고객정보 3000만건 털렸는데…쿠팡, 5개월간 몰랐다

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3000만건 이상의 대규모 정보 유출 사고가 발생했다. 반년 전부터 고객 정보가 유출됐을 가능성까지 제기되며 소비자들의 우려가 커지고 있다.

30일 유통업계에 따르면 쿠팡은 전날 오후 "고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다"고 공지했다.

쿠팡에 따르면 노출된 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다.

회사 측은 "현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다"고 밝혔다.

5개월 전부터 고객 정보 탈취 시도가 있었다는 것이다.

쿠팡은 이 사고를 지난 18일 인지하고 지난 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 조사를 진행 중이다. 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다.

과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 쿠팡 측으로부터 지난 25일 고소장을 받아 개인 정보 유출 사태 수사에 착수했다.

소비자들 사이에서는 2차 피해에 대한 우려가 나오고 있다. 특히 쿠팡이 피해 규모를 9일 만에 약 7500배로 조정한 것을 두고 추가 피해가 뒤따를 가능성이 있다. 지난 6월부터 정보 탈취 시도가 있었던 것으로 확인된 만큼 수개월에 걸쳐 정보가 유출됐을 것이라는 관측도 나온다.

쿠팡은 지난 20일에는 정보 유출 피해 고객 계정이 4500여개라고 발표했으나, 전날 3370만개라고 다시 공지했다.

쿠팡은 지난 3분기 실적 발표에서 프로덕트 커머스 부분 활성 고객(구매 이력이 있는 고객)은 2470만명이라고 밝혔는데 이보다 많다. 사실상 전체 고객 정보가 유출된 것이나 마찬가지다.

쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)를 뛰어넘는 규모다.

그간 다른 기업들의 보안 관련 사고를 보면 당국의 조사가 진행되면서 피해 규모는 초기 발표보다 큰 것으로 확인됐다. 앞서 사이버 침해 사고가 발생한 롯데카드의 경우 지난 9월 4일 사과문에서는 "현재까지 조사한 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다"고 밝혔으나, 2주 뒤에는 카드번호뿐 아니라 CVC번호 등 민감 정보까지 유출된 것으로 나타났다.

KT는 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹이 제기돼 경찰이 이달 강제수사에 착수했다.

한편 이번 정보 유출 사고를 비롯해 최근 국내에서 쿠팡을 둘러싼 사회적 논란이 계속되고 있다. 택배 기사·물류센터 노동 문제와 쿠팡풀필먼트서비스(CFS) 퇴직금 미지급 사건 관련 수사 외압 의혹, 입점 수수료 등이 대표적이다.

지난달 국정감사에서는 박대준 대표 등 쿠팡 경영진이 5개 상임위원회에 증인으로 출석해 여야 의원들의 질타를 받았다. 또 이번 국감에서 제기된 수사 외압 의혹은 상설특검 수사를 받게 됐다.