쿠팡 가입자 약 3370만명의 개인정보가 유출됐다. 국내에서 발생한 최대 규모의 개인정보 유출 사태다. 쿠팡에서 퇴사한 중국 국적 직원이 관여한 것으로 알려졌다. 최초 유출 시점인 지난 6월부터 5개월간 이를 파악하지 못한 것으로 확인됐다. 아직까지 악성코드가 발견되지는 않으면서 서버 인증 취약점을 악용한 것으로 보인다. 쿠팡의 관리 소홀에 대한 비판이 거세다. 스미싱·보이스피싱 등 2차 피해 우려가 제기되며 정부 당국은 피해 확산 방지에 나섰다.
박대준 쿠팡 대표는 30일 “쿠팡 계정 3370만개가 무단으로 노출된 것으로 확인됐다. 노출된 정보는 이름, 이메일 주소, 배송지 주소록, 일부 주문 정보”라며 “쿠팡은 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다”고 말했다. 쿠팡은 전날 모바일 앱과 피해자 개별 연락을 통해 개인정보 유출 사실을 공지했다.
쿠팡은 이날 박 대표 명의로 공개 사과를 했고, 정부와 함께 후속 조치에 들어갔다. 정부는 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 이날 오후 관계 부처 긴급 대책회의를 열고 수습책을 논의했다.
지금까지 조사 결과를 종합하면 지난 6월 해외 서버를 통해 쿠팡 내부 시스템의 개인정보에 무단으로 접근한 움직임이 포착된 것으로 추정된다. 쿠팡은 그로부터 약 5개월이 지난 11월 초 개인정보 유출 사실을 인지했다. 뒤늦게 경찰청·한국인터넷진흥원·개인정보보호위원회에 관련 내용을 신고했으나 당시만 해도 4500개 계정의 개인정보가 유출된 것으로 파악하는 데 그쳤다. 조사 결과 피해자 수가 7500배가량 늘어났다.
이날부터 민관 합동조사단 가동에 들어갔다. 쿠팡이 개인정보 보호와 관련한 안전조치 의무(접근 통제, 접근 권한 관리, 암호화 등)를 위반했는지 등도 집중 조사할 방침이다. 박 대표는 “어떠한 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았고 안전하게 보호되고 있다”고 강조했으나 불안감을 가라앉히지는 못하고 있다. 쿠팡은 “피해자, 피해 범위, 유출 내용을 명확히 확정하고 재발 방지 대책을 마련할 것”이라고 밝혔다.
박성영 심희정 기자 psy@kmib.co.kr