3,370만 명 정보 유출, 쿠팡은 5개월간 몰랐다

쿠팡, 얼마나 털린 거야

😡 또 터진 정보 유출 사고: 국내 이커머스 1위 업체인 쿠팡에서 3천만 건이 넘는 대규모 정보 유출 사고가 발생했습니다. 거의 반년 전부터 고객 정보가 노출됐을 가능성이 제기되면서 소비자들의 불안이 커지는데요. 정부는 민관합동조사단을 꾸려 원인 분석에 착수했고, 경찰도 본격 수사에 들어갔습니다.

🤷‍ 어디까지 노출된 거야: 지난달 30일 쿠팡은 "고객 계정 약 3,370만 개가 무단 노출된 것으로 확인됐다"라고 공지했습니다. 노출된 정보는 이름·이메일·전화번호·주소·일부 주문정보 등으로, 결제 정보는 포함되지 않았다고 설명했는데요. 쿠팡은 해외 서버를 통해 지난 6월 24일부터 개인정보에 접근한 정황이 있다며, 정보 탈취 시도가 이미 5개월 전부터 시작된 것으로 추정했습니다.

👤 핵심 인물은 전 직원?: 이번 사태의 주요 관련자는 중국 국적의 전(前) 직원으로 파악된 상태입니다. 사건 직후 한국을 떠나 중국으로 귀국해 현재는 쿠팡과 아무런 관계가 없는 상태인데요. 핵심 인물이 해외에 체류하고 있어 수사에 난항이 예상됩니다. 쿠팡은 "확인할 수 있는 내용이 아니다"라는 입장을 내놨죠.

문제가 생각보다 더 큰데?

😓 말 바꾸는 쿠팡: 쿠팡의 발표는 일주일 사이에 크게 뒤집혔습니다. 지난달 20일에는 피해 고객 계정이 4,500여 개라고 밝혔지만, 9일 만에 3,370만 개로 약 7,500배 늘었는데요. 소비자들 사이에서는 추가 피해가 더 있는 것 아니냐는 우려가 확산하죠. 쿠팡이 3분기 실적 발표에서 밝힌 프로덕트 커머스 활성고객 수는 2,470만 명입니다. 이번에 유출된 계정 수는 이보다 더 많은 규모라 사실상 전체 고객의 정보가 털린 셈이라는 이야기도 나옵니다.

😱 이번이 제일 큰 사고다?: 이번 정보 유출 건수는 국내 개인정보 유출 사고 중 최대 규모입니다. 개인정보보호위원회로부터 역대 최대 과징금(1,348억 원)을 부과받았던 SK텔레콤 사고(2,324만 명)마저 넘어서는데요. 롯데카드·KT 등 다른 기업의 최근 보안 사고에서도 초기에 축소 발표 후 피해 규모가 계속 확장된 사례가 있었던 만큼, 조사 과정에서 규모가 더 늘 가능성도 제기됩니다.

📢 논란 마를 날 없는 쿠팡: 동시에 이번 정보 유출 사고를 비롯해 국내에서 쿠팡을 둘러싼 사회적 논란은 끊이지 않습니다. 택배 기사·물류센터 노동환경 문제부터 퇴직금 미지급 사건, 입점 수수료 논란, 국감장 증인 출석 등 이전에도 여러 이슈가 줄줄이 이어졌는데요. 이번 유출 사고로 기업 전반의 신뢰도 문제가 다시 수면 위로 떠올랐습니다.

사고 이후 대응은

✅ 유명무실한 인증 제도: 쿠팡에서 발생한 대규모 개인정보 유출로 인해 국가 공인 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계)의 실효성 논란이 커지고 있습니다. 쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 취득한 기업임에도 올해까지 총 4건의 개인정보 유출 사고가 발생한 건데요. 국가 공인 인증을 받았음에도 반복적으로 사고가 난 만큼 ISMS-P 제도 자체의 실효성 논란도 커집니다.

👮 전면 조사 들어간 정부, 경찰: 쿠팡은 이번 사고를 지난달 18일 인지하고, 20일과 29일 두 차례 개인정보보호위원회에 신고했습니다. 이에 개인정보위원회는 조사에 착수해 안전조치 의무 위반 여부를 집중 점검 중인데요. 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하겠다고 밝혔습니다. 또 서울경찰청 사이버수사대 역시 고소장을 접수해 정식 수사에 들어갔죠. 정부는 유출 정보를 악용한 스미싱 등 2차 피해를 막기 위해 보호나라 누리집을 통해 대국민 보안 공지도 진행하고 있습니다.