[앵커]국내 이커머스 시장 1위 업체인 쿠팡에서 사실상 모든 회원의 개인정보가 유출됐습니다.
이번 유출은 외부의 사이버 공격보다는 내부자의 소행으로 좁혀지면서 쿠팡의 부실한 관리가 도마에 오르고 있습니다.
특히 반년 전부터 고객 정보가 새나갔을 가능성이 있어 소비자들의 불안이 증폭하는 상황입니다.
산업부 출입하는 정석호 기자와 자세한 얘기 나눠보겠습니다. 정석호 기자
[기자]네.
박종민 기자
[앵커]쿠팡에서 유출된 개인정보가 무려 3천만개가 넘습니다. 파장이 일파만파로 퍼지고 있는데요.
[기자]네. 쿠팡은 조사를 통해 고객 계정 약 3370만개가 무단 노출됐다고 발표했습니다. 쿠팡이 보름 전쯤에 약 4500개의 개인정보가 노출돼 당국에 신고했다고 했는데요, 노출을 인정했던 정보의 약 7500배가 불어난 겁니다. 이 정도면 사실상 모든 고객의 정보가 샜다고 봐야할 것 같습니다.
앞서 2011년 싸이월드와 네이트 회원 정보 유출 당시, 중국 해커에 의해 3500만명의 고객 정보가 유출된 적 있는데요. 이번 쿠팡 사태는 이에 버금가는 규모입니다. 올해 4월 SK텔레콤 해킹 때 노출된 개인정보 2700만명보다도 많습니다.
[앵커]구체적으로 어떤 정보가 노출된 겁니까?
[기자]이름과 이메일 주소, 전화번호와 주소가 포함된 배송지 주소록이 포함됐고요. 일부 주문 내역 정보까지 새나간 것으로 파악됐습니다. 불행 중 다행이라고 해야 할지 모르겠지만, 결제 정보나 신용카드 번호와 같은 민감한 정보는 노출되지 않았습니다.
우선 쿠팡 측은 노출 사태에 대해 사과했습니다. 박대준 대표의 사과 들어보시죠.
[쿠팡 박대준 대표]
"피해를 입으신 쿠팡의 고객들과 국민들에게 심려를 끼쳐드려서 너무 죄송한 말씀과 사과의 말씀을 드리고 싶습니다"
박종민 기자[앵커]이렇게 많은 양의 정보가 노출됐다는 게 잘 이해가 되지 않는데요. 쿠팡은 전혀 인지를 하지 못한 겁니까?
[기자]쿠팡이 유출 사실을 인지한 시점은 지난 6월24일로 약 5개월 전입니다. 당시 해외 서버를 통해 누군가 쿠팡 서버에 접근한 것으로 추정하고 있는데요. 수개월에 걸쳐 정보가 노출됐을 가능성이 있는 상황인데, 그동안 쿠팡에서는 인지조차 하지 못한 겁니다.
그동안 쿠팡은 자사의 높은 보안 수준을 홍보했는데요. 해커 입장에서 서버 취약점을 찾는 '레드팀'과 대응을 맡는 '고스트팀'을 운영하고 있다고 밝힌 바 있는데, 전혀 무용지물이었던 셈입니다.
[앵커]쿠팡 정도 규모의 회사에서 어떤게 보안 시스템이 전혀 작동하지 않을 수 있었습니까?
[기자]정부는 쿠팡의 서버 인증 체계가 취약했다고 보고 있습니다. 정부가 현장 조사를 진행 중인데요. 현재까지는 서버 인증이 취약한 틈을 타, 정상적인 로그인 없이 개인 정보를 유출한 것으로 나타났습니다. 배경훈 부총리 겸 과기정통부 장관의 말 들어보시죠.
