국내 e커머스 시장의 독보적 1위인 쿠팡이 창사 이후 최대 위기에 직면했다. 전 국민의 65%에 해당하는 약 3370만 명의 고객 개인정보가 유출되는 초유의 사태가 발생했기 때문이다. 특히 고객 정보 탈취가 시작된 지 5개월이 지나도록 쿠팡 측이 이를 인지하지 못한 것으로 드러나 ‘로켓배송’ 혁신 뒤에 가려진 허술한 보안 관리 실태가 논란이 되고 있다.
30일 유통업계와 수사당국에 따르면 쿠팡은 지난 6월 24일부터 해외 서버를 경유한 미상의 접속자가 고객 데이터베이스(DB)에 무단 접근해 정보를 탈취한 사실을 뒤늦게 확인했다. 범인은 중국 국적의 전 쿠팡 직원으로 추정되며, 이미 해외로 도피한 것으로 알려졌다.
쿠팡의 최초 인지 시점은 정보 유출 후 약 5개월이 지난 11월 18일로 파악됐다. 당초 쿠팡은 유출된 개인정보 계정을 4536건으로 확인하고 신고했다. 하지만 추가 조사 결과 피해 규모가 그 7500배에 달하는 약 3370만 건으로 드러났다. 이는 쿠팡의 올해 3분기 기준 활성고객 수(약 2470만 명)를 크게 웃돈다.
유출된 정보에는 이름, 이메일, 휴대폰 번호, 주소, 일부 주문 내역 등이 포함됐다. 쿠팡 측은 “카드번호와 비밀번호 등 민감한 정보는 유출되지 않았다”고 해명했다. 하지만 유출된 정보가 보이스피싱, 스미싱 등 ‘2차 범죄’에 악용될 가능성이 있어 이용자의 불안감이 커지고 있다. 정부는 이날 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 긴급 관계부처 장관회의를 열고 사고 원인 분석과 재발 방지 대책 마련에 나섰다.
이번 사태로 쿠팡의 ‘초격차 전략’에 제동이 걸릴 전망이다. 서울경찰청 사이버수사대는 쿠팡으로부터 서버 등 관련 자료를 확보해 수사에 들어갔다. 배 장관은 “쿠팡이 개인정보보호 관련 안전조치 의무를 위반했는지 조사 중”이라고 밝혔다. 개인정보보호위원회가 역대 최대 규모의 과징금 부과를 검토할 것이란 예상도 나온다. 업계 안팎에서는 이번 사태가 보안 사고를 넘어 기업 신뢰도 훼손과 집단소송 등으로 확산할 것을 우려하고 있다.
사태가 일파만파 커지자 쿠팡은 이날 오후 박대준 대표 명의의 대국민 사과문을 발표했다. 박 대표는 “국민 여러분께 큰 불편과 걱정을 끼쳐 진심으로 사과드린다”며 “민관합동조사단과 긴밀히 협력해 추가 피해 예방에 최선을 다하겠다”고 밝혔다. 이어 “고객 데이터를 더 안전하게 보호할 수 있도록 기존 데이터 보안 장치와 시스템을 강화하겠다”고 했다.
안재광/이영애/김영리 기자 ahnjk@hankyung.com
관련뉴스
