"비밀번호를 알고 있다"...쿠팡 해킹 첫 신호는 11월 16일이었다

3370만 명의 개인정보가 유출됐다. 쿠팡은 5개월간 이 사실을 몰랐다. 고객 민원으로 겨우 알아챘고, 사과문마저 ‘특가 광고’로 포장했다. 최근 논란이 되고 있는 쿠팡 해킹 사건의 전말이다. 

[우먼센스] 쿠팡 해킹 사건은 들여다 볼수록 황당한 타임라인이다. 시작은 지난 6월 24일부터였다. 해외 서버를 통한 비정상적 접근이 그날부터 이어졌지만, 쿠팡은 단 한 번도 눈치채지 못했다.

사진=임준선 기자(이오이미지)

첫 경고는 11월 16일이었다. 일부 회원들에게 '당신의 비밀번호를 알고 있다'는 수상한 이메일이 날아왔다. 고객이 쿠팡에 문의했지만 즉각 대응은 없었다. 이틀 뒤인 11월 18일 밤에야 쿠팡은 침해 사실을 알아차렸다. 그것도 고객 민원 덕분이었다.

더 황당한 건 협박 메일의 존재다. 11월 28일, 쿠팡 고객센터에 이메일이 도착했다. "회원들의 개인정보를 확보하고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다." 금전 요구는 없었다. 수사 당국은 이미 다크웹에 정보를 판매한 뒤의 연막작전이거나, 공갈죄 적용을 피하려는 계산일 가능성을 보고 있다.

4536개에서 3370만 개로...급격히 불어난 피해 규모

쿠팡이 처음 경찰에 신고한 건 11월 19일 오후 9시 35분이었다. 신고서에는 "4536개의 계정 프로필에 접근한 기록이 발견됐다"고 적혀 있었다. 최근 5건의 주문 이력과 배송 주소록이 유출됐다는 내용이었다.

다음 날인 20일, 피해 고객들에게 문자가 날아왔다. "귀하의 개인정보가 비인가로 조회된 것을 18일에 확인했다"는 짧은 안내였다. 정확히 언제 유출됐는지, 어떤 경로로 빠져나갔는지에 대한 설명은 없었다. 이름, 전화번호, 배송주소, 이메일이 유출됐다는 사실만 덤덤하게 전달됐다.

진짜 충격은 9일 뒤에 터졌다. 11월 29일, 쿠팡은 "후속 조사 결과 고객 계정 약 3370만 개가 무단으로 유출됐다"고 발표했다. 4536개에서 3370만 개로, 피해 규모가 7400배 이상 급증한 것이다. 이는 쿠팡이 2024년 3분기 발표한 활성 고객 수 2470만 명을 훨씬 넘어서는 수치였다. 사실상 가입자 전원의 정보가 유출된 셈이었다.

사과문 공유하면 '특가 혜택' 문구...쿠팡의 어긋난 위기 대응

유출 사태가 공론화되자 쿠팡은 11월 30일 박대준 대표 명의의 사과문을 게시했다. 그러나 이 사과문은 단 이틀 만인 12월 2일 내려졌다. 사과문이 사라진 자리엔 '오늘 밤 12시까지 주문해도 로켓배송은 내일 도착!' 광고가 떴다. "이틀짜리 사과"라는 비난이 쏟아졌다. 

더 큰 문제는 쿠팡이 일관되게 '유출'이 아닌 '노출'이라는 단어를 고집했다는 점이다. 개인정보보호위원회는 12월 3일 쿠팡에 '노출' 통지를 '유출' 통지로 수정하고 7일 이내 재통지하라고 요구했다. 내부자에 의한 사고를 외부 해킹과 다르게 포장해 법적 책임을 축소하려 한다는 의심이 일었다.

12월 7일, 쿠팡은 '개인정보 유출 사고에 대해 재안내 드립니다'라는 공지를 올렸다. 하지만 이번에도 문제가 터졌다. 8일 오전, 이 공지를 카카오톡에 공유한 이용자들은 경악했다. 미리보기 제목으로 "쿠팡이 추천하는 Coupang 관련 혜택과 특가"라는 문구가 떴던 것이다. 사과문마저 상품 홍보 페이지처럼 설정해둔 쿠팡의 안일함에 소비자들의 분노는 끓어올랐다.

