[단독] 쿠팡 "개인정보 비식별화 적용" 거짓 해명?…홈페이지에 개인정보 그대로 노출

[아이뉴스24 서효빈 기자] 개인정보 유출 사고로 논란이 된 쿠팡이 국회에 개인정보 비식별화(마스킹)를 "기본적으로 적용하고 있다"고 답변했다. 하지만 실제로는 홈페이지에 주소와 전화번호 등 개인정보가 그대로 노출되고 있는 것으로 16일 아이뉴스24 취재 결과 확인됐다.

쿠팡 로고 [사진=쿠팡]

비식별화는 개인정보가 조회·표시되는 과정에서 이름이나 전화번호, 주소 등의 일부를 가려 사고 발생 시 개인정보가 그대로 노출되는 것을 막기 위한 기본적인 보호 조치다.

이와 관련해 김장겸 의원실은 쿠팡을 상대로 "주문, 배송지 등 고객 개인정보가 조회되는 API, 앱, 웹화면, 내부 로그 전반에 비식별화를 기본 적용하고 있는지"에 관한 자료를 요청했다. 쿠팡은 답변을 통해 "개인정보 보호를 위해 비식별화를 기본적으로 적용하고 있다"면서도 구체적인 자료 제출은 거부했다.

개인정보가 비식별화 되어있지 않는 쿠팡 마이페이지. 개인정보는 모자이크 처리. [사진=서효빈 기자]

하지만 쿠팡의 이같은 답변과 달리 쿠팡 홈페이지에 로그인하면 개인 페이지에 이용자 이름과 휴대전화 번호, 상세 주소가 비식별화 없이 평문으로 표시되는 것으로 나타났다. 이는 "웹화면 등에서 비식별화를 기본적으로 적용하고 있다"는 쿠팡의 답변이 사실과 다를 수 있음을 보여준다.

개인정보가 *로 비식별화 되어있는 11번가 홈페이지. [사진=서효빈 기자]

반면 같은 전자상거래 플랫폼인 11번가는 개인 페이지에서도 전화번호와 주소 등을 비식별화 처리했다. 쿠팡과 달리 이용자가 비밀번호를 입력해야 하는 '기본정보 보기' 등 추가 동작을 거쳐야 전체 정보를 확인할 수 있도록 설계하고 있다.

업계에서는 비식별화 조치가 시스템 오류나 설정 문제 발생 시 개인정보 노출 범위를 줄이기 위한 일반적인 보호 조치로 활용된다고 보고 있다. 다만 현재 한국 법령에는 앱이나 홈페이지 화면에서 개인정보 마스킹을 의무화한 규정은 없다.

전문가들은 쿠팡이 개인정보 처리 과정에서 비식별화가 충실히 적용했으면 대규모 유출을 방지할 수 있었을 것이라고 지적하고 있다. 황석진 동국대 국제정보보호대학원 교수는 "보안의 기본은 암호화, 비식별화, 접근 권한 통제 세 가지"라며 "접근 권한 통제가 일부 뚫렸더라도 비식별화가 제대로 이뤄졌다면 개인정보가 대규모로 유출되는 상황까지 가지 않았을 것"이라고 말했다.

앞서 지난달 29일 쿠팡에서는 총 3370만개의 고객 계정 정보가 유출되는 사고가 발생했다. 유출된 정보는 이름, 이메일 주소, 배송지 주소, 배송지 전화번호 등이다. 이에 국회 과학기술방송통신위원회에선는 쿠팡 청문회를 열 예정이다.

/서효빈 기자(x40805@inews24.com)

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]