쿠팡 3370만명 개인정보 유출 … 쿠팡이츠는 안전한가

쿠팡에서 3370만건의 개인정보가 유출되는 초유의 사태가 벌어지면서, 같은 생태계를 공유하는 쿠팡이츠 이용자 사이에서도 불안감이 커지고 있다. 

쿠팡과 쿠팡이츠는 서비스 형태는 다르지만 회원 체계가 통합돼 있어 “쿠팡 앱에서 발생한 사고라 해도 결국 쿠팡이츠도 안전하다고 단언할 수 있느냐”는 의문이 쏟아지고 있다.

2일 관련 업계에 따르면 쿠팡은 매년 수백억원 규모의 정보보호 비용을 집행해 왔지만 이번 사고로 최소 수천억원, 많게는 1조원대 과징금 부과 가능성이 거론된다. 

올해 3분기 기준 쿠팡 누적 매출은 36조3000억원 수준이며, 이 중 대만·파페치·쿠팡이츠 등 비교적 개인정보 유출 위험도가 낮은 성장사업 매출을 제외하면 약 31조원으로 집계된다. 법적 산정을 고려하면 이론적으로 1조원대 과징금이 가능한 구조라는 분석도 나온다.

이번에 유출된 정보는 이름, 이메일, 전화번호, 배송지 주소에 일부 주문 내역까지 포함된 것으로 알려졌다. 단순 계정 정보 노출을 넘어 생활 영역과 직접 연결되는 주소 및 구매 데이터가 포함되면서 “위험 수준이 한 단계 더 높다”는 평가가 지배적이다. 배송지 정보가 피싱·스미싱 등 2차 범죄에 악용될 가능성도 제기된다.

더욱이 이번 사고는 외부 해킹이 아닌 내부 인증토큰과 서명키를 악용한 전직 직원 소행일 가능성에 무게가 실리며 업계 전반에 걸쳐 내부 보안 점검이 강화되는 분위기다.

쿠팡은 사고 직후 “쿠팡 앱에서 발생한 문제이며 쿠팡이츠·쿠팡플레이 등 다른 서비스는 관련이 없다”고 선을 그었다. 

그러나 이용자 정보가 어떤 체계로 분리·관리되고 있는지에 대해서는 구체적인 설명이 없는 상황이다. 

특히 쿠팡이츠 사용자 대다수가 쿠팡 와우회원이라는 점을 고려하면, 이용자 불안이 단순한 ‘오해’만으로 설명되기 어렵다는 지적도 있다. 쿠팡은 와우 멤버십 회원에게 쿠팡이츠 배달비 무료 혜택을 제공하며 서비스 간 연동률이 매우 높은 구조다.

더구나 쿠팡이츠는 과거에도 개인정보 노출 이력이 있다. 2020년 8월부터 2021년 11월까지는 쿠팡이츠 배달원 13만5000여명의 이름·전화번호 등이 음식점에 전송된 사실이 드러났고, 2023년 12월에는 쿠팡 판매자 전용 시스템에서 주문자·수취인 개인정보 2만2440건이 노출됐다.

이번 사고와 직접적 연관은 없지만, 이용자들이 느끼는 신뢰도 저하의 배경으로 작용하고 있다.

한 업계 관계자는 “쿠팡은 방대한 데이터베이스를 바탕으로 이커머스·배달·콘텐츠 서비스가 긴밀하게 연결된 구조이기 때문에, 어느 한 플랫폼에서 보안 이슈가 발생하면 전체 생태계 안정성에 대한 의문이 따라올 수밖에 없다”며 “쿠팡이 이번 사태를 계기로 고객 신뢰 회복 전략을 더 정교하게 마련해야 할 것”이라고 말했다.