“쿠팡 고객 3,370만 계정 노출”…중국인 전 직원 해외 출국 속 수사 난항 우려

쿠팡에서 약 3,370만 개 고객 계정의 개인정보가 노출된 사고가 발생하며, 유출 행위에 중국 국적 전 직원이 연루된 정황이 드러나 수사와 제도 관리 체계에 대한 우려가 커지고 있다.

30일 유통업계와 연합뉴스 보도 등을 종합하면, 쿠팡은 전날 오후 내부 공지를 통해 “고객 계정 약 3,370만 개가 무단으로 노출된 것으로 확인됐다”고 밝혔다. 서울경찰청 사이버수사대는 지난 25일 쿠팡으로부터 고소장을 제출받고 개인정보 유출 경위에 대한 수사에 착수했다.

쿠팡 고객 정보는 쿠팡에 근무했던 중국 국적자가 유출한 것으로 알려졌다. 해당 직원은 이미 퇴사해 한국을 떠난 상태인 것으로 전해졌다. 고소장에는 피고소인이 ‘성명불상자’로 기재돼 있으나, 쿠팡은 이번 사고가 해킹 등 외부 요인보다는 내부 인력의 비인가 조회에 따른 것임을 시사했다.

쿠팡은 30일 오전 고객들에게 문자 메시지를 보내 사고 사실을 공식 통지했다. 쿠팡은 안내문에서 “고객님의 소중한 개인정보가 일부 노출되는 사고가 발생했다”며 “이번 노출을 인지한 즉시 관련 당국에 신속하게 신고했다”고 밝혔다. 이어 “이번 사건은 비인가 조회로 파악되었으며 경찰청, 개인정보보호위원회, 한국인터넷진흥원 등 관련 당국과 협력해 조사 중에 있다”고 설명했다.

현재까지 쿠팡이 파악한 유출 범위는 고객 이름, 이메일 주소, 배송지 주소록(입력된 이름·전화번호·주소), 주문 정보 등이다. 쿠팡은 “고객님의 카드 정보 등 결제 정보 및 패스워드 등 로그인 관련 정보는 노출이 없었음을 확인하였으며 안전하게 보호되고 있다”고 강조했다.

쿠팡은 문제가 된 접근에 대해 “해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정한다”고 밝혔다. 회사 측은 비정상 접근 경로를 즉시 차단하고 내부 모니터링을 강화했다고 덧붙였다. 또 “쿠팡을 사칭하는 전화, 문자 등에 각별한 주의를 부탁드린다”며 2차 피해 예방을 당부했다.

이번 사고는 외부 해킹이 아닌, 내부 전·현직 인력에 의한 비인가 접근 가능성이 제기되면서 대규모 플랫폼 기업의 내부 통제와 접근 권한 관리 실태가 핵심 쟁점으로 부상하고 있다. 직원 계정 관리, 해외 인력에 대한 보안 검증과 퇴사 이후 계정 회수 절차 등이 적정했는지 여부가 향후 조사 대상이 될 전망이다.

감독 당국도 조사에 나섰다. 쿠팡은 이 사고를 지난 18일 인지한 뒤, 20일과 29일 두 차례에 걸쳐 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위원회는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반이 확인될 경우 과징금 부과 등 엄정 제재를 예고했다.

과학기술정보통신부는 민·관 합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 조사단은 유출 경로, 내부 접근 통제의 적정성, 탐지·경보 시스템의 작동 여부, 해외 서버 활용 방식 등을 검증할 계획이다.

한편, 유출 규모가 수천만 개 계정에 이르는 만큼, 실제 피해 사례가 본격화될 경우 집단소송 등 법적 분쟁으로 번질 가능성도 제기된다. 전문가들은 스미싱, 스팸, 맞춤형 피싱 등 2차 범죄 위험이 높은 만큼, 이용자들에게 출처가 불분명한 링크 접속과 개인정보 추가 제공 요구에 각별한 주의를 당부하고 있다.

경찰과 감독 당국의 조사 결과에 따라 쿠팡의 책임 범위와 제도 개선 과제가 드러날 전망이다. 수사기관은 해외로 출국한 것으로 알려진 관련자 추적과 공모 여부 등을 계속 확인할 계획이다.