[배경훈 부총리 겸 과학기술정보통신부 장관]
"정부는 면밀한 사고 조사 및 피해 확산 방지를 위해 금일부터 민간합동조사단을 가동하고 있으며 쿠팡이 개인정보 보호와 관련한 안전조치 의무를 위반하였는지 여부도 조사 중에 있습니다"
연합뉴스[앵커]심지어 내부자의 소행일 가능성이 높다는 얘기가 나오는데요. 그렇다면 더 심각한 것 아닙니까?
[기자]맞습니다. 쿠팡이 경찰에 신고한 내용에 따르면 중국 국적의 전직 쿠팡 직원이 해외 서버를 통해 정보를 빼돌렸을 가능성이 제기되고 있습니다. 현재까지 알려진 바로는, 쿠팡이 장기 유효 인증키를 방치한 상황에서, 내부 직원이 이를 악용한 것으로 파악되고 있습니다.
[앵커]조금 더 자세히 설명해주시죠.
[기자]서버에 로그인을 할 때 '인증 토큰'이라는 것을 발행합니다. 일종의 출입증인데요. 이 토큰이 있으면 시스템에 자유롭게 접근할 수 있지만, 통상 보안 때문에 토큰이 일정 시간 후 폐기됩니다. 그런데 이 토큰을 생성할 수 있도록 하는 게 이 '유료 인증키'입니다. 즉 쿠팡이 문제의 직원 퇴사 후에도 서명키를 삭제하지 않았다면, 이 직원이 자유롭게 쿠팡 서버에 접속할 수 있었다는 겁니다.
여기에 해당 직원이 이 인증 관련 담당자로 알려지면서, 논란이 더 커질 것으로 보입니다. 경찰이 현재 용의자를 추적하고 있는데요, 사실로 드러날 경우 쿠팡의 내부 보안은 그야말로 총체적 난국이라는 비판을 피하기 어렵습니다.
[앵커]소비자들의 불안이 클 것 같습니다. 주의해야 할 2차 피해같은 건 없을까요?
[기자]카드 번호와 같은 민감 정보는 유출되지 않았지만, 이름과 연락처 등 개인정보가 줄줄이 샜기 때문에, 다른 범죄에 활용될 수 있습니다. 스미싱이나 보이스피싱, 결제 유도 전화 같은 시도가 있을 수 있는데요. 구체적으로 쿠팡 유출과 관련해 피해사실 조회나 환불 등을 미끼로 악성 앱을 설치하도록 유도할 수 있습니다.
[앵커] 일부 소비자들은 집단소송도 진행 중이라고 하는데 규모가 상당할 것으로 보입니다.
[기자]아직 실제 소송까지 이어지지는 않았지만, 온라인을 중심으로 집단소송 모집이 이뤄지고 있습니다. 카카오톡의 경우 오픈 채팅방이 수십개 생겨났고 일부는 정원 3천명을 채웠습니다. 소송을 진행하겠다는 한 네이버 카페 회원 가입자는 1만명을 훌쩍 넘었습니다.
업계에서는 집단소송이 실제 진행되면, 역대 최대 배상액이 나올 수 있다는 관측이 제기됩니다. 과거 사례로 보면 1인당 배상액은 10만원 정도로 추정되지만, 유출 계정이 3천만개를 넘는 만큼 참여 인원이 상당할 것으로 보이기 때문입니다.
[앵커]이번 쿠팡 사례로 이커머스 업체들이 긴장할 것 같습니다.
[기자]맞습니다. 쿠팡의 정보보호 투자액 비중을 보면 삼성전자와 KT 다음으로 많은 수준이거든요. 대규모 예산을 쓰고도 치명적인 정보 유출을 겪으면서 다른 업체들이 긴장하고 있습니다. 지마켓이나 쓱닷컴 등 이커머스 업체들은 긴급 내부 점검에 나섰고요. 특히 쿠팡 사태 여파로 중국 업체와 협업하는 기업은 유독 긴장하는 분위깁니다.
[앵커]네. 여기까지 듣겠습니다. 지금까지 정석호 기자였습니다.