내부 시스템서 이름·주소 등 '비인가 조회'…C커머스로 유출 가능성도

■쿠팡 3370만명 정보 유출…엉터리 보안관리 또 도마위

2011년 네이트 사태 후 최대 규모

해커 아닌 내부통제 실패에 무게

쿠팡, 경찰에 '성명불상자' 고소

땜질식 대응 땐 대형사고 되풀이

온라인 유통 전체로 불신 커질수도

연합뉴스.

e커머스 업계 1위인 쿠팡에서 사실상 모든 고객의 개인정보가 유출되는 사고가 발생하면서 국내 온라인 생태계 전반의 보안 문제가 시험대에 올랐다. 올 들어 롯데카드 등 금융사와 SK텔레콤(017670) 재무분석차트영역상세보기·KT와 같은 통신사에 이어 사실상 온 국민이 사용하는 대표 플랫폼에서도 고객 정보가 털리면서 소비자들의 불안이 커지고 있기 때문이다. 일부에서는 이번 사고가 중국 국적의 쿠팡 전 직원 소행이라는 정황이 알려지면서 지난해부터 한국 시장을 공략하고 있는 C커머스(중국 e커머스 업체)와 연계된 것 아니냐는 관측까지 나온다.

30일 쿠팡과 수사 당국 설명을 종합하면 이번 사고는 올해 6월 24일 시작됐다. 쿠팡 내부 시스템에 대한 비정상적인 접근이 이때부터 나타났는데 쿠팡은 11월 18일에서야 이를 인지했다. 약 5개월 동안 이름·전화번호·주소 등 핵심 인적 정보에 대한 대규모 비인가 조회가 이어졌는데도 관제·탐지 체계가 작동하지 않은 것이다.

사고의 핵심 관계자로는 중국인 전 직원이 지목되고 있다. 이 인물은 현재 쿠팡 소속이 아니며 사고 정황이 포착된 뒤 한국을 떠나 중국에 체류 중인 것으로 전해졌다. 쿠팡은 경찰에 ‘성명불상자’를 고소한 상태지만 실질적으로는 내부 권한을 가진 직원이 회사 시스템을 통해 정보를 빼낸 것으로 파악하고 있다. 다만 핵심 인물이 해외에 나가 있는 만큼 향후 수사와 책임 규명이 쉽지 않을 것이라는 전망도 나온다.

유출 규모와 경위도 논란의 불씨다. 쿠팡은 20일 첫 발표에서 “4536개 계정의 개인정보가 노출됐다”고 밝혔지만 추가 조사 끝에 29일에는 “3370만 개 계정이 외부에 무단 노출됐다”고 정정했다. 열흘 만에 피해 계정 수가 7500배 불어난 셈이다. 쿠팡이 3분기 실적 당시 발표한 프로덕트 커머스 부문의 최근 구매 이력이 있는 활성 고객이 2470만 명 수준이라는 점을 감안하면 사실상 전체 계정 정보가 유출됐다는 해석도 가능하다.

유출된 정보는 이름, e메일, 전화번호, 배송지 주소, 일부 주문 정보 등이다. 신용카드 번호, 계좌 정보, 로그인 비밀번호 등은 포함되지 않았다고 회사는 설명했다. 그러나 이 조합만으로도 택배 사칭 스미싱, 보이스피싱, 인터넷 쇼핑몰·배달앱 고객센터를 사칭한 전화 사기 등 각종 범죄에 악용될 소지가 크다. 일부 소비자들 사이에서는 “중국발 C커머스 플랫폼이나 텔레마케팅 업체로 한국인의 상세 주소록이 넘어간 것 아니냐”는 의혹이 제기되고 있다.

사진 제공=쿠팡.

실제로 알리익스프레스·테무 등 C커머스 업체들은 지난해부터 한국에 적극 진출해 몸집을 키우고 있는 상황이다. 지난해 미국에서도 중국 국적의 전 구글 직원이 인공지능(AI) 관련 영업 비밀을 훔친 혐의로 재판에 넘겨지는 일이 벌어지는 등 중국 기업 관련자들이 해외 경쟁 업체의 정보를 캐내다 적발된 경우가 다수 있었다. 조사에 착수한 정부도 국가 배후 해킹 공격 등의 가능성까지 모두 열어두고 접근 중이라고 밝혔다.

특히 이번 사고는 외부 해킹이 아닌 내부자의 소행이라는 점에서도 문제가 되고 있다. 2011년 싸이월드·네이트(약 3500만 명) 정보 유출, 올해 초 SK텔레콤(2324만 명) 사건 등 과거 대형 사고는 모두 외부 해커의 침입이 발단이었다. 반면 쿠팡은 자사 시스템, 내부 네트워크망에 대한 외부 침입 흔적이 없다고 밝혔다.

보안 전문가들은 이번 사고와 관련해 국내 기업의 ‘땜질 식 대응’이 더 이상 통하지 않는다고 지적했다. 권헌영 고려대 정보보호대학원 교수는 “쿠팡 사례는 특정 분야에서 문제가 생기면 그때그때 해당 부분만 때우는 식의 보안 정책이 더 이상 통하지 않는 시대가 됐음을 보여준다”며 “외부 해킹이든 내부 소행이든, 보안을 전략 경영의 핵심 의제로 올려 전사적인 관점에서 다루지 않으면 이런 대형 사고는 반복될 수밖에 없다”고 말했다.

내부자 통제와 상시 모니터링 체계의 빈 구석도 도마 위에 올랐다. 염흥열 순천향대 정보보호학과 교수는 “내부 권한을 가진 사람이 정보를 유출했다면 이는 곧 내부 보안과 모니터링 체계에 심각한 약점이 드러난 것”이라며 상시 관제 시스템을 통해 이상 행위를 잡아내고 정보 처리 권한을 꼭 필요한 최소 인원에게만 부여하는 ‘최소 권한 원칙’을 강조했다.

소비자 신뢰 측면의 파장이 e커머스 업계 전체로 번질 가능성도 제기된다. 이은희 인하대 소비자학과 교수는 “당장 소비자 입장에서는 어떤 후속 조치가 나오는지, 재발 방지 대책이 무엇인지가 핵심”이라며 “쿠팡이 신속하게 사과, 보상, 보안 강화 로드맵을 내놓지 못하면 쿠팡의 충성 고객들조차 시장 전체에 대한 불신을 키우게 될 것”이라고 지적했다.

다 털린 쿠팡…"中 직원 '해외'서 접근"