180만 명 이탈했지만..."그래도 쿠팡은 못 끊겠다"

데이터 분석업체 아이지에이웍스 모바일인덱스 집계에 따르면, 쿠팡의 일일 활성 이용자는 유출 발표 직후인 지난 1일 1798만 명으로 오히려 역대 최고치를 기록했다. 고객들이 자신의 계정 상태를 확인하려 앱에 접속한 결과였다.

하지만 불안감이 가시지 않자 이용자는 급감하기 시작했다. 12월 5일에는 1617만 명으로 나흘 새 180만 명이 넘게 줄었다. 탈퇴를 시도하는 이들도 폭증했지만, 쿠팡의 탈퇴 절차가 지나치게 복잡하다는 불만이 쏟아졌다. 방송미디어통신위원회는 12월 4일 긴급 조사에 착수했다.

그럼에도 불구하고 증권가와 유통업계의 전망은 냉정하다. 각종 온라인 커뮤니티에서는 여전히 "한 번 쿠팡 맛보면 못 돌아간다"는 반응이 압도적이고, CJ대한통운, 이마트 등 경쟁사 주가도 반짝 상승 후 주춤했다. JP모건은 "쿠팡은 경쟁자가 없는 시장 지위를 누리고 있다"며 "소비자 이탈은 제한적일 것"이라고 전망했다. 다만 실제 2차 피해 사례가 생기면 대규모 이탈이 발생할 수 있다는 경고도 나온다.

한 유통업계 관계자는 "솔직히 말해 쿠팡 외에 경쟁자가 없고, 대체제도 없는 상황이다. 다른 업체 중에 쿠팡만큼 편리한 배송을 할수 있는 곳이 없고 따라갈 만한 능력도 없다"면서 "몇 개월 뒤에는 다시 쿠팡 사용이 정상화될 것으로 보인다"고 말했다. 

"범행 IP 확보...조만간 피의자 특정"...중국인 전직 개발자 추적

수사 당국과 언론은 일제히 전직 쿠팡 중국인 직원을 용의자로 지목했다. 11월 30일 여러 제도권 언론은 "이미 쿠팡에서 퇴사해 한국을 떠난 중국 국적 전직 직원"이 용의자로 확인됐다고 보도했다.

12월 1일 국회 과방위 최민희 위원장이 공개한 자료에 따르면, 용의자로 지목된 인물은 인증 시스템 개발자였다. 이 개발자는 퇴사 후에도 장기간 유효한 인증키를 그대로 갖고 있었고, 이를 악용해 쿠팡 서버에 자유롭게 접근할 수 있었다.

더 큰 문제는 쿠팡의 허술한 보안 체계였다. 쿠팡은 사용자 식별값을 1부터 순서대로 증가하는 정수로 설정해뒀다. 전문가들이 "대학 2학년 수준 보안 설계"라고 비판할 정도였다. 범인은 1번부터 3370만 번까지 숫자를 넣으며 전체 회원 정보를 긁어갔다.

다행인 점은 경찰이 유출 사건의 피의자 특정 작업이 막바지에 접어들었다고 밝힌 것이다. 경찰 관계자는12월 8일 정례 기자간담회에서 "서울경찰청 전담수사팀이 범행에 사용된 IP를 확보해 추적을 진행 중"이라며 "증거 확인 절차를 거쳐 조만간 피의자를 특정할 수 있을 것"이라고 말했다.

12월 9일에는 경찰은 압수수색 돌입하며 강제수사에 착수했다. 서울경찰청 사이버수사과는 9일 오전 송파구 쿠팡 본사에 수사관 17명을 투입해 압수수색을 벌였다. 전담수사팀장인 사이버수사과장(총경급)까지 현장에 나섰다. 

하지만 범인 검거는 난항이 예상된다. 중국은 자국민을 타국으로 넘기지 않는 관행이 강해 신병 확보가 어려울 수 있다. 다만 올해 8월 한국에 중국인 해커가 인도된 전례가 있어 가능성은 열려 있다.

