3370만 고객 정보 털렸는데도 5개월간 몰랐다는 쿠팡

국내 최대 유통기업 쿠팡에서 3370만 명의 개인정보가 유출되는 초유의 사고가 발생했다. 이름, 전화번호, 자택 및 배송지 주소, e메일 주소와 최근 주문 내역 5건까지 민감한 정보가 무단으로 빠져나갔다. 유출된 정보의 규모와 민감성을 감안하면 ‘역대 최악의 개인정보 유출 사고’라고 해도 과언이 아니다.

이번 개인정보 유출은 6월 24일부터 이뤄졌다고 한다. 그런데 쿠팡이 처음 피해 사실을 파악한 건 지난달 18일이었다. 무려 5개월 동안 대규모 정보 유출을 전혀 감지하지 못한 건 내부 정보보호 시스템이 있으나 마나 했다는 뜻이다. 쿠팡 측은 현재 퇴사한 중국 국적 직원이 해외 서버를 경유해 무단으로 고객 정보에 접근한 것으로 의심하고 있다. 경찰의 수사결과를 봐야겠지만 한 직원이 사실상 모든 고객의 정보를 빼낼 수 있었다면 접근 통제 시스템 역시 무용지물이었다는 지적을 피하기 어렵다.

처음 4500건이라고 보고됐던 피해 규모가 불과 9일 만에 7500배로 늘어난 경위도 석연치 않다. 쿠팡 측은 “조사 과정에서 추가 유출 사실을 알게 됐다”고 설명했지만 사고를 은폐하거나 축소하려 한 건 아닌지 철저한 수사가 필요하다. 쿠팡 측은 “결제·로그인 정보는 유출되지 않았으니 계정 관련 조치는 필요 없다”고 주장하지만 이 또한 안이하기 성급하기 그지없다. 추가 조사에서 유출 정보가 더 있는 것으로 나타나면 피해를 더욱 키울 뿐이다.

현재까지 유출된 정보만으로도 심각한 2차 피해가 우려되는 상황이다. 유출된 배송지 정보에 공동현관 비밀번호가 포함됐을 경우 스토킹이나 주거침입 범죄로까지 이어질 수 있다. 피해 조회 및 보상, 환불, 애플리케이션(앱) 업데이트 등을 빙자한 ‘피싱 사기’도 기승을 부릴 것으로 예상된다. 쿠팡은 “사칭 전화와 문자에 주의해 달라”는 공지만 하고 손 놓을 게 아니라 2차 피해를 막기 위해 보다 적극적이고 책임 있는 자세로 나서야 한다.

올해만 해도 SK텔레콤(2324만 명), 롯데카드(297만 명) 등에서 대규모 개인정보 유출 사고가 이어지고 있다. 쿠팡, SK텔레콤, 롯데카드는 모두 국가 공인 정보보호 인증인 ISMS-P를 취득했지만 고객 정보 유출을 막지 못했다. 정부는 이번 사태를 유명무실해진 인증 제도를 전면 재점검하고 실효성 있는 개선 방안을 마련하는 계기로 삼아야 한다.