국내 최대 이커머스 기업 쿠팡에서 약 3,370만 개 고객 계정의 개인정보가 무단 유출된 사실이 11월 29일 확인됐다. 당초 회사 측이 밝힌 4,500여 개 계정에서 피해 규모가 수십 배로 확대되며 사실상 대부분의 고객 정보가 외부로 노출된 것 아니냐는 비판이 제기되고 있다.
유출된 정보에는 이름, 이메일, 배송지 주소록(수령인 이름·전화번호·주소), 일부 주문 내역 등이 포함된 것으로 조사됐다. 회사 측은 결제 정보와 로그인 비밀번호는 별도 서버에 저장돼 유출 대상에서 제외됐다고 설명했다.
사고 발생 직후 과학기술정보통신부와 개인정보보호위원회는 11월 30일자로 민관합동조사단을 출범시켰다. 당국은 쿠팡 본사에 대한 현장 조사를 통해 취약점 발생 지점, 보안 체계 운영 실태, 기술적·관리적 보호조치 준수 여부 등을 집중 점검할 계획이다. 개인정보가 대규모로 거래·악용될 경우 스미싱, 보이스피싱 등 2차 피해로 이어질 수 있다는 판단도 작용한 것으로 알려졌다.
초기 조사 결과 해커는 쿠팡 서버의 인증 체계 취약점을 이용해 정상 로그인 절차 없이 고객 정보를 대량 조회한 것으로 나타났다. 경찰도 고소장을 접수하고 디지털 포렌식 절차에 돌입해 내부자 개입 가능성까지 포함해 전방위 수사를 진행하고 있다.
정부는 이번 사태를 중대한 정보보호 실패 사례로 규정하고 책임 소재를 명확히 할 방침이다. 이커머스 시장 전체의 개인정보 관리 수준이 도마에 오른 가운데, 대규모 플랫폼 기업의 보안 의무 강화와 재발 방지 대책 마련 요구도 커지고 있다.
About the Author
