박종민 기자국내 e커머스 1위 쿠팡에서 고객 정보가 장기간 외부에 무단 노출됐지만 회사가 이를 5개월이 지나서야 뒤늦게 대응에 나선 것으로 확인됐다. 유출 규모가 3천만 건을 넘어 사실상 대부분의 고객이 영향을 받은 것으로 보인다.
30일 유통업계와 관계 당국에 따르면 쿠팡은 전날 공지를 통해 "해외 서버를 통한 비정상 접근이 지난 6월 24일부터 있었던 것으로 추정된다"며 "약 3370만 개 고객 계정에서 이름·전화번호·주소·이메일·일부 주문 정보가 노출됐다"고 밝혔다. 결제 정보와 신용카드 번호 등 금융 정보는 포함되지 않았다.
쿠팡은 이달 18일 내부 점검 과정에서야 유출 정황을 확인했고, 20일과 29일 두 차례에 걸쳐 개인정보보호위원회에 신고했다. 정보 탈취 시도와 공식 인지 사이에 수개월의 간극이 드러나면서 보안 관리 체계에도 허점이 있었던 것 아니냐는 지적이 나온다.
개인정보보호위원회는 현재 사고 경위를 조사 중이며, 안전조치 의무 위반 여부가 확인되면 관련 법령에 따라 조치하겠다는 방침이다. 과학기술정보통신부도 민관합동조사단을 구성해 기술적 원인 분석과 재발 방지책 마련에 나섰다.
경찰도 수사에 착수했다. 서울경찰청 사이버수사대는 25일 쿠팡이 제출한 고소장을 접수하고 관련 자료 확보와 디지털 포렌식 절차를 진행하고 있다.
소비자 불안도 커지고 있다. 쿠팡이 지난 20일 유출 규모를 약 4500건이라고 밝혔다가 불과 나흘 만에 이를 3천만 건대로, 약 7500배 많은 수준으로 재산정하면서 "피해 범위가 더 있을 수 있다"는 우려가 제기된다. 쿠팡이 올해 3분기 실적 발표에서 밝힌 활성 고객 수(약 2470만 명)를 웃도는 규모여서 사실상 '전 계정 유출' 가능성도 거론된다.
이번 사고는 국내 개인정보 유출 사례 가운데 최대 규모로, 과거 2324만 명이 영향을 받은 SK텔레콤 사례보다 피해 범위가 큰 것으로 분석된다.
쿠팡은 "금융 정보는 유출되지 않은 것으로 파악된다"며 "원인 규명과 보안 조치를 진행 중"이라고 밝혔다.