쿠팡 3370만 명 고객 개인정보 유출

전 국민의 65%에 해당하는 약 3370만 명의 고객 개인정보가 유출되는 초유의 사태가 발생했다.
 
[서원일 기자=푸른한국닷컴] 30일 수사당국에 따르면 쿠팡은 지난 6월 24일부터 해외 서버를 경유한 미상의 접속자가 고객 데이터베이스(DB)에 무단 접근해 정보를 탈취한 사실을 뒤늦게 확인했다.
 
범인은 중국 국적의 전 쿠팡 직원이 정보를 유출한으로 추정되며, 이미 해외로 도피한 것으로 알려졌다.
 
경찰은 쿠팡이 신고한 ‘성명불상자’를 추적하는 동시에 임의 제출받은 쿠팡의 서버 기록을 분석해 유출 경로와 피해 규모 등을 집중적으로 파악하고 있다.
 
쿠팡의 최초 인지 시점은 정보 유출 후 약 5개월이 지난 11월 18일로 파악됐다. 당초 쿠팡은 유출된 개인정보 계정을 4536건으로 확인하고 신고했다. 하지만 추가 조사 결과 피해 규모가 그 7500배에 달하는 약 3370만 건으로 드러났다.
 
유출된 정보에는 이름, 이메일, 휴대폰 번호, 주소, 일부 주문 내역 등이 포함됐다. 쿠팡 측은 “카드번호와 비밀번호 등 민감한 정보는 유출되지 않았다”고 해명했다.
 
하지만 유출된 정보가 보이스피싱, 스미싱 등 ‘2차 범죄’에 악용될 가능성이 있어 추가 피해가 예상된다.
 
정부는 이날 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 긴급 관계부처 장관회의를 열고 사고 원인 분석과 재발 방지 대책 마련에 나섰다.
 
서울경찰청 사이버수사대는 쿠팡으로부터 서버 등 관련자료를 확보해 수사에 들어갔다. 배 장관은 “쿠팡이 개인정보보호 관련 안전조치 의무를 위반했는지 조사 중”이라고 밝혔다.
 
개인정보보호위원회가 역대 최대 규모의 과징금 부과를 검토할 것이란 예상도 나온다. 업계 안팎에서는 이번 사태가 보안 사고를 넘어 기업 신뢰도 훼손과 집단 소송 등으로 확산할 것을 우려하고 있다.
 
쿠팡은 이날 오후 박대준 대표 명의의 대국민 사과문을 발표했다. 박 대표는 “국민 여러분께 큰 불편과 걱정을 끼쳐 진심으로 사과드린다”며 “민관합동조사단과 긴밀히 협력해 추가 피해 예방에 최선을 다하겠다”고 밝혔다. 이어 “고객 데이터를 더 안전하게 보호할 수 있도록 기존 데이터 보안 장치와 시스템을 강화하겠다”고 했다.
 
쿠팡은 인공지능(AI) 물류 배차, 머신러닝 기반 수요 예측 등 혁신 기술로 한국 유통산업 지형을 바꿨다. 하지만 ‘쿠팡 신화’는 가장 기본인 고객 정보 보호에 실패하면서 허무하게 무너졌다.
 
쿠팡은지난해 정보보호 부문에만 약 889억원을 투자한 것으로 알려졌다. 이는 국내 유통사 중 압도적 1위이자 카카오 등 국내 주요 테크 기업을 뛰어넘는 투자 규모다.
 
보안 전문가들은 거액의 투자에도 불구하고 정보가 유출된 이유로 부실한 내부 통제 시스템, 보안 의식을 꼽는다. 쿠팡의 투자는 디도스 공격 방어, 서버 증설 등 주로 하드웨어와 외부 방어에 집중됐다.
 
반면 급격히 커진 조직 규모에 비해 내부 통제와 권한 관리 같은 ‘소프트웨어적 프로세스’는 허술했다는 지적이 나온다.
 
이용자와 매출을 빠르게 늘리는 속도전에 대응하느라 개발자와 운영자 편의를 위해 보안 빗장을 관행적으로 풀어놓은 것이 부메랑이 돼 돌아왔다는 분석이다.
 
한국인터넷진흥원(KISA)은 ‘피해 보상’ ‘환불’ 등의 키워드로 피싱 시도가 예상된다고 경고했다.