“쿠팡 고객 4500명 개인정보 노출”…이름·주소·주문 내역까지 뚫렸다

쿠팡 고객 4500명의 개인정보가 외부에 비인가 조회되는 사고가 발생하며 온라인 유통 플랫폼의 보안 관리 실태에 대한 우려가 커지고 있다. 쿠팡은 사고 발생 이틀 뒤인 20일 관련 사실을 고객에게 안내하고 후속 조치에 나섰다.

쿠팡은 20일 고객 공지를 통해 “18일 고객 개인정보가 비인가 조회된 것으로 확인됐다”며 “조회된 정보는 이름, 이메일 주소, 배송지 주소록, 최근 5건의 주문 정보로 확인했다”고 밝혔다. 이번 사고로 노출된 고객은 4500명 규모로 파악되고 있다.

쿠팡은 이상 활동을 탐지한 뒤 “제3자가 사용했던 접근 경로를 차단했다”고 설명했다. 이어 “지금까지 조회한 정보를 이용한 사례는 확인되지 않았다”고 덧붙이며 2차 피해 정황은 현재까지 없는 것으로 파악하고 있다고 전했다.

다만 조회 대상에 배송지 주소록과 최근 주문 정보 등이 포함돼 있어 스팸·보이스피싱, 스미싱 등 범죄에 악용될 가능성을 우려하는 목소리가 나온다. 주문 내역에는 상품 종류나 수취인 정보 등이 포함될 수 있어 고객의 소비 패턴과 생활 정보를 추정하는 데 활용될 소지가 있다는 지적이다.

쿠팡은 “고객 결제와 관련한 정보에 대한 접근은 없었으며 보호되고 있다”며 “쿠팡을 사칭하는 전화와 문자 등에 각별한 주의를 부탁드린다”고 강조했다. 결제 수단 정보는 별도 시스템에서 보호되고 있다는 점을 내세우면서도, 노출된 정보가 피싱 시도에 활용될 수 있다고 보고 이용자 경계를 당부하는 취지다.

쿠팡은 고객들에게 “사과의 말씀을 드린다. 문의사항은 고객센터로 연락해달라”고 안내했다. 아울러 현재까지 파악한 사고 원인과 경과 등을 과학기술정보통신부, 한국인터넷진흥원(KISA), 개인정보보호위원회에 신고했다고 밝혔다. 관계 기관은 관련 법령에 따른 추가 조사와 행정 조치 필요성을 검토할 전망이다.

쿠팡은 지난해 2월에도 개인정보 보호 관련 공지를 게시해 이용자들에게 계정 보안 강화를 당부한 바 있다. 당시 쿠팡은 “피싱 사이트 또는 악성코드에 감염된 단말기 등을 통해 아이디, 비밀번호가 유출되거나, 보안이 약한 일부 사이트에서 유출되는 경우 동일한 정보로 가입한 다른 사이트에서도 연달아 피해가 발생할 수 있다”고 설명했다.

또 “하나의 아이디로 여러 사이트를 이용하시는 경우 비밀번호를 변경하고, 각 사이트별로 다른 비밀번호를 사용할 것”을 권고하며 계정 도용 방지 필요성을 강조했었다. 이어 “이용자 여러분이 안심하고 서비스를 이용하실 수 있도록 노력해오고 있다”며 개인정보 보호 강화를 약속했지만, 이번 사고로 보안 관리 실효성 논란이 재점화되는 양상이다.

전문가들은 대형 플랫폼이 보유한 방대한 거래·행동 데이터의 특성상 작은 규모의 노출 사고라도 파급력이 커질 수 있다고 지적한다. 특히 이름, 이메일, 주소, 주문 내역이 결합된 정보는 범죄 조직이 정교한 맞춤형 피싱 메시지를 제작하는 데 활용될 수 있어 주의가 필요하다는 의견이 제기된다.

개인정보보호위원회와 관계 부처는 쿠팡의 보고 내용을 토대로 관련 법 위반 여부와 재발 방지 대책을 검토할 것으로 보인다. 이용자들 사이에서는 추가 피해 여부에 대한 우려와 함께, 사고 경위와 기술·관리적 보호 조치에 대한 보다 구체적인 설명을 요구하는 목소리도 커지고 있다.

쿠팡은 향후 추가 조사를 통해 사고 원인과 영향 범위를 정밀 분석하고, 관계 기관과 협의해 재발 방지 대책을 마련하겠다는 입장이다. 관계 당국 역시 유출 정보 악용 여부를 모니터링하는 한편, 플랫폼 사업자의 개인정보 보호 체계 전반에 대한 점검을 이어갈 것으로 보인다.