쿠팡 개인정보 유출 논란…사과문 삭제에 신뢰 추락 우려

대규모 개인정보 유출 사고 이후 쿠팡의 위기 대응 방식이 전자상거래 산업 전반의 데이터보호와 기업 신뢰 문제를 다시 부각시키고 있다. 고객 계정 수천만건의 정보가 외부에 노출된 상황에서 공개 사과문을 사흘 만에 내리고 그 자리를 로켓배송 광고로 대체하면서, 이용자와 정치권, 시민단체가 동시에 강도 높은 비판에 나선 상태다. 업계에서는 주문과 배송 정보를 기반으로 한 2차 피해 우려가 커진 가운데, 데이터보안 체계와 위기 커뮤니케이션 수준이 향후 플랫폼 경쟁력의 핵심 변수가 될 수 있다고 보고 있다.

쿠팡은 지난달 29일 고객 계정 약 3370만건의 정보가 외부에 노출되는 사고를 일으켰다. 이름과 이메일, 전화번호, 주소 등 생활형 정보가 포함돼 피해 범위가 광범위할 것으로 지목됐다. 정보 노출 시점도 6월 24일로 한 달 이상 소급되는 것으로 파악되면서, 사고 인지와 공지까지의 시간차에 대한 의문도 제기되고 있다. 쿠팡은 사고 직후 모바일 앱과 PC 웹페이지에 사과문과 공지문을 게재했지만, 지난 2일 기준 게시 사흘 만에 이를 삭제해 후폭풍을 자초했다.

현재 사과문이 사라진 자리에는 쿠팡 홈페이지의 로켓배송 광고와 앱 화면의 로켓프레시 반값 세일 광고가 노출되고 있다. 대형 플랫폼에서 보안 사고 이후 일정 기간 메인 화면을 통해 상황 설명과 후속 조치 계획을 반복 공지하는 것이 관행으로 굳어지는 가운데, 쿠팡은 빠르게 마케팅 노출을 복구하는 선택을 하며 여론 역풍을 맞는 모양새다. 정보보안 업계에서는 사고 원인 규명과 재발 방지 대책 공개, 피해 규모 세부 통지와 함께 메인 채널을 통한 상시 공지 유지가 글로벌 사업자들이 따르는 최소 기준에 가깝다고 본다.

이번 사태에서 논란이 된 지점은 기술적 침해 사고 자체뿐 아니라, 이를 설명하는 언어와 커뮤니케이션 전략이다. 쿠팡 사과문에는 ‘유출’ 대신 ‘노출’이라는 표현이 쓰였고, 외부자의 무단 접근을 수동태로 처리해 책임 소재를 모호하게 만들었다는 지적이 잇따랐다. 정보보호 전문가들은 침해 사고에서 ‘노출’은 상대적으로 수동적 뉘앙스를 주는 반면, 적극적인 공격에 따른 ‘유출’을 회피할 경우, 소비자 입장에서는 기업이 사태의 중대성을 축소하려는 신호로 읽을 수 있다고 지적한다. 용어 선택과 문장 구조만으로도 기업의 책임 인식 수준이 드러난다는 뜻이다.

정치권도 문제를 정면으로 겨냥했다. 한민수 더불어민주당 의원은 국회 과학기술정보방송통신위원회 긴급 현안질의에서 국민 4명 중 3명의 정보가 노출된 상황을 언급하며, 사과문 삭제를 국민 기만 행위라고 규정했다. 같은 당 황정아 의원 역시 모바일과 PC 어디에서도 사과문을 찾을 수 없다며, 엄중한 사태에 사과 공지를 보이지 않게 만든 배경을 따져 물었다. 거대 이커머스 플랫폼의 데이터 유출과 대응 방식이 과방위 논의 테이블로 올라오면서, 향후 정보통신망법과 개인정보보호 관련 제도 개선 논의로 번질 가능성도 거론된다.

온라인 커뮤니티와 사회관계망서비스 이용자들도 강하게 반발하고 있다. 이용자들은 사과문이 팝업에서 화면 상단 좌측 배너로 축소된 데 이어 결국 삭제됐다며, 메인 페이지 전체를 사과와 안내에 할애해도 부족한 사태라고 비판했다. 일부는 유료 멤버십 탈퇴 인증과 함께 불매 운동 언급까지 내놓고 있다. 장기간 서비스 이용으로 생활 전반이 플랫폼에 밀착된 상황에서, 신뢰가 깨질 경우 이탈 속도가 빨라질 수 있다는 점에서 전자상거래 업계 전반에 경고 신호가 되고 있다.

국회 질의에 참석한 박대준 쿠팡 대표는 2차 피해에 대한 우려가 커지고 있다며, 고객센터 유입을 통해 문의를 받고 별도 이메일 공지로 상세 안내와 사과문을 재전달할 준비를 하고 있다고 설명했다. 그러나 전문가들은 개별 이메일 공지와 병행해, 누구나 접근 가능한 전면 공지와 사고 진행 상황 업데이트를 이어가는 것이 표준에 가깝다고 본다. 특히 주문 내역과 배송 주소 같은 생활 패턴 정보가 연계돼 있을 경우, 스팸과 스미싱, 표적 피싱 공격에 활용될 소지가 크기 때문에, 이용자 스스로 방어할 수 있도록 구체적인 주의 사항과 예시를 제공해야 한다고 지적한다.

참여연대를 비롯한 시민단체도 연일 쿠팡의 대응을 비판하고 있다. 참여연대는 주문 조회와 배송 정보에 기반한 스팸 문자와 스미싱, 피싱 시도로 이어질 수 있다며, 피해자에게 충분한 정보를 제공하고 납득할 만한 보상 대책을 마련하라고 촉구했다. 한국 개인정보보호 체계에서 사업자는 침해 사실을 인지한 즉시 관련 기관에 신고하고, 피해가 우려되는 정보 주체에게 신속히 알리도록 돼 있지만, 사고 경위와 구체적인 보상안이 여전히 모호하다는 것이 시민단체들의 판단이다.

국내외 정보보안 규제 환경도 점차 강화되는 추세다. 유럽 일반개인정보보호법과 미국 주요 주법은 대규모 정보 유출 시 신고 지연과 불충분한 통지에 대해 막대한 과징금을 부과하고 있다. 글로벌 빅테크들은 이런 규제 환경을 의식해 침해 사고 발생 시 외부 포렌식 업체를 통한 원인 분석, 투명한 타임라인 공개, 재발 방지 청사진 제시를 기본 절차로 구축해 왔다. 국내 전자상거래 플랫폼들도 비슷한 수준의 대응 체계를 요구받고 있으며, 투자자와 파트너사 역시 보안 성숙도를 공급망 리스크의 핵심 지표로 보고 있어, 이번 사태의 후폭풍이 단기 여론을 넘어 중장기 사업 환경에 영향을 줄 수 있다는 분석도 나온다.

IT 업계에서는 쿠팡 사례가 대형 플랫폼의 데이터 수집 관행과 보안 투자 우선순위를 재점검하는 계기가 될 수 있다고 본다. 프라이버시 보호 기술과 데이터 최소 수집, 암호화와 접근 통제 강화 같은 기술적 조치뿐 아니라, 침해 사고 대비 매뉴얼과 위기 커뮤니케이션 전략을 평시부터 준비해야 한다는 지적도 거세지고 있다. 산업계는 쿠팡이 향후 어떤 수준의 기술적·관리적 보완책과 투명한 정보를 제시할지, 그리고 사회적 신뢰 회복에 성공할 수 있을지 예의주시하고 있다.