CloudPNG

ºC

logo
IT/바이오

쿠팡 개인정보 대량 노출 논란…사과문 삭제로 역풍 확산

장예원 기자
입력

쿠팡의 대규모 개인정보 노출 사고가 국내 전자상거래 플랫폼 보안 체계 전반에 대한 불신으로 번지고 있다. 고객 계정 3000만건 이상이 외부에서 무단으로 접근된 상황에서, 쿠팡이 공개 사과문을 게시 사흘 만에 삭제해 논란이 커졌다. 업계에서는 이번 사태를 전자상거래 산업의 데이터 보호 경쟁 구도를 뒤흔들 수 있는 분기점으로 보고 있다. 플랫폼 기업의 기술 보안 역량뿐 아니라, 사고 공지 방식과 피해자 커뮤니케이션 전략까지 규제·정책 논쟁의 쟁점으로 떠오르는 분위기다.  

 

2일 업계에 따르면 쿠팡은 지난달 30일 모바일 앱과 PC 웹페이지 상에 게재했던 정보 노출 관련 사과문을 사흘 만에 내렸다. 쿠팡은 사과문 삭제 전까지 팝업 공지 형태에서 화면 상단 좌측 배너로 위치를 옮기는 등 노출 방식을 조정해 왔다.  

이번 사고는 지난달 29일 쿠팡이 고객 계정 약 3370만건에 대한 무단 접근 사실을 공개하면서 알려졌다. 이름과 이메일, 전화번호, 주소 등 생활정보가 포함된 계정 데이터가 6월 24일부터 외부에 노출된 것으로 파악되고 있다. 전자상거래 플랫폼 특성상 주문 이력과 배송지 정보가 결합된 데이터라는 점에서, 이용자들은 스팸·스미싱 메시지와 보이스피싱으로 이어질 2차 피해를 우려하고 있다.  

 

쿠팡은 사과문에서 ‘개인정보 유출’ 대신 ‘개인정보 노출’이라는 표현을 사용하고, 무단 접근 사실을 수동태 문장으로 서술해 비판을 받았다. 누리꾼들은 “페이지 전체를 써서 사과문을 공지해도 모자랄 판에 팝업을 배너로 바꾸더니 지금은 삭제까지 했다”며, 사고의 심각성을 축소하려는 시도로 해석하고 있다.  

 

정치권도 문제를 제기했다. 한민수 더불어민주당 의원은 국회 과학기술정보방송통신위원회 긴급 현안질의에서 “국민 4명 중 3명의 정보가 유출된 심각한 상황에서 사과문을 내린 것은 명백한 국민 기만”이라고 비판했다. 사실상 국내 활동 인구 상당수의 데이터가 영향을 받았을 수 있는 만큼, 사고 내용과 경위를 투명하게 공개해야 한다는 주장이다.  

 

현안질의에 출석한 박대준 쿠팡 대표는 “2차 피해로 불안해하는 고객들을 고객센터로 유입해 별도 이메일 공지로 상세 공지와 사과문을 보내려 준비 중”이라고 해명했다. 대중 노출형 사과문보다 개별 안내 중심의 커뮤니케이션 전략을 택하겠다는 설명이지만, 이용자 입장에서는 사고 인지조차 못 한 피해자가 상당수일 수 있다는 점에서 공지 축소라는 반발이 만만치 않다.  

 

시민단체는 쿠팡의 초기 대응과 정보 제공 수준을 강하게 비판하고 있다. 참여연대는 “주문 조회나 배송 정보 기반의 스팸·스미싱 문자로 2차 피해가 우려된다”며, “쿠팡은 피해 국민들에게 충분한 정보와 납득할 만한 보상대책을 내놓아야 한다”고 촉구했다. 특히 사고 발생 시점이 6월 24일로 추정되는데도, 쿠팡이 7월 말이 돼서야 노출 사실을 공개한 점을 문제 삼고 있다.  

 

정보보안 업계에서는 이번 사고가 국내 전자상거래 플랫폼의 보안 아키텍처와 침해 탐지 체계 전반을 재점검하는 계기가 될 것으로 본다. 이용자 계정 1건마다 이름과 연락처, 배송지 정보가 함께 관리되는 구조에서는 단일 침해 사고가 곧 대규모 생활 데이터 노출로 이어질 수 있기 때문이다. 데이터베이스 분리 저장, 민감도에 따른 암호화 수준 차등 적용, 이상 로그인 탐지 고도화 같은 기술적 조치와 더불어 사고 인지 후 공지까지 걸리는 시간을 줄이는 사고 대응 프로세스 개선이 핵심 과제로 꼽힌다.  

 

글로벌 시장에서는 전자상거래 플랫폼의 개인정보 보호가 이미 규제 경쟁 단계에 들어갔다. 유럽연합의 일반개인정보보호법과 미국 캘리포니아 소비자프라이버시법 등은 대규모 정보 유출 시 지체 없는 통지 의무와 막대한 과징금을 부과한다. 국내에서도 개인정보보호법과 정보통신망법을 통해 일정 수준의 통지·보상 기준이 정해져 있지만, 실제 집행 강도와 플랫폼 기업의 내부 통제 수준은 해외 선도 사례에 비해 미흡하다는 지적이 반복돼 왔다.  

 

전문가들은 이번 쿠팡 사태가 전자상거래와 디지털 플랫폼 산업 전반의 전환점이 될 수 있다고 본다. 기술적으로는 계정·배송 정보를 최소 수집·분산 저장하는 구조로의 개편, 보안 사고 탐지 자동화, 외부 침해 시뮬레이션을 상시 수행하는 ‘레드팀’ 운영 등 고도화된 보안 체계 도입이 과제로 떠오르고 있다. 동시에 사고 발생 이후 기업이 어떤 용어를 사용해 어떻게 알리고, 어떤 기준으로 보상과 재발 방지책을 내놓는지가 기업 신뢰도와 이용자 이탈을 가르는 변수로 부상하고 있다.  

 

전자상거래 업계는 이번 논란이 규제 강화와 과징금 상향, 집단소송제 논의로까지 연결될 수 있다고 보고 촉각을 곤두세우고 있다. 산업계에서는 쿠팡의 후속 조치와 정부 조사 결과에 따라 데이터 보호를 둘러싼 새로운 규범이 자리 잡을 수 있다며, 기술과 윤리, 산업과 제도 간 균형이 플랫폼 성장의 필수 조건으로 굳어지고 있다고 평가하고 있다.

장예원 기자
share-band
밴드
URL복사
#쿠팡#정보유출#개인정보보호