12월 10일 오후, 쿠팡의 선택 “최근의 개인정보 사태에 대해 국민께 실망드린 점에 대해 매우 송구스럽게 생각한다. 이번 사태의 발생과 수습 과정에서의 책임을 통감하고 모든 직위에서 물러나기로 했다.” 박대준 쿠팡 대표이사의 사임 발표였다. 3,370만 건 개인정보 유출 사고 발생 34일 만이다. 11월 6일 해킹이 발생했고, 18일 뒤늦게 인지했으며, 29일 규모를 공개했다. 그리고 오늘, 대표가 물러났다. 그러나 이것으로 끝이 아니다. 오히려 본격적인 법적 책임 공방이 이제 시작됐다. 사임의 의미: 왜 지금인가 압박의 삼중주 박대준 대표를 물러나게 한 것은 세 가지 압박이었다. ...
아침에 온 문자 한 통 “고객님의 개인정보가 비인가로 조회된 것으로 확인되었습니다.” 2025년 11월 18일, 수많은 쿠팡 이용자들이 받은 문자 메시지다. 처음에는 4,500명. 그러나 11일 후인 11월 29일, 쿠팡은 충격적인 발표를 했다. 3,370만 건. 대한민국 성인 인구의 4분의 3에 해당하는 숫자다. 쿠팡 활성 이용자 수(2,470만 명)보다 많다. 사실상 쿠팡 전체 가입자의 정보가 유출된 것이다. 더 충격적인 것은, 유출은 6월 24일부터 시작됐다는 사실이다. 5개월간 기업은 몰랐고, 해커는 계속 정보를 빼갔다. 무엇이 유출되었나 확인된 유출 정보 이름 이메일 주소 전화번호 배송지 주소 (여러 주소록 포함) 최근 5건의 주문 정보 유출되지 않았다고 주장하는 정보 신용카드 정보 결제 비밀번호 로그인 비밀번호 쿠팡은 “결제 정보는 안전하다"고 강조했다. 그러나 개인정보보호위원회와 경찰의 추가 조사가 진행 중이며, 결과에 따라 피해 범위가 더 확대될 가능성도 배제할 수 없다. ...
이 체크리스트는 언제 사용하나요? 개인정보를 수집하거나 활용하는 업무를 시작하기 전 신규 시스템, 서비스, 설문, 이벤트를 기획할 때 위탁, 제공, 외주, 협력사 연계가 발생할 때 개인정보 점검, 감사, 내부 통제 점검 시 본 체크리스트는 개인정보처리자(회사) 입장에서 법 위반 리스크를 사전에 점검하기 위한 실무용 자료입니다. 1. 개인정보 해당 여부 판단 다음 중 하나라도 해당하면 개인정보에 해당할 가능성이 있습니다. 이름, 연락처, 이메일, 사번 등 개인을 식별할 수 있다 단독으로는 식별이 어렵지만 다른 정보와 결합 가능하다 사내 시스템이나 DB를 통해 개인을 알아볼 수 있다 가명처리 되었으나 재식별 가능성이 있다 영상, 음성, 로그 기록 등 개인과 연결될 수 있다 2. 수집 목적 및 최소 수집 원칙 개인정보 수집 전에 반드시 점검합니다. ...
이 체크리스트는 언제 사용하나요? 신규 서비스, 시스템, 설문, 이벤트를 기획할 때 개인정보가 포함된 양식이나 기능을 설계하기 전 개발 또는 외주 착수 전에 개인정보 리스크를 점검할 때 본 체크리스트는 기획 단계에서 개인정보 수집 여부를 판단하기 위한 자료입니다. 1. 개인정보 수집 필요성 검토 개인정보 수집이 반드시 필요한 업무인가 개인정보 없이 동일한 목적을 달성할 수 없는가 기존에 보유 중인 개인정보로 대체할 수 없는가 익명 또는 가명 정보로 목적 달성이 가능한가 2. 개인정보 항목 최소화 점검 수집 항목이 업무 목적과 직접적으로 연관된다 선택 항목과 필수 항목이 명확히 구분되어 있다 불필요한 민감 정보가 포함되지 않았다 관행적으로 추가된 항목은 없는가 3. 수집 목적 명확성 개인정보 수집 목적이 구체적으로 정의되어 있다 모호하거나 포괄적인 목적 표현을 사용하지 않았다 향후 목적 변경 가능성을 검토하였다 목적 달성 이후 활용 계획을 검토하였다 4. 적법한 처리 근거 확인 정보주체의 동의를 받을 계획이다 계약 체결 또는 이행에 필수적인 정보이다 법령상 의무 이행을 위한 수집이다 동의 없이 처리 가능한 사유를 검토하였다 5. 보유 기간 및 파기 계획 개인정보 보유 기간이 명확히 설정되어 있다 목적 달성 후 즉시 파기 여부를 검토하였다 파기 책임 부서 및 방법을 정의하였다 유의사항 본 체크리스트는 개인정보 보호법 기준의 기획 단계 사전 점검용 자료입니다. 실제 수집 전에는 개인정보 보호 담당 부서의 검토가 필요할 수 있습니다.
