참고사진 = 쿠팡 홈페이지

국내 이커머스 1위 기업 쿠팡에서 사상 최대 규모의 개인정보 유출 사고가 발생했다. 쿠팡은 11월 29일 약 3370만 개 고객 계정의 개인정보가 무단으로 노출됐다고 공지했다. 이는 쿠팡의 활성 고객 수인 2470만 명을 훨씬 웃도는 수치로, 사실상 전체 고객의 정보가 유출된 셈이다.

더욱 충격적인 것은 쿠팡이 이 사실을 5개월 동안이나 인지하지 못했다는 점이다. 쿠팡은 해외 서버를 통해 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있으며, 11월 18일에 이르러서야 사고를 인지했다. 그마저도 쿠팡이 자체적으로 발견한 것이 아니라 고객의 민원을 통해 뒤늦게 알게 된 것으로 알려지면서 보안 관리 체계에 대한 의문이 제기되고 있다.

유출된 정보는 고객 이름, 이메일, 전화번호, 주소, 일부 주문 정보 등이다. 쿠팡 측은 결제 정보와 신용카드 번호는 포함되지 않았다고 밝혔지만, 소비자들의 불안은 쉽게 가라앉지 않고 있다. 주소지에 공동현관 비밀번호까지 기재한 경우가 많아 실질적인 보안 위협이 크다는 우려가 나온다.

이번 쿠팡 사태는 국내 개인정보 유출 사고 중 최대 규모다. 개인정보보호위원회로부터 역대 최대 과징금인 1348억 원 처분을 받은 SK텔레콤의 개인정보 유출 사고가 약 2324만 명이었던 것과 비교하면 그 심각성을 알 수 있다. 처음 쿠팡이 11월 18일 인지했을 당시에는 약 4500개 계정이 유출된 것으로 파악됐으나, 추가 조사 결과 피해 규모가 무려 7500배 이상 늘어났다.

핵심 관련자는 중국 국적의 전 직원으로 확인됐으며, 이미 한국을 떠나 중국으로 귀국한 상태로 알려졌다. 이는 외부 해킹이 아닌 내부자의 소행이라는 점에서 더욱 충격적이다. 과거 싸이월드, 네이트, SK텔레콤 등의 대형 유출 사고가 모두 외부 해커의 침입으로 발생한 것과 달리, 이번 사건은 내부 보안과 인력 관리의 허점을 그대로 드러냈다.

개인정보 유출 사고는 이제 낯선 뉴스가 아니다. 2024년 한 해에만 총 307건의 개인정보 유출 사고가 발생했으며, 해킹이 171건으로 56%를 차지했다. 2023년과 비교해 해킹으로 인한 신고는 13% 증가했다. 왜 이런 사고가 끊이지 않는 것일까?

보안 전문가들은 국내 기업의 '땜질식 대응'을 가장 큰 문제로 지적한다. 고려대 정보보호대학원 권헌영 교수는 쿠팡 사례가 특정 분야에서 문제가 생기면 그때그때 해당 부분만 때우는 식의 보안 정책이 더 이상 통하지 않는다는 것을 보여준다고 지적했다. 보안을 전략 경영의 핵심 의제로 올려 전사적 관점에서 다루지 않으면 이런 대형 사고는 반복될 수밖에 없다는 것이다.

순천향대 정보보호학과 염흥열 교수는 내부 권한을 가진 사람이 정보를 유출했다면 이는 내부 보안과 모니터링 체계에 심각한 약점이 드러난 것이라며 상시 관제 시스템과 최소 권한 원칙의 중요성을 강조했다. 기업들의 사후 대응 중심 전략도 문제다. 많은 기업이 사고 이후의 사후 대응에만 집중하는 경향이 있지만, 지금 필요한 것은 사고가 터지기 전 위험을 미리 예측하고 차단하는 선제적 보안 전략이다. 특히 외부 솔루션에 대한 과도한 의존과 내부 보안 체계 구축의 소극성, 전문 인력 부족과 예산 문제가 복합적으로 작용하고 있다.

해킹 기술의 고도화도 한몫한다. 단순한 바이러스나 스팸 메일이 아니라 SQL 인젝션, 악성코드, 웹셸, 크리덴셜 스터핑 등 복잡하고 은밀한 방식으로 침입이 이뤄지고 있다. 2024년 상반기 기준 침입 경로조차 불명확한 사례가 87건에 달할 정도로 공격 수법이 치밀해지고 있다.

