대만 정부는 쿠팡의 개인정보 유출 사건과 관련해 행정 조사를 통해 관리상의 결함을 발견했다고 발표했다. 이에 따라 대만 당국은 법적 조치를 취할 계획임을 밝혔다.
대만 디지털발전부 산하 디지털산업서는 26일, 법률 및 정보보안 전문가, 형사경찰국, 국가사이버보안연구원으로 구성된 조사팀이 쿠팡 대만법인을 대상으로 행정 검사를 실시한 결과, 개인정보 관리 체계에서 심각한 결함이 드러났다고 전했다. 이 조사에 따르면, 한국에 본사를 둔 쿠팡의 퇴직 직원이 2000여 개의 서로 다른 IP 주소를 사용하여 쿠팡 대만 사용자 20만4552명의 개인정보에 접근한 것으로 파악되었다. 유출된 정보에는 이름, 이메일, 전화번호, 배송 주소, 일부 주문 내역 등이 포함되어 있다.
특히, 대만 당국은 쿠팡이 한국과 대만의 사용자 데이터베이스(DB)가 분리되어 있다고 주장해왔으나, 실제 조사의 결과 서로 다른 DB의 백업 키가 동일하여 취약점이 존재했다는 사실이 확인되었다고 강조했다. 이러한 사실은 쿠팡이 그동안의 공식 입장을 뒤집는 결정적인 증거로 작용할 가능성이 크다.
대만 정부는 지난해 11월 개인정보 유출 사건 발생 직후 쿠팡에 대한 설명을 요구하였다. 당시 쿠팡은 대만 소비자의 개인정보 유출과 관련된 증거가 없다는 내용의 공개 성명을 발표하며 유출 사실을 부인했다. 그러나 조사 결과, 올해 1월 10일 발표된 한국 정부의 조사에는 공격자가 쿠팡 한국법인에 보낸 이메일에서 한국, 일본, 대만 사용자 모두 유출에 영향을 받았다는 내용이 포함되어 있다.
대만 디지털산업서는 이러한 사실을 확인한 뒤, 쿠팡이 대만 당국에 유출 사실을 공식 통보한 것은 사건 발생 약 10일 후인 이달 23일이라는 점을 지적하며, 법적 조치를 예고하였다. 또한 쿠팡의 모회사인 쿠팡 Inc.는 지난 25일에 전 직원이 무단으로 접근한 계정 중 약 20만 개가 대만 계정이라고 확인했다고 밝혔다. 이는 대만 고객의 개인정보 유출 사실이 늦게 드러났음을 의미하며, 대만 정부는 이에 따라 행정 검사와 법적 조치를 진행할 예정이다.
쿠팡의 개인정보 관리에서 보여준 결함은 단순한 기술 문제를 넘어 기업의 신뢰성과 고객 보호 방침에 대한 심각한 의문을 제기하고 있다. 따라서 대만 정부는 개인정보보호법과 관련 규정을 기반으로 한 포렌식 분석을 통해 추가 조사를 철저히 진행할 것이라고 강조했다. 향후 이 조사의 결과는 쿠팡의 운영 방식과 개인정보 보호정책에 중대한 영향을 미칠 것으로 예상된다.
