[사설]3370만 계정 털린 쿠팡… 최악의 개인정보 유출 사태

그래픽=김수진 기자 soojin@donga.com

국내 최대 유통기업 쿠팡에서 3370만 명의 개인정보가 유출되는 초유의 사건이 발생했다. 이름, 전화번호, 자택 및 배송지 주소, e메일 주소와 최근 주문 내역까지 민감한 정보가 무더기로 빠져나갔다. 유출된 정보의 규모와 민감성을 감안하면 ‘역대 최악의 개인정보 유출 사건’이라고 해도 과언이 아니다.

이번 개인정보 유출은 6월 24일부터 이뤄졌다고 한다. 그런데 쿠팡은 소비자 신고를 받고 지난달 18일에야 처음 피해 사실을 파악했다. 무려 5개월 동안 대규모 정보 유출을 전혀 감지하지 못한 건 내부 정보보호 시스템이 있으나 마나 했다는 뜻이다. 쿠팡 측은 현재 퇴사한 중국 국적 직원이 해외 서버를 경유해 무단으로 고객 정보에 접근한 것으로 의심하고 있다. 경찰의 수사 결과를 봐야겠지만 직원 한 사람이 모든 고객 정보를 빼낼 수 있었다면 접근 통제 시스템 역시 무용지물이었다는 지적을 피하기 어렵다.

처음 4500건이라고 보고됐던 피해 규모가 불과 9일 만에 7500배로 늘어난 경위도 석연치 않다. 쿠팡 측은 “조사 과정에서 추가 유출 사실을 알게 됐다”고 설명했지만 사건을 은폐하거나 축소하려 한 건 아닌지 철저한 수사가 필요하다. 쿠팡 측은 피해 고객들에게 “결제·로그인 정보는 유출되지 않았으니 계정 관련 조치는 필요 없다”고 안내했는데 이 또한 지나치게 성급한 판단으로 보인다. 추가 조사에서 유출 정보가 더 있는 것으로 나타나면 피해가 커질 수밖에 없다.

현재까지 유출된 정보만으로도 심각한 2차 피해가 우려되는 상황이다. 유출된 배송지 정보에 공동현관 비밀번호가 포함된 경우 스토킹이나 주거침입 범죄로 이어질 수 있다. 성인 4명 중 3명꼴로 피해를 입은 만큼 피해 조회·보상, 환불, 애플리케이션(앱) 업데이트 등을 빙자한 ‘피싱 사기’도 기승을 부릴 것으로 예상된다. 쿠팡은 “사칭 전화와 문자에 주의해 달라”는 공지만 하고 손 놓을 게 아니라 2차 피해를 막기 위해 보다 적극적이고 책임 있는 자세로 나서야 한다.

쿠팡은 2021, 2024년 두 차례 국가 공인 정보보호 인증인 ISMS-P를 취득했지만 인증 이후 이번까지 4번이나 개인정보 유출 사고를 겪었다. SK텔레콤(2324만 명)과 롯데카드(297만 명) 역시 ISMS-P를 취득한 상태에서 올해 대규모 개인정보 유출 사건이 발생했다. 정부는 이번 사태를 유명무실해진 인증 제도를 전면 재점검하고 실효성 있는 개선 방안을 마련하는 계기로 삼아야 한다.