5개월간 감지 못한 대규모 유출 … 내부 보안 체계 취약성 드러나SKT 유출 규모 넘어 … 매출 3% 과징금 등 고강도 조치 이뤄지나산업 전반 정보유출 급증 … 전문가 "예방 중심 규제로 전환해야"
  • ▲ ⓒ쿠팡
    ▲ ⓒ쿠팡
    국내 이커머스 1위 쿠팡에서 수천만명의 고객정보가 유출되면서 감독당국의 제재 수위가 주목되고 있다. 국내 성인 대부분이 포함되는 초대형 사고인 데다 내부 직원 개입 가능성까지 거론되면서 쿠팡의 개인정보 관리 책임은 도마 위에 올랐다. 과거에도 개인정보 유출로 제재를 받은 전력이 있어 이번에는 강도 높은 조치가 내려질 수 있다는 전망도 나온다.

    1일 쿠팡에 따르면 지난달 29일 고객 계정 약 3370만건이 외부 해킹으로 무단 노출된 사실을 확인했다. 유출 정보는 이름·이메일·배송지 주소록·일부 주문정보 등 기본 정보에 한정됐고 결제정보·신용카드 번호·로그인 정보 등 민감 정보는 포함되지 않았다고 주장했다.

    쿠팡이 사고를 처음 감지한 시점은 지난 18일이다. 약 4500개 계정에서 비정상 접근이 포착된 것이 계기였다. 쿠팡은 20일 개인정보보호위원회(개보위)와 한국인터넷진흥원에 사고를 신고하고 25일 서울경찰청 사이버수사대에 고소장을 제출했다.

    그러나 후속 조사에서 유출 규모가 3370만건으로 확대되면서 사실상 전 고객의 정보가 노출된 것 아니냐는 우려가 커지고 있다. 쿠팡은 회원 수를 공개하지 않지만 올해 3분기 기준 구매 이력이 있는 활성고객만 2470만명에 달한다는 점에서 전 계정이 뚫린 것이라는 지적에 힘이 실린다. 

    유출 경위도 해외 서버를 통한 무단 접근으로 지난 6월24일부터 약 5개월간 지속된 것으로 추정된다. 이 기간 쿠팡 내부 보안 시스템이 어떠한 이상 징후도 감지하지 못했다는 점은 관리·감독 체계의 구조적 취약성을 그대로 드러낸다는 평가다.

    쿠팡은 과거에도 반복적으로 개인정보 유출 사고를 겪어왔다. 2021년 10월 앱 업데이트 테스트 과정에서 14건의 유출이 발생했고 2020년 8월부터 2021년 11월까지는 쿠팡이츠 배달원 13만5000명의 개인정보가 외부로 유출됐다.

    또 2019년부터 배달원 개인정보 보호를 위해 안심번호 제공 정책을 시행했다고 밝혔지만 실제로는 2021년 11월까지 실명·전화번호가 음식점에 그대로 전달된 사실이 드러났다.

    이로 인해 2022년 개보위로부터 약 16억원의 과징금·과태료 처분을 받았다. 2023년 12월에는 판매자 시스템 윙(Wing)에서 주문자·수취인 2만2440명의 개인정보가 잘못된 판매자에게 노출되는 사고도 발생했다.
  • ▲ ⓒ쿠팡
    ▲ ⓒ쿠팡
    특히 이번 사고가 주목받는 이유는 유출 규모가 국내 최대 사례로 꼽히는 SK텔레콤을 넘어섰다는 점이다. SKT는 지난해 2324만명의 개인정보 유출로 개보위로부터 역대 최대 규모인 1347억9100만원의 과징금 처분을 받은 바 있다. 당시 가입자식별번호(IMSI), 유심 인증키(KI·OPc), 휴대전화번호 등 통신 핵심 정보가 포함됐다.

    이 때문에 쿠팡의 유출 규모와 기간, 탐지 실패 등을 고려하면 제재 수위가 SKT 사례를 넘어설 가능성도 거론되는 이유다. 개인정보보호법상 과징금은 사고 관련 매출의 최대 3%까지 부과할 수 있다.

    쿠팡의 지난해 매출은 41조2901억원, 올해 3분기 누적 매출도 이미 36조원을 넘어섰다. 이를 고려해 적용할 경우 과징금 규모가 최대 1조원대에 이를 수 있다는 관측까지 나온다. 다만 개보위는 과징금 규모는 쿠팡 매출 발생과 관련된 개인정보 유출에 따라 결정될 것이라고 입장이다.

    박대준 쿠팡 대표는 전날 입장문을 통해 "국민께 큰 불편을 끼쳐 죄송하다"며 "민관합동조사단과 협력해 추가 피해를 막고 시스템 전반을 재점검하겠다"고 사과했다.

    다만 구체적인 보상이나 피해 지원 계획은 아직 제시되지 않았다. 박 대표는 "현재는 유출 범위와 내용을 명확히 확정하는 것이 우선"이라며 "그 이후 재발 방지 대책과 함께 합리적 보상 방안을 마련하겠다"고 말했다.

    쿠팡뿐 아니라 산업계 전반에서 개인정보 유출 사고가 잇따르는 가운데 전문가들은 개인정보 보호 체계를 전면적으로 재정비해야 한다고 지적한다. 개보위에 따르면 개인정보 유출 건수는 2022년 64만8000건에서 2023년 1011만2000건, 지난해 1377만건으로 매년 급증하고 있다.

    이성엽 고려대 기술경영전문대학원 교수는 해킹 및 정보유출 이슈 관련 법적 이슈와 과제 보고서에서 "최근 해킹은 서버 침입을 넘어 통신망·인증 절차 탈취 등 방식이 고도화되고 있다"며 "사고 이후 처벌 강화만으로는 재발을 막기 어렵고 기술적·조직적 예방 중심의 규제로 전환할 필요가 있다"고 봤다.

    이어 "데이터 보호 국가책임제 도입, 프라이버시 강화 기술 적용, 프라이버시 설계 의무화 등 사전 예방 시스템을 공고히 할 필요가 있다"면서 "산업계와 협회를 중심으로 한 자율규제 모델 구축, 사고 이후 신속한 복구를 위한 체계적 사후 대응도 함께 강화돼야 한다"고 제언했다.