쿠팡, 계정 3370만 개서 개인정보 유출 이름·e메일·전화번호·주소·주문정보 털려 신용카드 정보·비밀번호는 포함 안된 듯 중국인 전 직원이 유출한 것으로 추정 외형만 커진 공룡, 보안에는 소홀
30일 쿠팡 등에 따르면 쿠팡은 전날 오후 고객 계정 3370만 개가 무단 노출됐다고 개인정보보호위원회에 신고했다. 쿠팡의 월간 활성 이용자 수가 3200만 명인 점을 고려했을 때 사실상 전 회원의 개인정보가 유출된 셈이다.
쿠팡은 “18일 쿠팡은 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다”며 “후속 조사 결과 고객 계정 약 3370만 개가 무단으로 노출된 것으로 확인했다”고 밝혔다. 이어 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정한다”고 덧붙였다. 고객 정보가 유출된 지 5개월 동안 이를 자체적으로 인지하지도 못한 것이다.
광고 로드중
이번에 유출된 정보는 이름, 이메일 주소, 배송지 주소록(전화번호, 주소) 등이다. 일부 주문정보도 유출된 것으로 파악됐다. 다만 개인식별정보로 볼 수 있는 결제정보, 신용카드 번호, 비밀번호 등의 로그인 정보는 포함되지 않았다.
앞서 9월 개인정보가 유출된 롯데카드의 경우 일부 고객의 카드번호, CVC번호, 주민등록번호 등 민감한 신용정보가 빠져나가 논란이 됐다. SKT 역시 휴대폰 번호와 유심 인증키 등 25종의 항목이 유출된 바 있다. 김명주 서울여대 정보보호학과 교수는 “현재 유출된 정보로만 봤을 때는 민감 정보로 분류되는 개인식별 정보는 아닌 것으로 보인다”며 “다만 휴대폰을 인용해 본인인증을 하는 경우가 많은 만큼 만일의 경우를 대비해 로그인 패스워드 등은 변경할 필요가 있어보인다”고 조언했다.
현재 쿠팡은 서울경찰청 사이버수사대에 25일 이번 사건의 수사를 위해 고소장을 접수한 상태다. 고소장에는 피고소인을 특정하지 않고 ‘성명불상자’로 기재했다. 하지만 유출자가 중국 국적자인데다가 이미 쿠팡에서 퇴사해 한국을 떠난 것으로 전해지면서 수사에 어려움을 겪을 수 있다는 우려가 나온다.
업계에서는 이번 사고가 ‘외형만 커진 공룡 기업’의 전형을 보여준다고 입을 모은다. 급속한 성장에 몰두하느라 고객 개인정보보호 등 기본적인 체계 마련에 미흡했다는 것이다. 쿠팡은 2021년과 2024년 두 차례 국가 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 취득하고도 이후 올해까지 네 차례 고객정보 유출 사고를 낸 바 있다.
광고 로드중
이번 사태는 2011년 7월 ‘싸이월드·네이트 회원 정보 유출’ 사태에 버금가는 규모가 될 것으로 보인다. 당시 중국 해커에 의해 싸이월드와 네이트 고객 3500만 명의 개인정보가 유출된 바 있다. 올해 4월 해킹 사고로 가입자 2700만 명의 개인정보가 노출된 SK텔레콤은 이달 개인정보보호위원회로부터 1347억9100만원의 과징금 처분을 받기도 했다.
전문가들은 기업이 개인정보 취급 민감성을 높이고 내부 직원에 의한 해킹 등에 대한 감시 장치를 강화해야 한다고 조언한다. 이상진 고려대 정보보호대학원 교수는 “데이터별로 권한을 갖고 접근할 수 있는 직원들이 있을 텐데 대량의 데이터를 한 직원이 지속적으로 접근했다는 건 기본적으로 내부 감시 관리가 미흡했던 것”이라며 “보안 의식을 높이기 위한 교육과 권한 있는 내부 직원들의 감시를 강화하는 모니터링 시스템을 마련해야 한다”고 지적했다.
광고 로드중
김다연 기자 damong@donga.com