국내 이커머스(전자상거래) 1위인 쿠팡에서 3370만 명의 개인정보가 유출됐다. 한국 성인 4명 가운데 3명의 정보가 털린 셈이다. 외부 해킹이 아닌 내부 직원의 유출로 보이며, 범인은 이미 퇴사한 중국인 직원으로 추정되고 있다. 쿠팡은 5개월 동안 정보가 계속 유출된 사실을 몰랐던 것으로 파악됐다. 급속 성장으로 외형이 커진 쿠팡이 고객 개인정보 보호에는 소홀했다는 비판이 나온다.
30일 쿠팡은 고객 계정 3370만 개가 무단 노출됐다고 11월 29일 오후 개인정보보호위원회(개인정보위)에 신고했다고 밝혔다. 쿠팡의 월간 활성 이용자 수가 3200만 명인 점을 고려했을 때 사실상 모든 회원의 개인정보가 유출된 셈이다.
앞서 11월 18일 쿠팡은 고객 개인정보 4500개가 무단 노출된 사실을 인지하고 20일 개인정보위에 해당 사실을 신고한 바 있다. 이후 후속 조사를 통해 6월 24일부터 대규모 유출이 계속돼 온 점을 확인한 것이다. 고객 정보 탈취가 이미 5개월 전에 시작됐지만 쿠팡은 몰랐던 셈이다. 개인정보위 관계자는 “쿠팡은 소비자 민원이 접수되고 이를 확인하는 과정에서야 유출을 파악했다”며 “소비자 신고가 없었다면 지금도 몰랐을 것”이라고 말했다.
쿠팡은 서울경찰청 사이버수사대에 고소장을 접수했다. 고소장에는 피고소인을 특정하지 않고 ‘성명불상자’로 기재했다. 하지만 개인정보위에 제출한 사건경과보고서에는 중국인 전 직원의 소행으로 의심된다는 정황을 자세히 설명한 것으로 알려졌다.
개인정보위는 과학기술정보통신부와 함께 민관합동조사단을 꾸려 본격 조사에 착수했다. 경찰도 유출 경위 규명을 위해 수사에 나섰다. 서울경찰청 사이버수사대는 쿠팡이 제출한 고소장을 접수하고 관련 자료를 확보해 분석 중이라고 30일 밝혔다. 이날 쿠팡은 박대준 대표이사 명의로 “불편과 걱정을 끼친 점 사과한다”며 “추가 피해 예방에 최선을 다하겠다”는 사과문을 발표했다.
이상진 고려대 정보보호대학원 교수는 “일반적으로 데이터별로 권한을 갖고 접근할 수 있는 직원들이 구분돼 있다”며 “이번처럼 대량의 데이터에 한 직원이 지속적으로 접근했다는 건 내부 감시 관리가 미흡했던 것”이라고 지적했다.
이소정 기자 sojee@donga.com
About Dong-A Ilbo