‘회원 정보 다 털린’ 쿠팡, 5개월 동안 유출 몰랐다

고객계정 3370만개 털려
이름·이메일·배송지 등 유출
고객들 “불안·무책임” 호소
“쿠팡 사안 과소평가” 비판도

쿠팡 본사. <자료 = 쿠팡>

사실상 거의 모든 회원의 개인 정보가 유출된 쿠팡이 이 같은 사실을 5개월여 동안 인지하지 못했다. 유출된 정보의 범위가 이름, 이메일 주소, 주문정보(배송지 주소 및 이름) 등이어서 이용자의 걱정이 커지고 있지만 쿠팡측은 “수사중인 사안이라 말할 게 없다”며 구체적인 답변을 내놓지 않고 있다.

쿠팡은 29일 고객 계정 3370만개의 개인정보가 해외 서버를 통해 무단으로 노출된 사실을 확인해 경찰청, 개인정보보호위원회 등 관계 기관과 조사하고 있다고 밝혔다. 외부에서의 접속인 것으로 보아 사실상 해킹의 가능성도 있다는 지적도 나온다.

쿠팡은 지난 18일 4500여 계정의 개인 정보가 유출됐다고 밝힌 바 있는 데 조사 과정에서 유출 규모가 7500배로 늘었다. 이에 따라 쿠팡이 사안을 과소 평가했거나 제대로 대처하지 못했다는 비판이 나온다.

유출이 확인 된 3370만개의 계정은 사실상 쿠팡 모든 회원에 해당 될 것으로 보인다. 쿠팡의 월간 활성이용자(MAU)는 3300만~3400만명대다.

쿠팡은 노출된 정보가 이름, 이메일 주소, 배송지 주소록에 입력된 이름·전화번호·주소, 일부 주문정보라고 설명했다. 쿠팡은 “카드정보 등 결제 정보와 비밀번호 등 로그인 관련 정보는 노출되지 않았다”며 “자체적으로 피해 방지를 위한 조치를 취했으므로 고객이 추가로 취할 조치는 없다”고 설명했다.

하지만 유출 대상에 거의 모든 회원이 해당되는 만큼, 이용자의 걱정이 커지고 있다. 하지만 쿠팡측은

“수사 중인 사안이어서 말할 게 없다”며 구체적인 피해 현황이나 대책 등에 대해 입을 닫고 있어 이용자들 사이에서 “무책임하다”라는 비판이 쏟아지고 있다.

쿠팡은 2차 피해 발생 여부에 대해서는 “현재까진 보고된 바 없다”고 말했지만 “쿠팡을 사칭한 전화나 문자메시지, 기타 연락에 주의하라”고 말했다.

개인 정보 유출을 5개월 동안이나 몰랐다는 점도 쿠팡의 정보보호 노력에 대해 비판이 쏟아지는 대목이다. 해외 서버를 통한 무단 접근은 지난 6월 24일 시작됐는데, 쿠팡은 11월 초·중순까지 이를 모르고 있었다. 또 이를 발견하고 난 후에도 11월 18에서야 유출 규모가 4500여 개 계정에 그친다고 초기 발표를 하는 등 사안을 과소 평가했다.

이용자들의 불안 호소도 이어지고 있다. 29일 쿠팡 개인정보 유출 문자를 받은 주부 김모씨는 “통신사도 개인정보 유출됐다고 하더니 이제는 쿠팡까지도 유출됐다고 하니 정말 불안해서 못 살겠다”고 하소연했다.

쿠팡이 보낸 개인정보 노출 통지 문자

박모씨는 “통신사에 이어, 카드사까지 털리더니 오늘은 쿠팡까지 안내를 받았다”면서 “이쯤되면 내 정보는 개인정보가 아니라 공유정보가 됐는데 앞으로 어떤 피해가 올지 불안하다”고 했다.

쿠팡은 이달 중순 개인정보 노출을 인지한 직후 독립적인 보안기업 전문가를 영입해 자체적인 조사를 진행하는 동시에 경찰청, 한국인터넷진흥원, 개인정보보호위원회 등과 지속적으로 협력하고 있다고 설명했다.

쿠팡은 “개인정보가 유출된 고객들에게 이메일 또는 문자메시지를 통해 별도 안내를 했다”며 “추가 문의 사항이 있을 경우 메일(incident_help@coupang.com)로 문의해달라”고 밝혔다.

쿠팡은 또 “무단 접근 경로를 차단했으며 내부 모니터링을 강화했고, 이를 위해 쿠팡은 독립적인 리딩 보안기업 전문가들을 영입했다”며 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않았으므로 쿠팡 이용 고객은 계정 관련 조치를 취할 필요가 없다”고 강조했다.