CloudPNG

ºC

logo
사회

“휴면·탈퇴 회원까지 뚫렸다”…쿠팡 개인정보 유출, 3370만 건 파장

오태희 기자
입력

소셜커머스 기업 쿠팡에서 3370만 개에 달하는 개인정보가 유출된 가운데, 활동하지 않는 휴면 회원과 이미 탈퇴한 회원의 정보까지 포함됐다는 정황이 드러나면서 파장이 커지고 있다. 개인정보 유출 기간이 약 5개월 동안 이어진 데다, 해외 서버와 내부 직원이 연루된 혐의까지 제기되며 관리·감독 체계 전반에 대한 점검 필요성이 제기되고 있다.

 

사건은 지난해 6월 24일부터 11월 8일까지 이어진 것으로 파악됐다. 쿠팡은 지난해 11월 18일 자체 점검 과정에서 약 4500개 계정 정보가 외부에 노출된 정황을 처음 확인한 뒤 추가 조사를 진행해, 무단 접속을 통해 3370만 개의 정보가 유출된 것으로 확인했다고 밝혔다. 유출 경로는 해외 서버를 활용한 비인가 접근으로 추정되고 있다.

쿠팡
쿠팡

2일 국회 과학기술정보방송통신위원회 현안질의에서 박대준 쿠팡 대표는 휴면 및 탈퇴 회원 정보 유출 가능성에 대한 질의에 “일부 포함됐을 것이라고 생각한다”고 답했다. 박 대표는 향후 개인정보보호위원회의 과징금 부과 가능성과 관련해 “정확히 세는 건 어렵다”며 “책임을 회피하고 싶은 생각 없다. 책임이 있는 부분이 있다면 당연히 책임져야 된다고 생각한다”고 말했다.

 

쿠팡 측은 이번 사건과 관련해 최근 내부 직원을 개인정보 유출 혐의로 고소한 것으로 알려졌다. TV조선 보도에 따르면 개인정보가 해외 서버를 통해 무단으로 유출된 정황이 포착됐고, 회사 내부 인력이 비인가 조회에 관여했을 가능성을 두고 수사가 진행 중인 것으로 전해졌다. 경찰은 구체적인 공모 여부와 유출 규모, 재유포 가능성을 조사 중이다.

 

쿠팡은 피해 고객에게 문자 안내를 보내 “쿠팡을 이용해주시는 고객님께 진심으로 사과드린다. 고객님의 소중한 개인정보가 일부 노출되는 사고가 발생했다”며 “이번 노출을 인지한 즉시 관련 당국에 신속하게 신고했다”고 밝혔다. 이어 “이번 사건은 비인가 조회로 파악됐으며 경찰청, 개인정보보호위원회, 한국인터넷진흥원 등 관련 당국과 협력해 조사 중”이라고 설명했다.

 

현재까지 유출이 확인된 정보는 이용 고객의 이름, 이메일 주소, 배송지 주소록, 전화번호, 주소, 주문 정보 등이다. 쿠팡 측은 “카드정보 등 결제정보 및 패스워드 로그인 관련 정보는 노출이 없었음을 확인했으며 안전하게 보호되고 있다”며 “쿠팡은 비정상 접근 경로를 즉시 차단했고 내부 모니터링을 강화했다”고 밝혔다. 다만 유출 정보만으로도 스팸·피싱, 보이스피싱, 스미싱 등에 악용될 소지가 적지 않다는 지적이 나온다.

 

이번 사안의 핵심 쟁점은 장기간에 걸친 대규모 유출과 함께, 이미 서비스를 이용하지 않는 휴면·탈퇴 회원 정보가 관리 사각지대에 놓여 있었는지 여부다. 현행 개인정보 보호 관련 법제는 기업이 이용 목적이 달성된 개인정보를 지체 없이 파기하거나 별도 분리·저장하도록 규정하고 있다. 그럼에도 비활성 이용자 정보까지 대량 유출됐을 가능성이 확인되면서, 보관 기준과 접근 통제 수준이 적정했는지에 대한 조사가 불가피한 상황이다.

 

피해 고객들 사이에서는 “단순한 사과문과 문자 안내만으로는 불안이 해소되지 않는다”, “탈퇴한 지 오래됐는데도 정보가 남아있다가 유출된 것 아니냐”는 비판이 이어지고 있다. 온라인 커뮤니티와 사회관계망서비스(SNS)에서는 추가 피해를 우려해 결제수단 변경, 스팸 차단 강화, 의심 문자·전화 미응답 등 자구책을 공유하는 움직임도 나타나고 있다.

 

당국도 대응에 나섰다. 개인정보보호위원회는 쿠팡의 법령 위반 여부와 관리 소홀 정도를 조사해 과징금 부과와 시정명령 등 행정조치 여부를 검토할 방침이다. 한국인터넷진흥원은 기술적 유출 경로, 공격 패턴 등 보안 측면을 점검하고, 유사 공격 재발 방지 대책 마련에 나설 것으로 예상된다. 경찰청 역시 쿠팡이 수사의뢰한 내부 직원 혐의와 해외 서버 활용 정황을 토대로 형사 책임을 규명할 계획이다.

 

전문가들은 대형 온라인 플랫폼을 중심으로 반복되는 개인정보 유출이 개별 기업의 보안 실패를 넘어 구조적 문제로 이어지고 있다고 진단한다. 특히 휴면·탈퇴 회원 정보 관리, 내부 인력에 대한 접근권한 통제, 장기간 이상 징후 탐지 시스템의 작동 여부 등을 종합적으로 점검해야 한다는 지적이 제기된다.

 

쿠팡은 “심려를 끼쳐 드린 점에 대해 다시 한번 진심으로 사과의 말씀을 드리며 쿠팡을 사칭하는 전화, 문자 등에 각별한 주의를 부탁드린다”며 “모든 임직원은 고객님의 불편과 심려를 신속하게 해소할 수 있도록 최선의 노력을 다하겠다”고 밝히고 있다. 그러나 개인정보보호위원회 조사와 경찰 수사가 진행 중인 만큼, 책임 범위와 제도 개선 방향을 둘러싼 논의는 당분간 이어질 것으로 보인다.

오태희 기자
share-band
밴드
URL복사
#쿠팡#개인정보유출#박대준대표