쿠팡, 5개월간 낌새도 못챘다…중국인 전 직원이 정보 빼돌린듯
- 동아일보
-
입력 2025년 11월 30일 14시 38분
공유하기
글자크기 설정
쿠팡, 계정 3370만 개서 개인정보 유출
이름·e메일·전화번호·주소·주문정보 털려
신용카드 정보·비밀번호는 포함 안된 듯
중국인 전 직원이 유출한 것으로 추정
외형만 커진 공룡, 보안에는 소홀
국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 사실상 전 회원의 개인정보 유출이 발생한 가운데, 쿠팡이 이 사실을 5개월 간 인지도 하지 못했던 것으로 파악됐다. 급속하게 성장하며 외형만 커진 쿠팡이 고객 개인정보 보호를 위한 체계 마련에 소홀했다는 비판이 나온다.
30일 쿠팡 등에 따르면 쿠팡은 전날 오후 고객 계정 3370만 개가 무단 노출됐다고 개인정보보호위원회에 신고했다. 쿠팡의 월간 활성 이용자 수가 3200만 명인 점을 고려했을 때 사실상 전 회원의 개인정보가 유출된 셈이다.
쿠팡은 “18일 쿠팡은 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다”며 “후속 조사 결과 고객 계정 약 3370만 개가 무단으로 노출된 것으로 확인했다”고 밝혔다. 이어 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정한다”고 덧붙였다. 고객 정보가 유출된 지 5개월 동안 이를 자체적으로 인지하지도 못한 것이다.
이번에 유출된 정보는 이름, 이메일 주소, 배송지 주소록(전화번호, 주소) 등이다. 일부 주문정보도 유출된 것으로 파악됐다. 다만 개인식별정보로 볼 수 있는 결제정보, 신용카드 번호, 비밀번호 등의 로그인 정보는 포함되지 않았다.
앞서 9월 개인정보가 유출된 롯데카드의 경우 일부 고객의 카드번호, CVC번호, 주민등록번호 등 민감한 신용정보가 빠져나가 논란이 됐다. SKT 역시 휴대폰 번호와 유심 인증키 등 25종의 항목이 유출된 바 있다. 김명주 서울여대 정보보호학과 교수는 “현재 유출된 정보로만 봤을 때는 민감 정보로 분류되는 개인식별 정보는 아닌 것으로 보인다”며 “다만 휴대폰을 인용해 본인인증을 하는 경우가 많은 만큼 만일의 경우를 대비해 로그인 패스워드 등은 변경할 필요가 있어보인다”고 조언했다.
현재 쿠팡은 서울경찰청 사이버수사대에 25일 이번 사건의 수사를 위해 고소장을 접수한 상태다. 고소장에는 피고소인을 특정하지 않고 ‘성명불상자’로 기재했다. 하지만 유출자가 중국 국적자인데다가 이미 쿠팡에서 퇴사해 한국을 떠난 것으로 전해지면서 수사에 어려움을 겪을 수 있다는 우려가 나온다.
한 유통업계 관계자는 “통상적으로는 개인정보보호 담당 직원이라 하더라도 내부망에 접속할 때 단계마다 결재를 받고 그 기록을 남겨놔야 한다”며 “쿠팡이 급속하게 성장한 조직이다보니 외형만큼의 정보보안 인프라를 갖추지 못하며 이런 사고가 발생한 것 같다”고 지적했다.
이번 사태는 2011년 7월 ‘싸이월드·네이트 회원 정보 유출’ 사태에 버금가는 규모가 될 것으로 보인다. 당시 중국 해커에 의해 싸이월드와 네이트 고객 3500만 명의 개인정보가 유출된 바 있다. 올해 4월 해킹 사고로 가입자 2700만 명의 개인정보가 노출된 SK텔레콤은 이달 개인정보보호위원회로부터 1347억9100만원의 과징금 처분을 받기도 했다.
전문가들은 기업이 개인정보 취급 민감성을 높이고 내부 직원에 의한 해킹 등에 대한 감시 장치를 강화해야 한다고 조언한다. 이상진 고려대 정보보호대학원 교수는 “데이터별로 권한을 갖고 접근할 수 있는 직원들이 있을 텐데 대량의 데이터를 한 직원이 지속적으로 접근했다는 건 기본적으로 내부 감시 관리가 미흡했던 것”이라며 “보안 의식을 높이기 위한 교육과 권한 있는 내부 직원들의 감시를 강화하는 모니터링 시스템을 마련해야 한다”고 지적했다.
© dongA.com All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
댓글 0