국내 전자상거래 1위 업체 쿠팡에서 사실상 모든 가입 고객의 개인정보가 무단으로 유출되는 대규모 사고가 발생했다. 3300만 개에 달하는 개인정보 유출 사태를 5개월간 인지하지 못한 쿠팡은 경찰에 이번 사고에 대한 고소장을 접수해 뒤늦게 대응에 나섰다.
30일 경찰에 따르면 서울경찰청 사이버수사대는 이달 25일 쿠팡 측으로부터 이번 개인정보 유출 사태에 대한 고소장을 접수해 정식 수사에 착수했다. 이와는 별개로 쿠팡은 이달 19일과 20일 관련 내용을 개인정보보호위원회에 신고했다. 현재 개인정보보호위원회는 관련 조사를 진행하고 있으며, 개인정보보호법상 안전조치 의무 위반 사항이 적발될 경우 엄정하게 대응하겠다는 방침이다. 과학기술정보통신부도 민관합동조사단을 구성해 사고 원인 분석에 나섰다.
쿠팡은 전날 고객들을 상태로 공지사항을 전달하며 “소중한 개인정보가 일부 노출되는 사고가 발생해 인지한 즉시 당국에 신속하게 신고했다”며 “이번 사건은 비인가 조회로 파악됐으며 경찰청, 개인정보보호위원회, 한국인터넷진흥원 등 관련 당국과 협력해 조사 중에 있다”고 밝혔다.
현재까지 조사를 통해 확인한 결과 쿠팡에서 유출된 고객 계정은 약 3370만 개로, 사실상 모든 가입 고객의 정보가 외부로 유출된 것으로 파악됐다. 올해 3분기 기준 쿠팡에서 한 차례라도 물건을 구매한 이력이 있는 ‘활성 고객’은 2470만 명이다. 앞서 이달 20일 쿠팡은 정보 유출 피해 고객 계정이 4500개라고 발표했지만 불과 9일 만에 3370만여 개의 계정이 유출됐다고 재공지했다. 쿠팡에 따르면 이번 유출 사고의 시작 시점은 약 5개월 전인 지난 6월 24일이다. 당시 해외 서버를 통해 신원 불상의 인물이 비인가 접근을 통해 개인정보를 조회한 것으로 추정되고 있으며 외부 침입 흔적은 발견되지 않았다.
쿠팡에 따르면 노출된 정보는 이름, 이메일 주소, 배송지 주소록, 주문정보 등이다. 다만 쿠팡은 카드정보 등 결제정보와 비밀번호 등 로그인 관련 정보는 노출되지 않았다고 전했다. 쿠팡 측은 “비정상 접근 경로를 즉시 차단했고 내부 모니터링을 한층 더 강화했다”며 “ 쿠팡을 사칭하는 전화, 문자 등에 각별한 주의를 부탁한다”고 덧붙였다.
다만 피해 규모나 범위는 더욱 늘어날 가능성이 크다. 앞서 올해 정보 유출 사고가 있었던 롯데카드의 경우 자체 조사를 진행한 뒤 ‘고객 정보 유출 사실이 없다’고 공지했었지만, 당국의 조사를 거친 후 불과 2주 뒤에 카드번호뿐만 아니라 CVC 등 민감 정보까지 새어나갔다고 재공지했다. 마찬가지로 고객 개인정보 유출 사태를 겪은 KT의 경우 아예 사고를 은닉하기 위해 서버를 폐기하려 시도했다는 의혹이 당국의 조사를 통해 제기됐다. 경찰은 이달 19일 KT 판교 사옥 정보보안실 및 방배 사옥을 상대로 압수수색을 진행하는 한편, 이 사안의 총괄자로 지목된 황태선 KT 정보보안실장을 위계에 의한 공무집행방해 혐의로 입건했다.
더 큰 문제는 2차 피해다. 이번 사고 규모는 단순 유출 계정 건만 따졌을 때 올해 발생했던 최악의 개인정보 유출 사고였던 SK텔레콤 사태보다 크다. SK텔레콤의 유출 정보는 2700만건이었는데, 쿠팡은 이보다 약 1000만 건이 많은 셈이다. 쿠팡의 경우 개인정보 유출이 6개월 전에 이뤄졌다는 점을 감안하면 이미 해외 보이스피싱 조직 등에 정보가 흘러갔을 가능성도 크다. SK텔레콤은 개인정보보호위원회로부터 역대 최대 규모에 해당하는 1348억 원의 과징금 처분을 받았던 만큼 쿠팡 또한 수천억 원대의 과징금을 피해갈 수 없을 것으로 보인다.
경찰 관계자는 “고소장을 접수한 만큼 수사를 통해 범행 경위와 규모 등을 신속하게 파악할 방침”이라고 밝혔다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
vegemin@sedaily.com
