“개인정보 유출규모 확정은 개인정보위 업무”

[보안뉴스 강현주 기자] 과학기술정보통신부(부총리 겸 장관 배경훈)가 “민관합동조사단의 보고서가 공동현관 비밀번호 조회는 단 2609개로 한정됐다는 점을 누락했다”는 쿠팡Inc.의 주장을 반박하고 나섰다.

구체적 개인정보 유출 규모를 확정하는 것은 민관합동조사단의 업무 범위가 아니라는 게 반박의 요지다.


앞서 쿠팡 미국 모회사 쿠팡Inc.가 “민관합동조사단 보고서는 해당 전 직원이 공동현관 비밀번호에 대해 5만 건 조회를 수행했다고 기재하면서도, 해당 조회가 실제로는 단 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과는 누락하고 있다”고 자사 홈페이지에 게시했다. 이 내용은 일부 보도로 이어졌다.

이에 대해 과기정통부는 “쿠팡Inc.는 민관합동조사단이 공동현관 비밀번호 2609건 유출을 누락했다고 주장하고 있으나, 공동현관 비밀번호 등 개인정보 유출규모를 확정하는 것은 민관합동조사단의 업무 범위가 아니다”라고 반박헸다.

민관합동조사단의 업무 범위는 정당한 접근권한 없이 정보통신망에 침입한 공격자의 정보유출 범위를 파악해 사고 발생원인을 분석하고, 유사사고가 재발하지 않도록 대책을 마련하는 것에 있다는 설명이다.

구체적인 개인정보 유출규모를 확정하는 것은 개인정보보호위원회의 업무 범위에 해당한다는 것이다.

민관합동조사단은 공격자가 무단으로 ‘배송지 목록 수정 페이지’를 5만474회 조회해 정보를 유출한 것을 확인하고, 이 사실을 토대로 조사 결과를 2월 10일 발표했다.

해당 ‘배송지 목록 수정 페이지’에 개인정보에 해당하는 공동현관 비밀번호의 구체적인 숫자를 확정하는 것은 개인정보보호위원회에서 수행해야 할 업무라는 게 과기정통부의 설명이다.

과기정통부 관계자는 “따라서 공동현관 비밀번호의 숫자 2609건을 누락했다는 쿠팡Inc.의 주장은 민관합동조사단의 업무 범위에 속하지 않은 사항을 수행하지 않았다고 지적하는 것”이라며 “조사단의 업무범위를 충분히 이해하지 못한 해석에서 비롯된 것”이라고 밝혔다.

이어 “결과적으로 조사 결과에 대한 신뢰성을 저해할 우려가 있음을 말씀드린다”고 강조했다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>