[단독] 쿠팡 “사이버 보안 위협, 큰 영향 없다” 미국 공시

3370만명 개인정보 유출 인지 9개월 전
미 증권거래위 보고서에 담긴 안이한 인식

지난달 30일 오후 서울 중구 한 쿠팡 차고지에 차량이 주차되어 있다. 쿠팡은 개인 정보가 유출된 고객 계정 수가 3370만개로 확인됐다고 밝혔다. 최현수 기자 emd@hani.co.kr

대규모 개인정보 유출 사고가 발생한 쿠팡이 미국 증권거래위원회(SEC)에 제출한 보고서에서 사이버보안 위협이 회사에 중대한 영향을 미치지 않았다고 공시한 것으로 나타났다. 사이버보안 분야 위협이 날로 증가한다는 점을 언급하면서도, 향후 중대한 영향이 있을 정도의 위협은 없을 것이라는 취지로도 공시했다.

1일 미국 증권거래위원회 누리집을 보면, 쿠팡은 올해 2월 제출한 ‘10-케이(K) 보고서’(한국의 사업보고서격)의 ‘사이버보안’(Cybersecurity) 항목에서 “사이버보안 위협에 따른 위험이 사업전략, 영업실적, 재무상황 등에 중대하게(materially) 영향을 미치지 않았다”고 서술했다. 증권거래위원회는 사이버보안 항목에서 ‘사이버보안 위협이 기업에 앞으로 중대한 영향을 미칠 가능성이 있는지’ 여부도 함께 알리도록 하는데, 이에 대해서도 쿠팡은 해당이 없다(“false”)고 부연했다.

2021년, 2023년에도 개인정보 유출

쿠팡에서는 과거에도 개인정보가 유출된 적이 있다. 2021년 애플리케이션 업데이트 과정에서 고객 14명의 이름과 배송주소가 1시간가량 노출된 적이 있고, 2023년 12월에는 판매자 전용 시스템에서 주문자와 받는 사람 2만여명의 개인정보가 다른 판매자에게 노출됐다. 쿠팡은 보고서에서 과거 보안 사고를 언급하면서 “보안 위협을 탐지하고 방어하는 데 어려움이 늘고 있다”, “직원이나 상업적인 관계에 있는 사람의 의도적이거나 그렇지 않은 침해를 포함하는 비기술적 문제로 보안 침해가 발생할 수도 있다”고 언급하기도 했다. 그러면서도 종합적으로는 과거에도 중대한 영향이 없었고 앞으로도 없을 가능성이 크다는 취지로 공시한 것이다.

쿠팡과 정부 설명을 들어보면, 쿠팡에서는 이용자 3370여만명의 이름, 전화번호, 주소 같은 개인정보가 유출됐다. 지난 6월24일부터 외국 서버를 통해 개인정보가 유출된 것으로 추정되는데, 쿠팡은 지난달 18일에서야 이를 인지했다. 과학기술정보통신부와 개인정보보호위원회는 민관합동조사단을 꾸렸으며, 경찰 역시 쿠팡으로부터 고소장을 접수한 뒤 임의제출 형식으로 내부 자료를 넘겨받아 분석하고 있다.

조해영 기자 hycho@hani.co.kr