‘탈퇴·해지·재발급’ 불안에 갇힌 쿠팡 이용자들…들불처럼 번지는 집단소송
“쿠팡 한국인 계정, 개당 200위안에 팝니다”…中 사이트에서 개인정보 거래 포착되기도
(시사저널=이태준 기자)
"10년 넘게 쿠팡을 애용했다. 쿠팡 앱에 신용카드부터 금융 계좌, 개인통관번호까지 나의 모든 정보가 저장돼 있다. 너무 불안해서 유료회원(로켓와우클럽) 탈퇴를 하려 하니 '보안 시스템으로 안전한 결제가 가능하고, 회원 유지 시 제공되는 혜택을 포기할 건가'라는 내용의 안내가 뜨더라. 부실한 정보 보안 시스템도 문제지만 후속 대처도 분통이 터진다."(40대 주부 A씨)
"쿠팡은 지금까지 단 한 번도 제대로 된 기술적 해명을 내놓지 않았다. 국민들은 여전히 이 사건의 경위를 전혀 알지 못한다."(쿠팡에 개인정보 유출 사실을 최초 제보한 박아무개씨가 SNS에 올린 글)
3370만 명에 달하는 쿠팡의 대규모 개인정보 유출 사태 파장이 확산하고 있다. 쿠팡은 제한적 정보의 '노출'이라고 밝혔지만, 시간이 흐를수록 '유출' 범위가 확대되는 데다 실제 도용으로 인한 피해 사례까지 확인되면서 소비자들의 불안과 우려가 증폭되는 양상이다. 회원 탈퇴와 개인정보 변경 움직임이 확산하는 가운데 쿠팡을 상대로 한 손해배상 집단소송 참여 인원도 급증하면서 법정 공방이 불가피할 전망이다.
"국제발신으로 문자왔다"…뭇매 맞는 쿠팡
12월4일 각종 온라인 커뮤니티와 카페에는 쿠팡의 개인정보 유출로 인한 2차 피해를 우려하는 게시글이 잇따르고 있다. 쿠팡을 상대로 집단소송을 추진하기 위해 로펌과 소비자들이 개설한 네이버 카페는 40개를 넘어섰고, 합산 회원 수는 50만 명에 달한다. 카카오톡에도 집단소송을 준비하는 오픈채팅방이 20개 넘게 열렸다. 집단소송을 준비하는 카페에는 하루에 1만 개가 넘는 소송 참여 글이 올라오고 있다. 소송 착수금 등을 받지 않겠다는 로펌까지 나오면서 쿠팡을 상대로 한 집단소송 참여자는 더 불어날 것으로 보인다. 서울중앙지방법원에는 이미 쿠팡 이용자 14명이 '1인당 20만원씩의 위자료를 달라'며 제기한 손해배상 청구 소장이 접수된 상태다.
개인정보 유출로 인한 '2차 피해' 추정 사례도 잇따르는 것으로 확인됐다. 한 이용자는 "쿠팡으로부터 개인정보 유출 대상 통지 메시지를 받은 이후 여러 건의 '인증번호 알림' 문자를 받았다"며 "(누군가) 제 비밀번호를 알아내 로그인을 시도하고 있는 것 같다. 너무 불안하다"고 호소했다. 또 다른 쿠팡 이용자는 중국어로 된 스팸 문자를 공개하며 "어느 순간부터 스팸·스미싱 성격의 문자가 오고 있다"며 "국제번호로 하루에도 몇 번씩 이런 메시지가 전송되고 있다"고 하소연했다.
탈(脫)쿠팡을 선언하는 '탈팡' 움직임도 일고 있다. 카카오톡 오픈 채팅방에 글을 올린 한 소비자는 "아파트 공동현관 비밀번호를 바꾸긴 했지만 바꾼 번호가 안전할 것이란 보장이 없어서 걱정된다"며 "맞벌이 부부로 육아를 하면서 쿠팡은 필수재였는데, 여러 개인정보부터 주문내역까지 저와 가족의 일상이 고스란히 새나갔다고 생각하니 뒤통수를 맞은 느낌"이라며 탈퇴 인증 사진을 캡처해 올렸다.
실제로 일부 쿠팡 이용자의 계정 정보는 중국 최대 이커머스인 타오바오몰에서 거래되고 있는 것으로 파악됐다. 한국인 명의로 개설된 쿠팡 아이디와 비밀번호 정보는 개당 약 200위안(약 4만1600원) 안팎에 거래되고 있고, 셀러들은 탈취한 계정으로 로그인을 성공해 '검증'까지 마쳤다는 점을 부각하기도 했다.
