국내 e커머스 1위 업체인 쿠팡에서 약 3,370만 명의 고객 정보가 유출된 것으로 확인되면서 사상 최대 규모의 개인정보 사고가 발생했다. 이는 국내 총인구(약 5,168만 명)의 65%에 달하는 수치로, 사실상 국민 대부분의 정보가 유출됐을 가능성이 제기되고 있다.
쿠팡은 지난 11월 29일 고객 계정 3,370만 개가 외부에서 무단 접근된 사실을 확인했다고 공지했다. 10월 기준 월간 순이용자 수가 3,438만 명, 유료 멤버십 1,500만 명에 달하는 점을 감안하면, 거의 모든 사용자의 이름·주소 등 배송지 정보가 유출된 것으로 추정된다. 결제정보는 포함되지 않았다는 것이 회사 측 설명이다.
그러나 업계에서는 개인정보가 다크웹에서 불법 거래되거나 스미싱·보이스피싱 등 2차 피해로 이어질 가능성을 우려하고 있다. 실제로 최근 KT 통신 서비스에서도 유사한 방식의 피해가 발생한 바 있어, 쿠팡 유출 정보가 범죄에 악용될 위험성을 배제할 수 없다.
이번 사고의 핵심 쟁점은 ‘유출 경로’다. 쿠팡은 해외 서버를 통한 최초 무단 접근 시점을 지난 6월 24일로 파악했으나, 이 사실을 인지한 것은 5개월이 지난 11월 18일 이후였다. 초기 신고 당시에는 4,536건의 피해가 파악됐지만, 추가 조사 결과 3,370만 건으로 급증했다.
IT 투자 규모가 더욱 논란을 키우고 있다. 쿠팡은 올해 정보기술 부문에 1조 9,171억 원, 정보보호 부문에만 889억 원을 투자해 업계 3위 수준의 IT 비용을 집행하고 있다. 정보보호 인력도 1만 명이 넘지만, 이번 대규모 사고가 발생해 “보안 관리 실효성” 논란이 일고 있다.
특히 내부 직원 소행 가능성도 제기된다. 수사당국은 쿠팡 고소장에 ‘성명불상자’가 적시된 점과 당시 중국인 전 직원의 관련성 여부를 포함해 조사하고 있으며, 국내 고객 정보가 해외로 유출됐을 가능성도 배제하지 않고 있다.
한국인터넷진흥원(KISA)은 “쿠팡 유출을 빙자한 스미싱·보이스피싱 시도가 확산될 수 있다”며 이용자 주의를 당부했다. 정보유출 보상·환불 안내 등을 빙자한 문자나 전화가 오면 반드시 공식 채널을 통해 확인해야 한다고 강조했다.
정부는 현재 쿠팡의 개인정보 접근 통제, 암호화, 비식별화 등 법적 의무 준수 여부를 집중 조사 중이다. 배경훈 과학기술정보통신부 장관은 “2차 피해 방지에 최선을 다하겠다”며 “민관합동조사단을 통해 사고 경위를 투명하게 규명할 것”이라고 말했다.
