이 부위원장은 “쿠팡이 자체 입장문을 내고 있으나 추가 확인이 필요한 부분이 있다”며 “유출 규모와 개인정보보호법 위반 여부를 중심으로 조사하고 있다”고 설명했다.
그는 이어 “신고를 접수한 직후인 11월 30일 전담팀을 구성해 현재도 현장에 상주하고 있다”면서 “가장 경험 있는 전문가들과 조사관을 실제 조사팀에 투입해 한국인터넷진흥원(KISA)과 함께 아주 면밀하게 보고 있다”고 덧붙였다.
앞서 과학기술정보통신부 민관합동조사단 발표에 따르면 쿠팡 ‘내 정보 수정 페이지’에서 이용자 성명과 이메일이 포함된 개인정보 3367만 3817건이 유출된 것으로 확인됐다. 공격자가 ‘배송지 목록 페이지’에서 이름·전화번호·배송지 주소와 함께 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 1억4800만여 차례 조회한 사실 또한 확인됐다.
이에 대해 이 부위원장은 “조회를 1억5000만건 했다는 것이 1억5000만개의 계정 유출을 의미하는 것은 아니라는 것”이라며 “한 계정에 (해커가) 수없이 들어갈 수도 있다”고 말했다. 그러면서 “한 사람이 두 개 계정을 가질 수도 있다. 배송지 주소에 비회원 정보가 포함되어있다는 것은 확인했는데, 이게 구체적으로 (몇건인지) 밝힐 필요가 있다”고 덧붙였다.
다만 조회 행위의 법적 성격에 대해서는 일축했다. 그는 “무단 조회는 유출”이라며 “이 부분은 분명히 결론을 내렸다”고 강조했다. 그러면서 “우리나라뿐 아니라 유럽연합(EU) 일반개인정보보호법(GDPR)에서도 처리자의 관리·통제권을 벗어나 무단으로 공개되거나 접근하는 행위를 유출로 본다”고 강조했다.
이날 쿠팡의 모회사인 쿠팡Inc는 전 직원이 무단 접근한 계정 중 약 20만 개가 대만 소재 계정으로 확인됐다고 밝혔다. 이와 관련해 이 부위원장은 “쿠팡의 자체 조사 결과로 파악하고 있다. 개인정보위가 확인한 내용이 아니다”라고 했다. 개인정보위는 쿠팡 측에 자료를 다시 요청했으며 필요하다면 대만에 협조를 요청할 수 있다는 입장이다.
KT의 해킹사고에 대해서는 “작년 9월부터 문제가 된 사안이라 바로 조사에 들어갔고, 악성코드 감염으로 (조사) 서버가 늘어나면서 볼 게 더 많아졌다"며 "머지않은 시간에 마무리하려고 한다”고 설명했다. 그에 따르면 ‘따릉이’의 회원정보 유출 사건은 이제 막 조사에 들어가는 단계로, 10부 능선 중 1∼2부 수준이다.
