|데일리포스트=송협 대표기자| 국내 최대 이커머스 기업 쿠팡이 모든 고객의 개인정보를 외부에 유출하고도 이를 수개월 동안 알아채지 못한 것으로 드러났다. 유출 규모만 3370만 명이며 이는 쿠팡의 월간 활성 이용자 수를 훌쩍 뛰어넘는 수치다.
무엇보다 초동 대응은커녕 사태 파악과 고객 통지 모두 한참 늦어지면서 기업의 개인정보 보호 능력과 책임 의식에 심각한 의문이 제기되고 있다.
무단 접근은 지난 6일 오후 6시 38분 발생했다. 하지만 쿠팡이 이를 인지한 시점은 12일이 지난 18일 밤 10시이며 고객 안내는 그마저도 하루 뒤인 20일 오후에야 이뤄졌다. 피해가 커질 동안 고객은 아무런 대응 기회조차 갖지 못했다는 비판을 피할 수 없는 대목이다.
쿠팡은 당초 ‘4500개 계정의 무단 접근’이라고 발표했지만 관계 당국 조사 과정에서 유출 계정 수는 3370만 개로 급증했다. 불과 열흘 남짓한 기간 동안 7500배 가까이 불어난 피해 규모는 쿠팡의 보안 점검 및 모니터링 체계가 정상적으로 작동했는지 의구심을 피할 수 없다.
유출된 정보는 이름·전화번호·주소·이메일에 더해 최근 주문 내역까지 포함된 것으로 확인됐다. 해킹은 해외 서버를 이용해 지난 6월 24일부터 시작된 것으로 추정된다. 5개월 동안 고객 DB가 외부에 노출돼 있었는데도 쿠팡은 이를 전혀 감지하지 못했다.
그럼에도 쿠팡은 카드정보·비밀번호 등은 유출되지 않았다며 “고객의 별도 조치가 필요 없다”는 입장을 내놨다. 무단 접근을 뒤늦게 파악하고 피해 규모조차 정확히 추산하지 못한 기업이 고객 위험을 단정적으로 축소한 셈이다.
이번 사건이 내부 직원의 소행일 가능성도 제기됐다. 쿠팡은 해외 근무자의 서버 무단 접근 정황을 확인했다며 경찰에 고소장을 제출하고 나섰지만 내부 통제가 제대로 작동되지 않았다는 시각이 지배적이다.
업계에서는 이번 개인정보 유출이 싸이월드·네이트 사태(3500만 명) 이후 최대 규모가 될 것으로 전망한다. 올해 2700만 명 유출 사태 이후 SK텔레콤이 개인정보보호위원회로부터 1347억 원 과징금을 부과받은 사례를 고려하면 쿠팡에 대한 제재 또한 불가피하다는 관측도 제기되고 있다.
이처럼 막대한 규모의 개인정보가 유출된 상황에서 소비자들이 취할 수 있는 가장 큰 보호 조치는 개인 경계 수위를 높여야 한다는 전문가들의 조언이다. 한 보안업계 전문가는 “향후 쿠팡을 사칭한 피싱-스미싱과 사기성 전화가 폭증할 것”이라며 “이 사건의 최대 피해자는 방어권 조차 없이 쿠팡을 신뢰했던 소비자들이다.”고 강조했다.
Copyright ⓒ 데일리 포스트 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