이 액션 리스트는 언제 사용하나요? 개인정보 유출 또는 침해 사고가 발생했을 때 유출 가능성이 의심되는 상황을 인지했을 때 사고 대응 훈련 또는 점검 시 본 리스트는 사고 발생 시 관리자 즉시 대응용입니다. 1. 사고 인지 및 초기 대응 사고 인지 일시 및 경위를 기록하였다 유출 범위 및 영향을 1차 파악하였다 추가 유출 가능성을 차단하였다 관련 시스템 접근을 통제하였다 2. 내부 보고 및 대응 체계 가동 개인정보 보호 담당 부서에 즉시 보고하였다 경영진 또는 책임자에게 보고하였다 사고 대응 전담 인력을 지정하였다 3. 사실관계 조사 및 기록 유출 원인 및 경로를 조사하였다 유출된 개인정보 항목을 확인하였다 영향받은 정보주체 범위를 파악하였다 조사 결과를 문서로 기록하였다 4. 외부 신고 및 정보주체 통지 법령상 신고 대상 여부를 검토하였다 감독기관 신고 기한을 확인하였다 정보주체 통지 필요 여부를 판단하였다 통지 내용 및 방법을 검토하였다 5. 사후 조치 및 재발 방지 유출 원인 제거 또는 보완 조치를 실시하였다 내부 관리 체계 개선 방안을 수립하였다 유사 사고 재발 가능성을 점검하였다 관련 교육 또는 추가 점검을 실시하였다 유의사항 개인정보 유출 사고 발생 시 지연되거나 미흡한 대응은 법적 책임으로 이어질 수 있습니다. 사고 대응 과정 전반에 대한 기록과 보고가 중요합니다.
이 체크리스트는 언제 사용하나요? 개인정보 처리 업무를 외부 업체에 위탁하기 전 신규 수탁사 선정 또는 계약 갱신 시 외주, 시스템 운영, 고객 관리 업무를 위탁할 때 본 체크리스트는 위탁자 책임 이행을 위한 사전 점검 자료입니다. 1. 수탁사 기본 정보 확인 수탁사의 법인 정보가 명확하다 개인정보 처리 업무 범위가 정의되어 있다 재위탁 여부 및 범위를 확인하였다 관련 법 위반 또는 사고 이력이 확인되었다 2. 계약서 및 법적 요건 점검 계약서에 개인정보 보호 조항이 포함되어 있다 위탁 목적 및 처리 범위가 명시되어 있다 재위탁 제한 또는 승인 절차가 명시되어 있다 계약 종료 시 개인정보 반환 또는 파기 의무가 포함되어 있다 3. 기술적 보호조치 점검 접근 권한 관리 체계가 존재한다 개인정보 암호화 또는 보호 조치를 적용한다 접속 기록을 보관하고 있다 개인정보 저장 매체를 안전하게 관리한다 4. 관리적 보호조치 점검 개인정보 보호 책임자 또는 담당자가 지정되어 있다 개인정보 보호 내부 규정이 마련되어 있다 임직원 대상 교육을 실시하고 있다 침해 사고 대응 절차가 마련되어 있다 5. 관리·감독 체계 위탁 업무에 대한 점검 또는 감사 계획이 있다 정기 또는 수시 점검을 실시할 수 있다 위반 시 조치 기준을 마련하였다 유의사항 개인정보 처리 업무 위탁 시 위탁자는 수탁사의 처리 행위에 대해 책임을 부담할 수 있습니다. 계약 체결 전 충분한 점검과 기록이 필요합니다.