쿠팡 고객 개인정보 46만건이 유출됐다는 의혹에 대해 쿠팡은 "쿠팡을 통해 유출된 정보는 없다"고 반박했다.

쿠팡 관계자는 20일 "고객정보는 단 한 건도 유출되지 않았으며 외부로부터 부정적인 접근도 없는 것으로 확인됐다"고 밝혔다.

앞서 쿠팡에서 물품을 구매한 기록이 있는 사람들의 개인정보 46만건이 유출돼 국외 홈페이지를 통해 거래되고 있다는 보도가 나왔다.

해당 의혹을 보도한 한겨레는 복수의 이커머스 보안전문가의 말을 통해 "쿠팡이 거래 뒤 입점업체들에 제공한 주문 데이터와 해커 쪽 샘플 양식이 일치한다. 쿠팡 관련 거래 정보라는 점은 분명해 보인다"며 "모든 데이터에 중국 상품명과 시에이치엔(CHN·중국) 코드가 붙어있는 걸 보면 중국 판매상 상품을 구매한 고객들의 개인정보일 가능성이 크다"고 보도했다.

한겨레는 또 해당 정보를 유출한 해커가 해킹 방식을 알려주고 해당 데이터를 삭제하는 조건으로 일부 업체에 수억원의 암호화폐를 요구한 사실도 털어놨다고 보도했다.

보안업계에 따르면 해외 오픈마켓 업체들은 별도의 배송업체를 이용하는 경우가 많다. 해커들은 오픈마켓 판매자가 배송업체에게 구매자 정보를 전달하는 과정에서의 보안 취약점을 노려 정보를 빼내는 것으로 알려졌다. 이 과정에서 개인정보거래가 이뤄지기도 하는 것으로 알려졌다.

개인정보보호법에 따르면 오픈마켓은 판매자가 고객정보 관리의 주체다. 판매자가 위수탁한 배송업체에서 데이터 유출 문제가 발생해도 이를 관리 감독할 책임은 판매자에게 있다.

국내 법원도 "오픈마켓 판매자의 개인 계정 정보 도용 등 개인정보 문제는 오픈마켓 운영자의 책임이 아니다"는 판결을 내리기도 했다. 지난해 7월 서울행정법원은 개인정보보호위원회(이하 개보위)를 상대로 네이버와 G마켓이 낸 소송에 대해 원고 승소 판결을 내렸다. 당시 오픈마켓 판매자 계정 도용 사건에 대해 개보위는 네이버 등 오픈마켓 7개 사업자에게 과태료와 시정명령을 내렸는데, 네이버·G마켓이 불복하고 소송을 제기했다.

재판부는 "판매자가 원고(네이버,G마켓)의 지휘·감독을 받아 개인정보를 처리한 개인정보 취급자에 해당한다고 보기 어렵다"며 "피고(개보위) 주장대로 원고(네이버·G마켓)가 개인정보취급자이면 111만명에 이르는 판매자의 인터넷망, 컴퓨터, 휴대전화 차단 및 제한 조치를 해야 하는데 이 같은 조치를 취하거나 강제하는 것은 불가능하다"고 했다. 오픈마켓 판매자는 상품 구매 고객의 개인정보를 제공받은 제3자이자 '독립된 개인정보처리자'로 오픈마켓 운영자에게 고객 정보 유실 등에 따른 책임을 물을 수 없다는 설명이다.

일각에서는 영세한 사업자들이 개인정보 보호 능력을 갖추기 현실적으로 어려운 점을 고려해 제도를 보완해야 한다는 지적도 나온다.

개인정보분야 전문인 권창범 법무법인 '인 ' 대표 변호사는 "해커들이 영세한 오픈마켓 판매자를 노려 데이터를 빼돌리는 일은 국내 주요 오픈마켓에서 흔하게 볼 수 있는 일"이라며 "오픈마켓 판매자가 개인 정보에 대한 책임을 져야 하는 것이 원칙이지만 대부분 영세하다 보니 신고가 되지 않은 채 그냥 묻히는 경우가 많아 원천 차단이 어렵다"고 말했다.