미국 본사 겨냥 집단소송..."징벌적 배상 노린다"

국내 집단소송과는 별개로, 쿠팡의 미국 본사를 상대로 한 소송이 본격화되고 있다. 법무법인 대륜의 현지 법인인 미국 로펌 SJKP는 8일(현지시간) 뉴욕 맨해튼에서 기자회견을 열고, 쿠팡 Inc.를 대상으로 한 집단소송 계획을 밝힐 예정이다. 미국은 징벌적 손해배상 제도가 있어 더 큰 배상을 기대할 수 있다.

기자회견에서 손동후 변호사(뉴욕주)는 "모기업인 쿠팡 Inc. 역시 책임으로부터 자유로울 수 없다"고 강조했다. 다만 미국 법원이 관할권 문제로 소를 각하할 가능성도 있다. 국내에서는 법무법인 청을 비롯한 여러 로펌이 1만 5000명 이상의 집단소송을 준비 중이다.

더욱 논란이 되는 건 쿠팡이 지난해 11월 이용 약관에 '서버에 대한 제3자의 불법적 접속으로부터 발생한 손해에 책임지지 않는다'는 내용의 조항을 추가한 것은 사실이다. 다만 이 조항이 실제 해킹을 '예상하고 사전 대비한 것'인지는 현재로선 확인되지 않았다. 시기상 의혹이 제기되지만, 쿠팡이 어떤 내부 판단으로 해당 조항을 넣었는지는 공식적으로 밝혀지지 않았다.

역대 최대 과징금 예고..."최소 1500억, 최대 1조 2000억"

쿠팡에는 천문학적인 과징금도 예고돼 있다. 개정된 개인정보보호법에 따르면 매출액의 3%까지 과징금이 부과될 수 있는데, 쿠팡의 경우 최소 1500억 원에서 최대 1조 2000억 원까지 가능하다. 이는 SK텔레콤 유심 정보 유출 사고(ㅁ과징금 1348억 원)를 넘어서는 역대 최대 규모다.

법조계에서는 "10만 원"이라는 기존 배상 기준도 바뀔 수 있다는 전망이 나온다. 일반적으로 개인정보 유출에 10만 원 배상인 기준이 너무 낮다는 지적 때문이다. 

2차 피해 현실화?...300만 원 무단 결제 사건 발생

우려하던 2차 피해 사례가 보고되기는 했다. 쿠팡에 등록된 카드에서 300만 원이 무단 결제된 사건이 발생한 것이다. 다만 이 결제가 이번 쿠팡 유출 정보와 직접적으로 연관됐는지는 아직 수사 단계에서 공식적으로 확인되지 않았다.

전문가들은 '이번 유출 정보와 기존에 다른 경로로 유출된 정보가 결합됐을 가능성'도 언급하지만, 직접 인과 관계가 입증된 것은 아니다. 쿠팡은 "결제 정보는 유출되지 않았다"고 강조했지만, 다른 경로의 정보와 조합하면 피해가 발생할 수 있다는 지적도 나온다. 

한국인터넷진흥원(KISA)은 "피해 보상금, 환불 안내 등의 문자로 악성 앱 설치를 유도하는 스미싱이 성행하고 있다"며 출처 불분명한 링크는 절대 클릭하지 말 것을 당부했다.

소비 습관 vs 불안감...쿠팡 사태가 던진 질문

쿠팡은 7일 공지를 통해 "새로운 유출 사고는 없다"며 "공동현관 비밀번호 변경을 권장한다"고 밝혔다. 하지만 300만 원 무단 결제 사건으로 신뢰성은 흔들렸다.

쿠팡 주가는 12월 1일 뉴욕 증시에서 5.3% 폭락했다. 이재명 대통령도 2일 국무회의에서 "5개월 동안이나 유출을 파악하지 못했다는 것이 놀랍다"고 질타했다.

180만 명이 떠났지만 1600만 명은 여전히 남아 있다. 편리함과 안전 사이에서, 소비자들의 선택이 쿠팡 사태의 향방을 결정할 것이다.

김태현 기자 toyo@ilyo.co.kr