대만 정부가 쿠팡의 대규모 개인정보 유출 사태에 관한 행정검사(행정 조사)에서 쿠팡의 부실 정황을 확인했다며 법적 처분을 예고했다.
대만 디지털발전부 디지털산업국은 26일 홈페이지를 통해 법률 및 정보보안 전문가, 형사 경찰국, 국가사이버보안연구원으로 구성된 행정조사팀이 쿠팡 대만법인을 찾아 행정검사를 실시한 결과 쿠팡 대만법인의 개인정보 관리에 결함이 있다는 사실을 발견했다고 밝혔다. 행정검사는 전날 진행됐다.
디지털산업국은 "개인정보보호법과 디지털경제 관련산업 개인정보 파일 안전 보호 관리 방법 등 관련 규정에 따라 지속해서 포렌식 보고 및 각 상황을 조사할 것"이라며 "조사 결과에 관해서는 법정 절차에 따라 후속 처분을 할 것"이라고 밝혔다.
대만 정부의 조사에 따르면 쿠팡 한국법인 퇴직자인 공격자는 2000여개의 서로 다른 IP 주소를 통해 20만4552개 쿠팡 대만 사용자의 개인정보에 접근했다. 접근된 개인정보에는 이름과 이메일, 전화번호, 배송 주소, 일부 주문 기록 등이 포함됐다.
쿠팡은 대만과 한국의 사용자 데이터베이스가 분리돼 있다고 주장했지만 대만 정부 조사 결과 두 데이터베이스의 백업키가 동일해 같은 백업키를 사용해 데이터베이스에 접근할 수 있었던 것으로 드러났다.
앞서 한국에서도 퇴사자의 서명키를 즉시 갱신하지 않은 것이 고객들의 개인정보 유출 원인으로 지목된 가운데 대만에서도 비슷한 과정으로 정보가 유출된 것으로 나타난 셈이다. 백업키는 예비용 보안수단의 일종으로 데이터 등에 접근하기 위해 사용되는 인증수단인 서명키가 분실·손상·침해됐을 경우 등에 대비한 장치다.
쿠팡은 지난해 11월 개인정보 유출 사건이 발생한 직후 쿠팡 정부로부터 대만 고객들의 정보가 유출됐는지를 확인해달라는 요청을 받고 공개 성명을 통해 대만 고객들의 개인정보가 유출됐다는 증거가 발견되지 않았다고 발표했다. 쿠팡은 지난해 12월과 올해 1월 12일과 26일, 이달 9일에도 같은 입장을 유지했다.
하지만 한국 정부가 지난 10일 개인정보 공격자가 지난해 11월 쿠팡 한국법인에 보낸 이메일에서 한국·일본·대만의 고객이 모두 개인정보 유출 영향을 받을 것이라고 언급했다는 사실이 담긴 것을 확인, 공식 발표하자 쿠팡 대만법인은 지난 23일 대만 정부에 개인정보 유출 사실이 확인됐다고 통보한 것으로 확인됐다.
대만 정부는 쿠팡으로부터 정보 유출 사실을 통보받은 뒤 지난 25일 대규모 행정검사를 실시했다.
쿠팡 모회사인 미국법인 쿠팡Inc는 같은 날 퇴사직원이 무단 접근한 계정 중 약 20만개가 대만 소재 계정으로 확인됐다고 밝혔다.
한편 외교통상가에선 미국 도널드 트럼프 행정부와 미 의회가 쿠팡에 대한 한국 정부의 조사와 관련해 지난해 말부터 미국 기업에 대한 불공정한 차별이라는 입장을 밝히면서 쿠팡 문제가 한미간 통상·무역 갈등의 불씨가 됐다는 얘기가 나온다.