쿠팡 측은 신용카드 등 결제 정보와 비밀번호를 포함한 로그인 관련 정보는 유출되지 않았다며, 이들 정보는 별도 관리돼 안전하다는 입장을 거듭 강조하고 있다. 그러나 중국 국적의 전 직원이 이번 사태의 핵심 피의자로 지목됐고, 정부 조사와 경찰 수사가 진행되면서 유출 범위와 피해 규모가 커질 수 있는 상황이어서 우려는 가라앉지 않고 있다. 로켓직구 등을 이용하기 위해 쿠팡에 입력해둔 개인통관번호가 유출됐을 가능성도 거론되면서 통관번호를 재발급하려는 시민들이 급증한 탓에 한때 관세청 홈페이지 접속이 지연되기도 했다.
개인정보보호법 사건에 밝은 한 법조인은 "해외 사이트의 경우 이메일만 있어도 가입할 수 있게 돼있는 반면 한국은 가입 단계부터 개인정보를 지나치게 수집하는 경향이 있다"며 "쿠팡의 경우엔 새벽배송을 명목으로 공동현관 등의 정보까지 수집하다 보니 소비자들의 불안이 더 커졌다"고 지적했다.
'로켓배송' 쿠팡, 정보 유출 대처는 '하세월'
쿠팡의 안이한 후속 대처가 불안을 더 키운다는 비판도 나온다. 쿠팡 측은 개인정보보호위원회가 '노출'이 아닌 '유출'로 고객에게 통지하라고 요구한 이후인 12월4일 현재까지도 재통지나 사과문 게재 등의 후속 조치를 하지 않고 있다. 11월29일과 30일 당국으로부터 두 차례나 같은 지적을 받고도 사실상 이를 묵살하며 고객에게 명확한 정보를 전달하지 않고 있는 셈이다.
쿠팡의 개인정보 유출은 어제오늘 일이 아니다. 2021년 쿠팡이츠 배달원 13만5000여 명의 개인정보가 유출된 것을 시작으로, 같은 해 쿠팡 앱 검색창과 배너 광고 사이에 회원 31만여 명의 이름과 주소 등이 일부 노출됐다. 2023년에는 쿠팡 판매자 전용 시스템에 주문자와 수취인의 개인정보 노출 사고가 발생하는 등 최근 5년간 4차례나 사고가 반복됐다. 이 때문에 소비자들의 손해배상 소송이 진행되면 쿠팡의 잦은 개인정보 노출 사고 전력이 불리한 요소로 작용할 수 있다는 전망이 나온다.
대통령실도 이번 사태의 심각성을 예의주시하는 모습이다. 이재명 대통령이 12월2일 "처음 사건이 발생하고 5개월 동안이나 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍다"며 "관련 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등의 대책에 나서 달라"고 지시했다. 그러나 정부가 검토 중인 징벌적 손배제와 과징금 강화 대책은 실질적 대안이 되기 어렵다는 반론도 있다. 제도를 강화하더라도 개인정보 유출 문제 예방에는 한계가 있고, 자칫 소비자에게 비용이 전가되는 문제가 발생할 수 있다는 우려도 제기된다.
전문가들은 개인정보 관리자에게 책임을 더 엄격히 묻고 내부 접근과 통제, 관리를 강화하는 방안을 마련해야 한다고 제언한다. 김명주 서울여대 정보보호학과 교수는 "해킹 사고의 통계를 보면 내부 직원에 의한 해킹이 60% 정도로 더 많다"며 "그러나 내부에 의한 해킹은 정보 보호나 관리자 라인에 있는 사람들이 범죄 당사자면 찾기가 쉽지 않다. 본인들이 조작하고 로그를 삭제할 수도 있기 때문"이라며 시스템 보완이 뒤따라야 한다고 말했다. 김 교수는 이어 "쿠팡처럼 큰 회사들은 해킹 범죄로 의심되는 징후가 발생하면 한 사람에게만 통보하지 않고 여러 개의 중복된 루트를 통해 서로 견제할 수 있도록 해놓는데, 쿠팡에서 이 부분이 제대로 작동했는지를 조사해야 한다"고 강조했다.
Copyright © 시사저널. 무단전재 및 재배포 금지.