쿠팡이 대규모 개인정보 유출 사태를 제때 인지하지 못한 것으로 드러나면서 보안 시스템이 제대로 작동하지 않은 것 아니냐는 비판이 제기되고 있다. 쿠팡 서버 인증의 취약점이 원인 중 하나로 거론되자 쿠팡 시스템에 대한 불신도 커졌다. 해외로 유출된 개인정보를 악용한 스미싱·보이스피싱 등 2차 피해 우려도 제기된다.
30일 배경훈 부총리 겸 과학기술정보통신부 장관이 관계부처 긴급 대책회의에서 한 발언을 보면 “쿠팡 서버의 인증 취약점을 악용했다”는 내용이 나온다. 쿠팡 서버 인증이 얼마나, 어떻게 취약한지가 관심사로 떠올랐다. 사실상 회원 대부분의 개인정보가 유출되며 쿠팡의 인증 시스템이 허점을 드러낸 것으로 보인다.
쿠팡 개인정보 처리방침 6항에 따르면 쿠팡은 소비자의 개인정보를 안전하게 관리하기 위해 보호조치를 취하고 있다. 해킹 및 정보 유출 시도에 대해 실시간 모니터링을 하는 방식으로 접근을 차단하고, 개인정보보호 전담조직을 운영하는 중이다. 외부로부터 접근이 통제된 구역에 시스템을 설치·운영하면서 출입통제 절차를 엄수하고 있다고 한다. 이런 조항이 현시점에서는 유명무실해진 상황이다.
쿠팡은 이번에 유출된 개인정보에 결제 정보나 신용카드 번호, 로그인 정보는 포함되지 않았다고 강조했다. 그러나 금융정보가 아니더라도 이름, 전화번호, 주소는 보이스피싱, 문자 사기 등 각종 범죄에 악용될 가능성이 크다. 특히 정보를 유출한 사람이 퇴사한 중국 국적의 직원으로 알려지면서 한국 시장에서 공세를 펼치는 중국 C커머스(알리·테무·쉬인)로 개인정보가 넘어가는 것 아니냐는 의구심도 제기된다.
쿠팡은 이번 유출 사태에 따른 보상 방식을 검토하고 있다. 하지만 보상이 실제 소비자에게 어느 정도 수준으로 돌아갈지는 미지수다. 아직까지 쿠팡 서버의 인증 취약점이 악용됐다는 점 외에 구체적인 정보 유출 경위와 피해 범위 등 사실관계가 명확히 드러나지 않았기 때문이다. 쿠팡은 추가 유출 사태를 막기 위해 독립적인 리딩 보안기업 전문가들을 영입하고, 내부 모니터링을 강화했다.
쿠팡이 개인정보를 유출한 것은 이번이 처음이 아니다. 2020년 8월부터 2021년 11월 사이 쿠팡이츠 배달원 13만5000명의 정보를 유출해 문제가 됐었다. 2021년 10월에는 애플리케이션 업데이트 테스트 과정에서 14건의 유출 사고가 발생했다. 2023년 12월에는 시스템 개발 설정 오류로 2만2440명의 정보가 노출됐다.
쿠팡이 받은 국가 인증제도의 실효성에 대한 비판도 제기된다. 쿠팡은 국가 공인 개인정보보호 관리체계 인증을 두 차례 받은 것으로 확인됐다. 국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 쿠팡은 2021년 처음 국가 인증제도인 ‘ISMS-P’(정보보호 및 개인정보보호 관리체계 인증)를 받고 지난해 3월 갱신했다. 쿠팡은 국가 인증을 두 번 받고도 4건의 개인정보 유출 사고를 냈다.
박성영 황인호 기자