "조회 자체가 유출"…부처간 해석 엇갈려
쿠팡 개인정보 유출 사태를 두고 정부 부처 간 해석 차이가 뚜렷하게 드러났습니다. 결국 쿠팡 개인정보 유출 사태의 최종 파장은 각 부처의 법 해석과 금융당국의 검사 결과에 따라 갈릴 것으로 보입니다. 공정거래 당국이 영업정지 요건에 신중한 입장을 보이는 것과 달리, 과학기술정보통신부는 조회 행위 자체를 개인정보 유출로 판단하며 보다 엄격한 기준을 적용하고 있습니다.
최우혁 과기정통부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 '쿠팡 침해사고 민관합동조사단 조사결과 발표' 브리핑을 하고 있다. (사진=뉴시스)
과기부는 이번 사안을 단순한 정보 노출이 아닌 개인정보 처리자의 관리·통제권을 벗어난 유출로 바라봤습니다. 최우혁 과기정통부 정보보호네트워크정책실장은 지난 10일 '쿠팡 침해사고 민관합동조사단 조사 결과 브리핑'에서 "내 정보 수정 페이지에서 성명과 이메일이 포함된 이용자 정보 3367만건이 유출됐음을 확인했다"고 밝혔습니다.
조사단에 따르면 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지가 총 1억4805만회 조회됐습니다. 민관합동조사단은 이러한 대규모 조회 행위 자체를 개인정보 유출로 판단했습니다.
합조단은 "조회는 곧 유출"이라는 입장을 분명히 했습니다. 개인정보 유출을 '개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이른 경우'로 정의하고, 이번 사안이 이에 해당한다는 이유에서입니다. 이동근 민관합동조사단 부단장은 "조회하는 순간 정보가 통제권 밖으로 나가게 된다"며 "쿠팡이 관리하는 시스템에 저장된 개인정보를 타인이 조회해 가져갔기 때문에 유출로 판단했다"고 부연했습니다.
다만 조사단은 이번 사고로 인한 2차 피해나 결제 피해는 확인되지 않았다는 점에는 관계 부처와 같은 의견을 보였습니다. 그럼에도 불구하고 표준개인정보보호지침을 적용할 경우 개인정보보호법 위반 여부를 따져볼 필요가 있다는 입장에 무게를 뒀습니다.
쿠팡 본사에 대한 중징계 가능성은 크지 않다는 전망이 우세합니다. 공정위가 영업정지에 부정적인 입장을 밝힌 만큼, 행정 제재 수위는 제한적일 수 있다는 분석입니다. 금융당국 차원에서 쿠팡의 금융 계열사에 대한 제재 가능성만 열려 있는 상황입니다.
금감원에 따르면 쿠팡파이낸셜에 대한 검사는 지난 10일 종료됐으며, 쿠팡페이에 대한 검사는 이달 말까지 진행됩니다. 검사 결과 위법성의 경중에 따라 과태료는 물론 영업정지 처분 가능성도 배제할 수 없다는 관측이 나옵니다.
특히 고금리 대출 구조를 둘러싸고 신용정보법, 전자금융거래법, 금융소비자보호법, 여신전문금융업법 등 다수의 법령 위반 가능성이 함께 거론됩니다. 다만 금감원 관계자는 "쿠팡페이 등과 관련해 현재 국가 간 투자분쟁해결(ISDS) 중재 유예기간이 진행 중인 사안이어서 구체적인 내용에 대해서는 답변이 어렵다"고 말했습니다.
서울 송파구 쿠팡 본사. (사진=뉴시스)
신수정 기자 newcrystal@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김의중 금융부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지