3370만명 정보 털린 쿠팡 “中직원 소행 의심”

이름-전화번호-집주소 등 포함… 사실상 모든 회원 개인정보 유출
5개월간 깜깜, 민원 접수 뒤 파악
정부 “공격자, 서버인증 취약점 악용”… 쿠팡 “추가 피해 예방에 최선” 사과

크게보기

전자상거래 1위 쿠팡, 뒤늦은 ‘통지’ 대규모 개인정보 유출 사태가 발생한 가운데 30일 서울 송파구 쿠팡 본사 건물에 긴장감이 돌고 있다. 국내 이커머스 1위 업체인 쿠팡은 고객 3370만 명의 이름과 이메일, 전화번호, 주소, 일부 주문정보가 유출됐다고 11월 29일 밝혔다. 변영욱 기자 cut@donga.com

국내 이커머스(전자상거래) 1위인 쿠팡에서 △이름 △전화번호 △집주소 △이메일 등을 포함한 3370만 명의 개인정보가 유출됐다. 한국 성인 4명 가운데 3명의 정보가 털린 것이다. 외부 해킹이 아닌 내부 직원의 유출로 보이며, 범인은 이미 퇴사한 중국인 직원으로 추정되고 있다. 쿠팡은 5개월 동안 정보가 계속 유출된 사실을 몰랐던 것으로 파악됐다. 급속 성장으로 외형이 커진 쿠팡이 고객 개인정보 보호에는 소홀했다는 비판이 나온다.

30일 쿠팡은 고객 계정 3370만 개가 무단 노출됐다고 11월 29일 오후 개인정보보호위원회(개인정보위)에 신고했다고 밝혔다. 쿠팡의 월간 활성 이용자 수가 3200만 명인 점을 고려했을 때 사실상 모든 회원의 개인정보가 유출된 셈이다.

앞서 11월 18일 쿠팡은 고객 개인정보 4500개가 무단 노출된 사실을 인지하고 20일 개인정보위에 해당 사실을 신고한 바 있다. 이후 후속 조사를 통해 6월 24일부터 대규모 유출이 계속돼 온 점을 확인했다. 고객 정보 탈취가 이미 5개월 전에 시작됐지만 쿠팡은 몰랐다. 처음 신고할 때는 4500건이었던 유출 건수가 불과 9일 만에 7500배로 늘어난 것도 석연찮은 대목이다. 개인정보위 관계자는 “쿠팡은 소비자 민원이 접수되고 이를 확인하는 과정에서야 유출 사실을 파악했다”고 지적했다.

쿠팡은 11월 25일 서울경찰청 사이버수사대에 고소장을 제출했다. 고소장에는 피고소인을 특정하지 않고 ‘성명불상자’로 기재했다. 하지만 개인정보위에 제출한 사건경과보고서에는 중국인 전 직원의 소행으로 의심된다는 정황을 자세히 설명한 것으로 알려졌다.

정부는 30일 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 긴급회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 로그인 없이 정보를 유출했다”며 “앞으로 3개월을 ‘개인정보 불법유통 모니터링 강화 기간’으로 운영한다”고 밝혔다. 이날 박대준 쿠팡 대표이사는 “불편과 걱정을 끼친 점 사과한다”며 “추가 피해 예방에 최선을 다하겠다”고 사과했다.

이상진 고려대 정보보호대학원 교수는 “기업에서는 일반적으로 데이터별로 접근 가능한 직원들이 구분돼 있다”며 “대량의 데이터에 한 직원이 지속적으로 접근했다는 건 내부 감시 관리가 미흡했던 것”이라고 지적했다.