유출 규모 3370만명…이름, 이메일 주소·배송지 주소록 등
사고 12일 만에 인지, 수개월 간 해킹 시도에도 ‘늑장 대응’
“결제 정보 등 노출 無, 당국 조사 협조·모니터링 강화”
피해보상 요구·탈퇴 인증글 움직임도 ‘고객 불안 해소 관건’
▲쿠팡 잠실 사옥 전경. 사진=연합
국내 1위 이커머스 업체인 쿠팡의 대규모 고객정보 유출 사태가 발생하면서 소비자 불안이 커질 전망이다. 회사 측에서 결제 정보 등 민감한 정보는 포함되지 않았다며 사태 수습에 나섰지만, 온라인상으로 탈퇴 인증글까지 올라오며 이용자 이탈 우려가 높아지고 있다.
29일 쿠팡에 따르면, 약 3370만개의 고객 계정정보가 무단 유출된 것으로 확인됐다. 앞서 쿠팡은 6일 오후 6시 38분 한국인터넷진흥원에 자사 계정 정보에 대한 무단 접근이 이뤄졌고, 이를 12일이 지난 18일 오후 10시 52분이 인지했다고 밝혔다. 유출된 정보는 이름·이메일 주소·배송지 주소록·일부 주문 정보 등이다.
일각에서는 이번 정보 유출의 핵심 관련자가 중국 국적의 쿠팡 전(前) 직원이라는 추측까지 나오고 있다. 다만, 쿠팡은 이와 관련해 본지에 “현재는 당국 수사가 진행 중인 상황으로, 적극 협조 중이라는 말밖에 할 수 없다"며 구체적인 답변을 삼갔다.
소비자들은 당초 회사 측이 안내한 규모 대비 유출 정도가 수천 배 높다는 점에서 실망감을 감추지 못하는 분위기다. 실제 사태 발생 후 쿠팡 측이 1차적으로 밝혔던 개인정보 노출 계정은 4500여개로, 후속 조사 결과인 3370만개 대비 약 7500배 낮은 수치다.
유출 규모가 쿠팡의 전체 회원 규모를 웃도는 것으로 짐작되면서 사태의 심각성은 더 커지고 있다. 현재 쿠팡은 전체 가입자 수를 공개하지 않고 있으나, 올 3분기 기준 쿠팡의 프로덕트 커머스 부분 활성고객 수는 2470만명이다. 특히, 이번 유출 계정 수가 더 많다는 점에서 과거 이용자까지 포함된 것이 아니냐는 지적도 제기된다.
수개월 간 해킹 시도가 지속됐으며, 해킹 발생 후 장기간 방치된 점도 논란의 불씨를 키우고 있다. 쿠팡의 조사 결과대로라면, 이번 개인정보 유출은 올 6월 24일부터 해외 서버를 통해 무단 접근이 이뤄졌다. 사실상 5개월여 간 비정상적인 해킹 시도가 계속됐고, 올 6일 해킹을 당하고도 12일이 지나서야 인지한 점 등에서 소비자 비판을 피할 수 없을 것으로 보인다.
이 같은 점을 의식한 듯 쿠팡은 사법 기관·규제 당국과 관련 조사를 이어가는 한편, 보안기업 전문가를 대동해 모니터링을 강화하는 등 후속 조치안을 부랴부랴 꺼내들었다. 여기에 쿠팡은 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않았으므로 이용 고객은 계정 관련 조치를 취할 필요가 없다"고 강조했다.
쿠팡은 이와 같은 내용의 문자 메시지까지 고객 개개인에 발송하며 고객 이탈 방지에 나선 눈치지만, 현재 X(구 트위터) 등 소셜 네트워크 서비스(SNS)상으로 “피해보상하고 유출시킨 직원 처벌하라", “쿠팡 탈퇴 및 (앱) 삭제 완료" 등의 다소 부정적 반응이 쏟아지고 있다.
업계는 최근 사회 전반에서 수차례 보안 관련 문제가 발생하면서 소비자들의 불안감이 더 커진 터라, 이번 쿠팡 정보 유출 사태에 대한 소비자 민감도가 더 높을 수밖에 없다고 평가하고 있다.
실제 올 4월 유심 정보 유출 사고를 겪은 SKT 이후 KT·LG유플러스도 연이어 해킹 피해 소식을 알렸다. 이들 기간통신사업자뿐 아니라 롯데카드·예스24·넷마블 등 민간기업과 심지어 정부부처까지 보안 사고가 발생하며 최대 리스크로 떠오른 상황이다.
한편, 쿠팡이 개인정보 유출 사고로 물의를 빚은 것은 이번이 처음이 아니다. 2023년에는 약 46만건의 쿠팡 고객 정보가 다크웹 해킹 포럼에서 거래됐다. 2021년에는 쿠팡이츠 배달원 13만5000여명의 개인정보가, 2023년에는 판매자 시스템에서 2만2000여명의 고객 주문 정보가 각각 유출되는 사고가 발생한 바 있다.
;){kind=link}