쿠팡의 대응 방식도 비판받고 있다. 현행 정보통신망법은 기업이 침해 사고를 인지한 뒤 24시간 이내에 관계 기관에 신고하도록 규정하고 있으나, 기업들은 개인정보 공격 사실을 공개하는 것 자체가 패널티로 작용한다고 여겨 과징금 부과 등 제재를 우려해 위협 관련 정보를 드러내지 않는 경우가 있다.

실제로 쿠팡은 11월 18일 사고를 인지했지만 11월 20일과 29일에야 개인정보보호위원회에 신고했다. 이 과정에서 피해 규모는 4500건에서 3370만 건으로 급증했다. SK텔레콤 역시 4월 개인정보보호위원회에 신고했으나 정보 주체에게는 한 달 넘게 해당 사실을 통지하지 않았다.

국내 사이버보안 체계가 국가정보원, 개인정보보호위원회, 한국인터넷진흥원 등으로 분산돼 있어 조사 과정에서 빠른 피해 내용 수집과 대처가 지연되는 것도 신속한 대응을 가로막는 요인으로 지적된다.

참고사진 = 쿠팡 홈페이지

소비자들의 불안과 분노는 커지고 있다. 온라인 커뮤니티와 SNS에는 쿠팡의 개인정보 유출 사태에 대한 항의가 이어지고 있다. 네티즌들은 "쿠팡 개인정보 유출 문자받고 불안해서 잠이 안 온다", "이름, 주소, 전화번호 다 털렸다는데 결제정보는 안전하니 괜찮다는 식이라 어이가 없다", "정보 관리도 못하고 사람 관리도 못한다"는 등 부정적인 반응을 쏟아냈다.

특히 주소 정보에 공동현관 비밀번호까지 포함된 경우가 많아 보이스피싱이나 스토킹 등 2차 범죄로 이어질 가능성에 대한 우려가 크다. 한 이용자는 "아파트 공동현관 출입번호도 주문 정보에 적어뒀는데, 같이 털렸으면 새벽에도 집 앞까지 올 수 있다는 생각이 든다"고 말했다.

쿠팡의 대응 방식에 대한 불만도 컸다. 쿠팡은 개인정보가 노출된 사용자에게 관련 사실을 안내했지만 앱 내 별도 공지가 없고, 신용카드 번호나 결제정보 등 민감한 정보는 유출되지 않았다는 입장만 밝혔다. 네티즌들은 "통보만 하면 끝이냐", "문자만 보내면 끝이냐"며 구체적인 대책과 보상을 요구하고 있다.

집단소송 움직임도 빠르게 확산되고 있다. 11월 29일 네이버 등 포털사이트에 복수의 피해자모임 카페가 개설됐고 가입자가 빠르게 늘고 있으며, 김경호 변호사는 집단 손해배상소송을 진행한다고 밝혔다. 과거 판례를 고려하면 1인당 10만 원 배상이 인정될 경우 단순 계산으로 3조 3700억 원의 배상금이 청구될 수 있다.

정부도 본격적인 조사에 나섰다. 과학기술정보통신부는 민관합동조사단을 구성해 사고 원인을 분석하고 재발 방지 대책을 마련할 계획이며, 개인정보보호위원회는 11월 21일부터 조사를 진행 중이다. 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 서울경찰청 사이버수사대도 11월 25일 쿠팡으로부터 고소장을 접수하고 수사에 착수했다.

하지만 전문가들은 근본적인 변화가 필요하다고 입을 모은다. 기업은 보안을 비용이 아닌 투자로 인식하고, 사고 발생 전 선제적 보안 체계를 구축해야 한다. 다단계 인증 시스템 도입, 민감 데이터의 물리적 분리 저장, 상시 모니터링 체계 강화, 내부자 통제 시스템 구축 등이 필수적이다.

무엇보다 기업의 투명한 정보 공개와 신속한 대응이 중요하다. 사고를 숨기거나 축소하려는 태도는 소비자 신뢰를 더욱 무너뜨릴 뿐이다. 이번 쿠팡 사태가 국내 기업들의 개인정보 보호 체계를 전면적으로 재점검하는 계기가 되어야 한다는 목소리가 높다.

SK텔레콤, LG유플러스, 롯데카드, KT에 이어 이제는 쿠팡까지. 대형 기업들의 연이은 개인정보 유출 사고는 더 이상 남의 일이 아니다. 국민이 이해할 수 있는 정부의 단호한 대처가 필요하다.