쿠팡 고객정보 1.5억번 조회… 이래도 ‘3000개만 유출’ 주장하나

쿠팡의 대규모 정보 유출 사태 시 고객 이름, 전화번호, 주소 등이 보이는 ‘배송지 목록 페이지’가 1억5000만 회나 조회됐다는 민관합동조사 결과가 10일 나왔다. 당초 알려진 것보다 정보 유출 규모가 훨씬 컸다는 것이다. 해당 페이지는 선물을 주고받는 가족이나 친구 등의 신상정보가 포함된 경우가 많아 피해는 더 늘어날 수 있다.

이번 조사 결과에 따르면 쿠팡에서 퇴사한 정보 유출자는 ‘내정보 수정 페이지’에서 이름과 이메일이 포함된 개인정보 3367만여 건을 빼갔다. 쿠팡은 작년 말 ‘셀프 조사’ 결과를 기습 발표하면서 “3300만 건에 접근했지만 실제 저장은 3000개 뿐”이라고 주장해 유출 피해를 축소하려는 것 아니냐는 지적이 나왔다. 정부가 이번에 ‘유출 규모는 3300만 건 이상’으로 공식화한 것이다. 이 유출자는 배송지 목록 페이지를 1억 회 이상 조회한 것도 모자라 공동현관 비밀번호까지 알 수 있는 ‘배송지 목록 수정 페이지’를 5만여 회, 최근 내역을 보여주는 ‘주문 목록 페이지’도 10만여 회 조회했다고 한다. 이 정보들이 광고나 영업마케팅용으로 팔려나가는 것도 문제지만, 보이스피싱 등 범죄집단에 흘러들어갈 경우 돌이킬 수 없는 피해로 이어질 수 있다는 지적이다.

외부 침입이 계속되는 7개월 간 쿠팡의 보안시스템은 무력했다는 사실도 조사 결과에 담겼다. 정보 유출자는 쿠팡 재직 시절 미리 위·변조 해둔 ‘전자 출입증’으로 퇴사 이후에도 내부 시스템을 자유롭게 드나들었다. 쿠팡 측이 서버에 접근하는 전자 출입증의 진위 여부만 가렸더라도 사고를 막을 수 있었다는 것이다. 더 심각한 문제는 전자 출입증에 기반한 인증 체계의 취약점을 쿠팡도 이미 알고 있었다는 사실이다. 쿠팡은 모의해킹 등을 통해 시스템의 약점을 발견했지만 해결책을 찾지 않았던 것으로 조사됐다. 연간 매출액이 40조 원이 넘는 거대 기술기업의 낮은 보안의식은 결국 수천만 고객들의 피해로 이어졌다.

하지만 정부 제재 수위는 한계가 있다. 정보통신망법에 의해 ‘침해사고 인지 후 24시간 이내 신고’ 의무를 지키지 않았다는 이유로 과태료를 부과할 수 있는데 최고액이 3000만 원에 불과하다. 다만 정보 유출 규모를 최종 확정해 발표할 개인정보보호위원회는 전체 매출액의 3%까지 과징금을 매길 수 있다. 철저하고 공정한 조사가 우선이지만 그 결과에 따른 징벌 또한 머뭇거림이 없어야 한다.