박종민 기자쿠팡이 올해 정권 교체 이후 범여권 핵심 인사들을 대거 영입하며 대관력 강화에는 기를 쓰면서, 정작 사실상 모든 고객 정보가 털린 초대형 해킹 사태에는 미온적으로 대응했다는 비판이 쏟아지고 있다.
쿠팡은 당초 약 4500명의 정보만 유출됐다고 주장했지만, 실제 드러난 피해 규모는 7500배가 불어난 3370만 명에 달했다. 내부 인증키를 장기간 방치한 구조적 문제가 원인이라는 지적까지 제기되면서 '쿠팡 포비아'가 확산하고 있다.
3370만 계정 유출…"사실상 모든 고객 정보가 샜다"
2일 유통업계와 정치권 등에 따르면, 국내 이커머스 1위 쿠팡에서 3370만개의 고객 계정 정보가 무단 유출됐다. 이름, 이메일, 휴대전화 번호, 주소록, 일부 주문 내역까지 해킹 대상에 포함돼 피해가 광범위하다. 민감 금융정보는 포함되지 않은 것으로 파악됐지만, 핵심 개인정보가 대규모로 노출되면서 스미싱·보이스피싱 등 2차 피해 우려가 높아졌다.
쿠팡은 불과 2주 전만 해도 "4500개의 개인정보가 노출됐다"고 발표했다. 그러나 이후 조사 결과 사실상 전체 고객 정보가 털린 것으로 확인되면서 피해 축소 보고 의혹에 휩싸였다.
더 큰 문제는 중대 사고가 반년 가까이 방치돼 있었다는 점이다. 쿠팡 자체 조사와 정부 발표에 따르면, 무단 접근은 지난 6월 24일부터 시작된 것으로 추정된다. 하지만 쿠팡이 해당 사실을 인지한 시점은 11월 18일이다. 5개월 동안 시스템 침입을 전혀 감지하지 못한 것이다.
쿠팡 측은 이번 유출이 외부 해커가 아닌 중국 국적의 전직 쿠팡 직원에 의해 이뤄졌을 가능성에 주목하고 있다. 해당 인물은 쿠팡 서버 인증 체계에 사용되는 서명키(인증키) 관련 업무를 담당했던 것으로 알려졌다. 더 나아가 업계에서는 이 직원이 해당 인증 체계를 직접 개발한 사람이라는 주장까지 제기된다.
쿠팡은 해당 직원 퇴사 이후에도 인증키를 갱신하거나 폐기하지 않았던 것으로 알려졌다. 이 서명키가 살아 있는 동안, 내부자는 정식 인증 절차 없이 자유롭게 서버에 접근할 수 있었고, 이를 통해 방대한 고객 정보가 장기간 유출된 것으로 추정된다.
"단순 내부자 일탈 아니다"…쿠팡의 구조적 보안 실패
연합뉴스그러나 이번 대규모 해킹 사태를 단순히 내부자 개인의 일탈로 넘겨서는 안 된다는 지적이 지배적이다. 국회 과학기술정보방송통신위원회 최민희 위원장은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 꼬집었다.
쿠팡은 자신들이 '레드팀·고스트팀'을 운용한다고 홍보했지만, 시스템 내부 인증 체계가 무너져 있었던 만큼 사실상 보안 기능이 작동하지 않았다는 평가가 나온다. 정부와 경찰 역시 쿠팡이 개인정보 보호 관련 안전조치 의무를 위반했는지 여부를 조사 중이다.
대규모 유출 소식이 전해지면서 소비자 불안은 급격히 커지고 있다. 오픈채팅방·카페 등을 중심으로 집단소송 인원이 수천~수만명 규모로 모이고 있으며, 법조계에서는 참여 인원에 따라 역대 최대 배상액이 나올 가능성까지 언급하고 있다.
노출된 개인정보를 이용한 피싱·스미싱·결제 유도 사기가 증가할 수 있다는 우려도 제기된다. 전문가들은 쿠팡을 사칭한 앱 설치 요구나 환불·보상 안내를 가장한 문자에 각별한 주의를 당부하고 있다.
그 사이 쿠팡은 로비에 '올인'…대관 조직 100명 넘어
박대준 쿠팡대표가 회의장을 나서며 공개 사과한 뒤 밖으로 나서고 있다. 연합뉴스물밑에서는 대규모 해킹 사태가 진행되고 있었지만, 쿠팡은 정보 유출 사실도 모른 채 지난 7월 대통령실·지자체 대응을 전담하기 위한 별도의 사회공헌위원회를 새로 꾸리며 대관 역량 강화에 집중했다. 해당 위원회는 기존 국회·정당 대응 중심의 대관팀과는 별도로, 대통령실·지자체 등을 전담하기 위한 새로운 조직이었다.
이 위원회에는 올해 이재명 정부 출범에 발맞춰 더불어민주당·조국혁신당 등 범여권 출신 주요 인사들이 대거 합류하며, 사실상 '정책·행정 라인' 공략 창구 역할을 맡았다.
쿠팡은 특히 위원회가 출범한 달에 혁신당 조국 대표의 비서실장을 지낸 조용우 부사장을 영입해 이 신규 조직에서 중책을 맡겼다. 사회공헌위원회 내부에는 조 부사장을 중심으로 대통령실을 직접 담당하는 별도 팀까지 운영 중인 것으로 알려졌다.
이 밖에도 민주당 정청래 대표, 김병기 원내대표 보좌진 출신 인사들이 잇따라 사회공헌위원회에 합류하며 쿠팡의 '정·관 라인 업그레이드' 작업이 본격화됐다는 평가가 나왔다.
업계에서는 쿠팡의 대관 인력이 100명을 넘는 것으로 추정한다. 이는 일반 유통기업에서는 찾아보기 힘든 규모다. 쿠팡은 대규모 대관 인력을 토대로 전국 물류센터를 기반으로 기초단체까지 네트워크를 확장하며 정치·행정 라인을 촘촘히 관리해 왔다.
최근 100여명의 대관 인력들의 최대 화두는 지난 10월에 있었던 국회 국정감사 시즌 동안 오너 김범석 의장을 지키는 것이었다. 당시 국회 정무위원회는 쿠팡 김 의장을 국정감사 증인으로 두 차례 소환했다. 국내 매출 대부분을 책임지는 플랫폼 기업의 경영책임을 묻기 위한 자리였지만, 김 의장은 모두 '해외 체류 중'을 이유로 불출석했다.
정치권 내에서는 쿠팡의 대관 조직이 로비에는 공격적이면서도, 국민에게 책임을 설명해야 할 자리는 속속 빠져나가고 있다는 지적이 나왔다.
한 업계 관계자는 "쿠팡은 대관·정무 라인을 업계 최고 수준으로 키웠지만, 고객 정보 보호 체계는 최소한의 기본조차 지키지 못한 것으로 드러났다"며 "기업의 우선순위가 무엇이었는지 단적으로 보여준 사례"라고 말했다.