국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 정보 유출 사고가 발생하면서 소비자들의 불안이 커지고 있다. 특히 5개월 전부터 정보가 유출됐을 가능성까지 제기되면서 2차 피해가 발생하는 것 아니냐는 우려가 나온다. 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나섰고 경찰은 이번 사태에 대한 수사에 착수했다.
30일 유통업계에 따르면 쿠팡은 전날 오후 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”고 공지했다. 노출된 정보는 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러면서 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 설명했다. 개인정보 탈취 시도가 이미 5개월 전에 시작됐다는 것이다.
쿠팡은 이 사고를 지난 18일 인지하고 이어 20일과 29일 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다.
아울러 과학기술정보통신부는 이날 배경훈 부총리 겸 과학기술정보통신부 장관, 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무대행 등이 참석한 가운데 정부서울청사에서 관련 긴급 관계부처 장관회의를 개최했다. 배 부총리는 회의에서 “공격자가 쿠팡 서버 취약점을 악용해 정상 로그인 없이 3000만개 이상 고객 이름, 이메일, 배송지 및 전화번호를 유출한 것으로 확인됐다”고 밝혔다. 이어 “면밀한 조사와 피해 확산 방지를 위해 민관 합동 조사단을 가동 중이며 개인정보 보호 관련 안전 조치 의무를 위반했는지 여부도 조사 중”이라고 설명했다.
서울경찰청 사이버수사대도 최근 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아 개인 정보 유출 사태에 대한 수사에 착수했다. 특히 외부 해킹이 아니라 중국 국적의 내부 직원으로 현재 퇴사한 직원이 혐의를 받고 있는 것으로 알려졌다.
쿠팡에서 대규모 정보 유출 사고가 발생하면서 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 지난 6월부터 정보 탈취 시도가 있었던 것으로 확인된 만큼 정보 유출이 수개월에 걸쳐 이뤄졌을 가능성이 제기된다.
또한 쿠팡의 이번 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)를 뛰어넘는 규모다. 다른 기업들의 보안 관련 사고에서도 당국의 조사가 진행되면서 피해 규모는 더 커졌다.
앞서 사이버 침해 사고가 발생한 롯데카드의 경우 지난 9월 4일 사과문에서 “현재까지 조사한 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다”고 공지했으나 그로부터 2주 뒤에는 카드번호뿐 아니라 CVC번호 등 민감 정보까지 유출됐다고 밝혔다.
KT도 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹이 제기돼 경찰이 강제수사에 착수했다. 최근 국정감사에서 택배 기사·물류센터 노동 문제와 쿠팡풀필먼트서비스(CFS) 퇴직금 미지급 사건 관련 수사 외압 의혹으로 질타를 받은 쿠팡은 이번 정보 유출 사고로 궁지에 몰리게 됐다.
박대준 쿠팡 대표는 이날 관계부처 장관회의에 참석해 “국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다”면서 “민관합동조사단과 긴밀히 협력해 추가 피해 예방을 위해 최선을 다하겠다. 앞으로도 고객 정보의 안전과 보안을 최우선으로 생각하겠다”고 밝혔다.
이화연 기자 hylee@segye.com
