샤오홍슈, 타오바오 등 온라인서 계정·연관 정보 다수 유통로그인 가능 계정까지 확인 … 추가 피해·2차 범죄 우려 커연관성 드러날 경우 내부 통제·경영 책임 공방 불가피
  • ▲ ⓒ뉴데일리DB
    ▲ ⓒ뉴데일리DB
    중국 내 복수의 SNS·쇼핑 플랫폼에서 국내 쿠팡 계정과 연관된 계좌가 판매되는 정황이 확인되면서, 개인정보 유출 사태가 경영진 수사로까지 확대될 가능성이 커졌다는 지적이 나온다. 쿠팡은 “이번 유출 사고와 무관하다”는 입장이지만, 수사 과정에서 계정 거래와 유출의 연관성이 드러나거나 고객 정보 관리 부실이 추가로 확인될 경우 형사 책임 논란으로 번질 수 있다는 관측이다.

    7일 업계에 따르면 쿠팡 이용자 정보는 다크웹뿐 아니라 중국의 샤오홍슈, 타오바오 등 온라인 쇼핑몰에서도 버젓이 판매 중이다. 이름과 전화번호처럼 단순 정보는 1인당 100원 수준에 불과하지만, 신용카드 사용 내역이나 주문 기록처럼 실생활이 드러나는 정보는 수십 배 높은 가격으로 거래되며 최고 4만원 수준까지 거래되는 것으로 파악된다. 이날 샤오홍슈에는 최소 6건 이상의 쿠팡 계정 판매글이 게시돼 있다. 

    지난 2일 국회 과학기술정보방송통신위원회 긴급 현안질의에서는 김장겸 국민의힘 의원이 중국 오픈마켓인 타오바오에서 쿠팡 계정이 23~183위안(약 5000원~4만 원)에 판매 중인 사례를 제시했다. 김 의원이 “로그인이 가능한 계정이 거래되는 수준이라면 로그인 정보가 유출된 것 아니냐”고 질의했고, 이날 출석한 쿠팡 경영진은 “이번 정보망 침해와 무관한 것으로 보인다”고 답변했다.

    업계는 중국에서 유통 중인 계정이 이번 사고와 직접 관련됐다고 단정하긴 어렵다면서도, 사고 직후 계정 판매가 집중 포착된 만큼 연관성을 확인하기 위한 조속한 수사가 필요하다는 의견이 많다. 다크웹에서는 서로 다른 사고에서 유출된 정보가 한꺼번에 섞여 거래되는 경우가 많다. 이 때문에 해외 플랫폼에 올라온 쿠팡 계정이 어떤 경로로 유출됐는지는 수사를 통해 확인할 수밖에 없다는 지적이다.

    이미 온라인 커뮤니티에서는 밤 시간대 해외 IP로 접속된 기록을 발견하거나, 등록한 적 없는 기기에서 로그인 시도가 나타났다는 후기들이 올라오고 있다. 

    쿠팡은 결제 정보와 로그인 비밀번호는 유출되지 않았다고 밝혔지만, 이름·주소·이메일 등 기본 정보가 빠져나간 만큼 추가 피해 가능성은 여전하다는 견해가 많다.

    전문가들은 이번 사안을 '대량 유출'보다 실생활 정보가 조합돼 악용될 위험성이 크다는 점에서 심각하게 보고 있다. 이름·연락처뿐 아니라 구매 패턴, 배송 주소, 결제 내역 등이 함께 노출될 경우 피해자를 특정한 맞춤형 사기·피싱이 가능해지기 때문이다. 예컨대 최근 구매 이력을 바탕으로 배송사나 판매자를 사칭해 접근하거나, 배송 지연·환불 등을 미끼로 링크 접속을 유도하는 방식이다.

    법조계에서는 이번 사안을 해킹 여부 공방에 한정하지 말고, 유출 범위·통지 적정성·2차 피해 방지 대책 등 기업의 관리 의무 전반을 점검해야 한다는 목소리가 나온다. 한 개인정보 전문 변호사는 “중국 플랫폼에서 계정이 판매되는 상황까지 방치됐다면 관리·통제 체계 전반에 하자가 있었는지 수사와 감독을 통해 살펴볼 필요가 있다”고 말했다.

    아울러 수사 범위는 쿠팡 내부 관리 체계와 의사결정 라인으로 확대될 가능성도 제기된다. 사고와 계정 판매의 상관성이 확인될 경우 단순 실무자 과실을 넘어 내부 통제 미비, 사고 인지·통지 지연, 공시 과정에서의 누락 여부 등 경영진 책임 논란으로 이어질 수 있다는 분석이다.

    이번 사안을 계기로 개인정보 유출에 대한 조사 기준과 제재 수준을 강화해야 한다는 주장도 나온다. 국내에서는 대규모 유출 사고에도 과징금·과태료 수준이 낮아 실질적인 예방 효과가 미미하다는 지적이 반복돼왔기 때문이다. 

    업계 관계자는 “계정 판매 정황이 확인된 만큼, 수사 당국이 신속하게 출처를 규명하고 유통 경로를 차단해야 한다”며 “플랫폼 산업 전반의 신뢰 회복을 위해서도 실효성 있는 제재 체계를 마련해야 한다”고 강조했다.