쿠팡 대규모 개인정보 유출 69일… ‘탈팡’ 확산은 소비자 보호의 경고음
'고객님의 소중한 개인정보가 일부 노출되는 사고가 발생했습니다. 고객님께 심려를 끼쳐 드린 점에 대해 다시 한번 진심으로 사과의 말씀을 드립니다.'
쿠팡이 지난해 11월 30일 고객들에게 보낸 '개인정보 노출 통지' 메시지 내용이다. 당시 쿠팡은 4천500명의 고객 계정과 관련된 개인정보 무단접근 사실을 우선 인지하고, 후속 조사를 통해 비인가 조회로 파악한 해당 사안을 경찰청, 개인정보보호위원회, 한국인터넷진흥원 등에 신고했다고 밝혔다.
유출된 정보는 고객명, 이메일, 배송지주소록(전화번호포함), 주문 정보에 그쳤을뿐 카드·결제정보와 패스워드 등 로그인 관련 정보는 안전하다고 주장했다. 하지만, 추가 피해에 대한 소비자들의 우려는 커져만 갔다.
실제, 지역 커뮤니티와 오픈채팅방, 사회관계망서비스(SNS)에서는 '쿠팡에 공동 현관 비밀번호도 등록돼 있는데 너무 걱정된다', '이제는 개인정보가 아닌 공공정보, 쿠팡은 향후 대책 없이 문자 하나 보내 놓고 끝이다' 등의 하소연이 이어지기도 했다.
이에 정부는 같은 날 긴급회의를 열고 철저한 사고 조사를 약속, 면밀한 조사는 물론 피해 확산 방지를 위한 민관합동조사단을 가동했다.
이 자리에 참석한 박대준 쿠팡 대표는 "이번 사고로 불편과 우려를 겪은 고객 여러분, 그리고 국민 여러분께 깊이 사과드린다"며 "사태를 최대한 신속히 수습하고, 같은 일이 반복되지 않도록 제도와 시스템 전반을 재점검하겠다"고 했다.
그러나 쿠팡이 사안 발생 이전인 6월 24일 해외에서 시스템에 대한 비정상적 접근이 시작됐고, 퇴사자가 내부자 전용 토큰 인증 서명키를 외부로 유출해 가짜 토큰을 만들고 API를 통해 시스템에 접근한 것을 이미 파악한 것으로 알려지면서 조치 미흡에 대한 지적이 제기됐다.
이후 쿠팡은 12월 29일 공지문을 통해 유출 통지를 받은 3천370만 계정의 이용자 모두에게 총액 5만 원 상당의 구매 이용권(쿠폰)을 지급한다고 밝혔으나, 세부 내역을 확인한 소비자들의 반응은 냉랭하기만 했다.
국회 재정경제기획위원회 소속 차규근 조국혁신당 의원이 금융감독원을 통해 확보한 국민·신한·하나카드의 쿠팡 결제 내역을 분석한 결과에 따르면 지난해 11월 20일부터 12월 31일까지 쿠팡의 하루 평균 결제 금액은 731억333만 원으로 집계됐다.
이는 개인정보 유출 사태가 있기 직전 기간 11월 1일~19일 하루 평균 결제금액인 786억9천502만 원과 비교하면 7.11% 감소한 수치로, 매일 56억 원 가량의 카드 매출이 줄어든 셈이다.
쿠팡이 개인정보 유출이 아닌 '노출'이라는 표현을 사용하거나, 재가입해야 사용할 수 있는 쿠폰 지급을 보상안으로 제시하고, 김범석 쿠팡Inc 의장이 국회 출석을 거부하는 모습 등을 보이자 회원들이 탈퇴하는 이른바 '탈팡' 움직임이 확산한 것으로 풀이된다.
이와 관련, 국회입법조사처는 지난 2일 '쿠팡 국정조사에서의 개인정보 침해 관련 쟁점' 보고서를 발간, 쿠팡 개인정보 침해 사태는 국민의 약 65%에 달하는 개인정보에 권한 없는 자가 접근한 사실만으로도 중대한 사안이며, 국가 안보 및 사회 안전에 연쇄적인 영향을 미칠 수 있는 위험을 내포하고 있다고 진단했다.
그러면서 약 3천370만 개의 계정 및 탈퇴 회원 정보까지 포함된 전방위적 유출 사고의 원인으로 지목되는 쿠팡 보안 체계의 구조적 취약성을 비롯해 유출정보의 광범성과 민감성, 정보주체 보호를 외면한 소극적인 통지 과정, 수사기관과의 사전 협의 없는 자체조사 진행, 계열사 서비스 이용을 전제로 한 상업적 보상 방식 등 사고 대응 과정 전반에서 나타난 행보가 국정조사의 핵심 쟁점으로 보인다고 설명했다.
특히, 대규모 계정에 대한 비정상적인 접근이 확인된 상황에서 '유출' 표현을 회피하는 판단은 누구에 의해 어떠한 기준과 책임 하에 결정됐는지에 대한 설명이 요구된다고 꼬집었다.
신연경 기자
Copyright © 저작권자 © 중부일보 - 무단전재 및 재배포 금지