사실상 전체 고객 정보 유출되고도 5달 동안 인지못해 소비자 2차 피해 우려 확산 … 집단소송 카페도 '우후죽순'ISMS-P 인증 두 차례 받고도 4차례 개인정보 유출사고 반복과기정통부, 민관합동조사단 꾸려 … "신속 조사·엄정 제재"
  • ▲ 지난 21일 오전 서울 송파구 쿠팡 본사. ⓒ뉴시스
    ▲ 지난 21일 오전 서울 송파구 쿠팡 본사. ⓒ뉴시스
    국내 이커머스(전자상거래) 시장 1위인 쿠팡에서 3000만건이 넘는 대규모 정보 유출 사고가 발생한 사실이 뒤늦게 드러났다. 사실상 전체 고객 정보가 유출된 셈이다. 

    쿠팡은 고객 유출 사고를 5개월동안 인지하지 못해 사실상 보안 시스템이 무력화돼 있었다는 지적이 나온다. 주소는 물론 현관문 출입 비밀번호까지 유출된 것으로 알려지면서 소비자들의 불안은 더욱 커지고 있다. 일부 이용자들 사이에서는 쿠팡을 상대로 집단소송을 검토해야 한다는 주장까지 나온다.  

    서울경찰청 사이버수사대는 지난 25일 쿠팡이 제출한 고소장을 접수하고 자료수집과 분석에 착수했다고 29일 밝혔다. 쿠팡 측이 제출한 고소장에는 피고소인이 특정되지 않고 '성명불상자'로 기재됐다. 

    같은 날 쿠팡은 "고객 계정 약 3370만 개가 무단으로 노출된 것으로 확인됐다"고 공지했다. 지난 18일 "4500여개 계정이 유출됐다"고 발표했지만 조사 과정에서 7500배 확대된 규모의 계정이 털린 것으로 파악된 것이다. 쿠팡의 월간 활성 이용자(MAU)가 3300만~3400만명 수준인 점을 감안하면 사실상 대부분 회원의 정보가 유출된 셈이다. 

    쿠팡에 따르면 외부로 유출된 정보는 이름, 이메일 주소, 배송지 주소록에 입력된 이름·전화번호·주소, 일부 주문 정보다. 쿠팡은 '카드 정보 등 결제 정보와 로그인 정보는 안전하다"고 설명했다. 하지만 불안감에 이용을 중단하는 사례가 속출하는 등 불안감이 커지는 모습이다. 

    온라인 커뮤니티에서도 "2차 피해가 없을지 걱정이다", "쿠팡이 안심하라고 하지만 자동 결제시스템인데 너무 불안하다", "공동 현관 비밀번호까지 새어나가 이제 외부인이 마음대로 드나들 수 있게 된 것 아니냐"는 등의 글이 올라오고 있다. 특히 주소란에 배송 기사 편의를 위해 현관 출입 비밀번호를 함께 적어두는 관행이 고려하면, 이 역시 함께 유출됐을 가능성이 크다는 우려가 불거진다. 

    올해 3분기 기준 쿠팡의 프로덕트 커머스부분 활성고객 수는 2470만명이다. 이번 유출 계정 수는 이를 훌쩍 넘어서면서 과거 이용자까지 포함된 것 아니냐는 지적도 나온다. 실제 이를 두고 불만글도 쏟아지고 있다. 온라인에서는 "쿠팡을 탈퇴한지 3년이 넘었는데 유출 안내 문자가 왜 오냐", "탈퇴자 정보를 왜 아직도 삭제되지 않았냐" 등의 항의가 잇따르고 있다. 

    일부 이용자들은 쿠팡을 상대로 집단소송을 검토해야 한다며 강경 대응에 나서고 있다. "쿠팡이 책임지고 피해보상하고, 유출시킨 직원을 처벌하라", "쿠팡 탈퇴 완료" 등의 온라인 게시글들이 이어지고 있다. 네이버에는 쿠팡 개인정보유출 집단소송 카페가 연달아 개설되고 있으며 일부 카페는 개설 하루만에 1000명이 넘는 가입자가 몰렸다. 소비자들의 분노가 조직적 행동으로 번지는 모습이다. 

    쿠팡의 안이한 대처도 거센 비판을 받고 있다. 국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면, 쿠팡은 2021년과 2024년 두 차례 국가 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 취득하고도 이후 올해까지 네 차례의 유출 사고를 냈다.

    쿠팡은 전년도 정보통신서비스 부문 매출액이 100억원 이상인 기업에 해당해 ISMS-P 인증 의무 대상이다. 그러나 인증 취득 이후에도 유출 사고는 끊이지 않았다. 

    2021년 10월 앱 업데이트 간 테스트 부실로 14건의 유출 사고가 발생했고, 2020년 8월부터 2021년 11월까지는 쿠팡이츠 배달원 13만5000명의 개인정보가 털렸다. 2019년 11월부터 음식점에 안심번호를 전송하는 방식으로 정책을 바꿨다는 쿠팡의 설명과는 달리, 배달원 실명·휴대전화번호가 음식점에 전달한 것으로 드러났다. 

    2023년 12월에는 쿠팡이 운영하는 판매자 전용 시스템 '윙(Wing)' 오류로 주문자·수취인 2만2440명의 개인정보가 타판매자에게 노출됐고, 이달에는 결국 3370만개 고객 계정이 외부로 유출되는 대규모 개인정보 유출사고가 확인됐다. 

    이에 정부에서도 전면 조사에 나섰다. 과학기술정보통신부는 이날 민간 전문가가 참여하는 민관합동조사단을 꾸려 보안 취약점을 면밀히 들여다보고 재발 방지 대책을 마련할 계획이다. 

    개인정보보호위원회도 쿠팡으로부터 지난 20일과 29일 두 차례 사고 신고를 접수받고, 21일부터 현장 조사에 착수한 상태다. 국민 다수의 연락처·주소 등 민감도가 높은 정보가 포함된 만큼, 개인정보보호법상 안전조치 의무 위반 여부를 신속하게 확인해 위반사항이 확인될 경우 엄정 제재하겠다는 방침이다. 

    2차 피해 방지를 위해 과기정통부와 개인정보위는 유출 정보를 악용한 스미싱·피싱 등 추가 피해를 막기 위해 보호나라를 통해 대국민 보안 공지도 진행했다.

    한편 한 매체는 이번 유출 이번 대규모 개인정보 유출 사건의 핵심 관련자로 중국 국적의 전(前) 쿠팡 직원으로 지목됐다고 보도했다. 해당 직원은 사고 직후 퇴직해 중국으로 출국한 상태로 전해졌다. 핵심 인물이 이미 해외 체류 중인 만큼 사건 규명이 장기화될 우려가 제기된다.