[사설]경악할 쿠팡 정보 유출 규모... 미국 기업 핑계 대지 말아야

쿠팡 전 직원이 일으킨 침해 사고로 성명, 이메일이 포함된 쿠팡 이용자 정보 3,367만3,817건이 유출됐다고 정부 민관합동조사단이 발표했다. 해당 직원은 전화번호, 배송지주소, 특수문자로 비식별화된 공동현관 비밀번호 등이 포함된 배송지 목록 페이지를 약 1억4,800만 건 조회한 것으로 드러났다. 10일 서울 송파구 쿠팡 본사. 뉴시스

쿠팡 개인정보 유출 실태를 조사해온 과학기술정보통신부가 10일 잠정 발표한 내용을 보면 경악스러울 따름이다. 유출된 개인정보 건수는 과기정통부가 지난해 12월 추정했던 것과 크게 다르지 않은 3,367만 건이나, 이에 더해 범인이 들여다본 배송지 정보가 무려 1억4,800만여 건으로 집계됐기 때문이다. 쿠팡이 초기 '3,000건 유출'이라는 어처구니없는 자체 조사 결과를 내세워 미 정계에 '차별 규제' 로비까지 펼쳐온 행태가 얼마나 안하무인으로 행동한 것인지 여실히 드러난 셈이다.

과기정통부 민관합동조사단이 두 달여에 걸쳐 쿠팡 웹접속기록 데이터 6,642억 건을 분석한 결과 확인된 이 같은 내용 가운데 가장 우려되는 대목은 규모가 처음 드러난 배송지 정보 피해다. 여기엔 계정 소유자 본인뿐 아니라 상품을 대신 보낸 가족이나 친지 등의 전화번호와 주소들이 포함돼 있어 최종 피해 규모는 가늠조차 할 수 없다. 공동현관 비밀번호가 담긴 배송목록 수정 페이지도 5만 번 넘게 노출됐다. 최근 주문 상품 목록도 범인에 의해 10만 회나 조회됐다고 한다. 결제 정보는 유출 대상에 포함되지 않았다고 하나, 2차 피해가 벌어졌는지 불확실해 안심할 수 없다. 조사단은 세부 유출 규모 확인은 개인정보보호위원회가 할 몫이라 하고, 범인 특정은 수사 영역으로 남겨 놔 이번 조사 결과로 모든 게 드러난 것도 아니다.

정부 첫 공식 조사 결과로 확실해진 건 쿠팡의 관리 부실이 최악의 정보 유출 사태의 원인이 됐다는 점이다. 퇴사한 범인이 위조 전자 출입증으로 쿠팡 서비스에 마구 접속했음에도 이를 걸러내지 못했고, 서명키 관리는 부실하기 짝이 없었다. 지능적 공격으로 '보안에 성실한 기업'이 피해를 입었다는 억측은 더는 성립할 수 없다. 쿠팡 개인정보 유출 사태는 현재 진행형이다. 피해 규모는 유동적이고, 범인은 잡히지 않았으며 무엇보다 수뇌부 수사는 제자리걸음이다. 쿠팡은 미국 기업이라는 핑계 대지 말고 한국 시장의 신뢰를 얻어야 한다. 수사에 성실히 응하고 재발방지 대책 이행에도 만전을 기해야 할 것이다.