“내부 직원, 해외 서버로 고객 정보 유출”…쿠팡 3천3백만 계정 노출 파문

쿠팡에서 대규모 개인정보 유출 사고가 발생해 온라인 유통업계 전반에 경고등이 켜졌다. 내부 직원이 해외 서버를 통해 고객 정보를 무단으로 빼돌린 정황이 드러나면서 보안 관리와 내부 통제의 허점이 도마에 올랐다.

쿠팡은 29일 “약 3천370만 개 고객 계정의 개인정보가 노출됐다”며 피해 고객들에게 안내 문자를 발송했다고 밝혔다. 이번에 확인된 노출 정보에는 이용 고객의 이름, 이메일 주소, 배송지 주소록, 전화번호, 주소, 주문정보 등이 포함된 것으로 전해졌다.

쿠팡 측은 “쿠팡을 이용해주시는 고객님께 진심으로 사과드린다. 고객님의 소중한 개인정보가 일부 노출되는 사고가 발생했다”며 “이번 노출을 인지한 즉시 관련 당국에 신속하게 신고했다”고 설명했다. 회사는 사고 성격에 대해 “비인가 조회로 파악됐다”고 밝히며 무단 접근이 이뤄졌다고 전했다.

다만 쿠팡은 “카드정보 등 결제정보 및 패스워드 로그인 관련 정보는 노출이 없었음을 확인했으며 안전하게 보호되고 있다”며 “비정상 접근 경로를 즉시 차단했고 내부 모니터링을 강화했다”고 강조했다. 실제로 현재까지 결제수단 정보나 계정 비밀번호가 유출됐다는 정황은 확인되지 않은 상태다.

이번 사안은 쿠팡이 내부 통제 강화 차원의 자체 점검을 벌이던 과정에서 처음 포착된 것으로 알려졌다. 쿠팡은 지난 18일 자체 점검 중 약 4천500개의 계정 정보가 외부에 노출된 흔적을 확인했고, 이후 추가 조사를 통해 무단 접근이 훨씬 광범위하게 이뤄져 총 3천370만 개 계정 정보가 유출된 사실을 파악했다고 설명했다.

TV조선 단독 보도에 따르면 유출에 사용된 경로는 해외 서버로, 쿠팡 내부 직원이 이를 통해 고객 정보를 빼돌린 것으로 추정되고 있다. 쿠팡은 해당 직원에 대해 정보 유출 혐의로 최근 고소장을 제출한 것으로 전해졌다. 경찰청은 쿠팡의 고소를 접수해 수사에 착수한 것으로 알려졌으며, 구체적인 공모 여부와 추가 유출 가능성을 들여다보고 있다.

이번 사건은 개인정보가 회사 내부 인력에 의해 대량 유출됐다는 점에서, 외부 해킹과는 다른 차원의 관리 책임 문제가 제기되고 있다. 외형상 보안 체계를 갖추더라도 접근 권한을 가진 인력이 통제를 벗어날 경우 대규모 피해가 발생할 수 있다는 우려가 커지는 상황이다. 대형 온라인 플랫폼을 중심으로 한 유사 사례 재발 가능성을 우려하는 목소리도 나온다.

쿠팡은 “심려를 끼쳐 드린 점에 대해 다시 한번 진심으로 사과의 말씀을 드리며 쿠팡을 사칭하는 전화, 문자 등에 각별한 주의를 부탁드린다”며 2차 피해 가능성을 경고했다. 아울러 “모든 임직원은 고객님의 불편과 심려를 신속하게 해소할 수 있도록 최선의 노력을 다하겠다”고 전했다.

사고 인지 직후 쿠팡은 개인정보보호위원회, 한국인터넷진흥원(KISA), 경찰청 등 관계 기관에 즉시 신고했으며, 현재 이들 기관과 합동으로 조사와 추가 대응 방안을 논의 중이다. 개인정보위와 KISA는 유출 경로, 내부 관리 소홀 여부, 법령 위반 가능성 등을 검토할 것으로 보인다.

한편, 쿠팡 고객들 사이에서는 실제 피해 규모와 기간, 사전에 이상 징후를 포착하지 못한 이유를 공개하라는 요구가 나오고 있다. 이용자들은 온라인 커뮤니티와 사회관계망서비스(SNS)를 통해 “계정 탈취나 스팸 연락이 늘어날까 우려된다”며 구체적인 보호 대책을 촉구하는 반응을 보이고 있다.

전문가들은 이번 사건을 계기로 대형 플랫폼 기업의 내부자 통제 장치와 로그 관리, 접근 권한 분리 제도를 재점검해야 한다고 지적한다. 경찰과 관계 당국의 조사 결과에 따라 쿠팡의 책임 범위와 후속 제재, 보상 범위를 둘러싼 논란은 당분간 이어질 것으로 보인다.