고개숙인 쿠팡 “비밀번호·카드번호·결제정보, 유출 안됐다”

쿠팡 3370만건 개인정보 유출…“진심으로 사과, 사칭한 전화·문자 피해 각별히 주의해 달라”

국내 최대 이커머스 플랫폼 쿠팡에서 약 3370만건 규모의 개인정보가 해킹으로 유출된 사실이 뒤늦게 확인되면서 사회적 파장이 커지고 있다.

지난 18일 최초 발견된 유출 규모는 약 4500건이었지만, 불과 열흘 만에 7500배 이상 확대된 대형 사고로 드러났다. 국내 성인 인구 대부분이 쿠팡을 사용하고 있는 현실을 고려하면 사실상 ‘전 국민 보안 리스크’가 발생한 셈이다.

30일 업계에 따르면 쿠팡은 지난 29일 입장문을 통해 “지난 8일 약 4500여명의 고객 정보에 무단 접근이 발생한 사실을 인지한 후 추가 조사를 진행한 결과, 총 3370만건의 고객 정보가 외부 해커에 의해 유출된 것으로 확인됐다”고 밝혔다.

유출된 정보에는 △사용자 이름 △전화번호 △이메일 주소 △배송 주소록 △주문 정보 등이 포함된다. 다만 결제 정보·카드번호·로그인 비밀번호는 유출되지 않았다고 강조했다.

이번 공격은 해외 서버를 통해 지난 6월 24일부터 약 5개월간 지속된 것으로 추정된다. 쿠팡은 관련 경로를 차단하고, 외부 보안 전문가 영입, 모니터링 강화 조치를 취했다고 설명했다.

올해 3분기 기준 쿠팡의 활성 고객 수는 2470만명. 적어도 한 번이라도 쿠팡에서 주문했거나 주소를 등록한 사용자를 기준으로 한 숫자다. 이번 사고는 해킹 피해 규모(3370만건)가 활성 고객 수를 넘어설 정도로 방대한 셈이다.

전문가들은 “결제 정보가 유출되지 않았다 해도, 이름·주소·전화번호·구매기록은 보이스피싱 등 2차 범죄에 악용되기 쉬운 정보”라며 추가 피해 가능성을 경고하고 있다.

한국은 세계에서 가장 높은 수준의 모바일·전자상거래 이용률을 기록하고 있지만, 기업들의 보안 투자와 시스템 고도화는 이용 규모만큼 따라오지 못했다는 지적이 꾸준히 제기돼 왔다.

특히 플랫폼 기업은 결제, 주소 기반 물류, 반복 구매 데이터 등 개인 생활 정보가 ‘정교하게 쌓이는 구조’이기 때문에 해커들에겐 ‘가장 잘 정리된 데이터 창고’로 여겨진다.

한 보안 전문가는 “고객 정보를 기반으로 자동화된 물류 시스템을 운영하는 쿠팡은 해킹 시 얻을 수 있는 실질적 정보 가치가 매우 크다”며 “대규모 클라우드 기반 사업자의 보안 체계가 글로벌 해킹 조직의 주요 타깃이 되고 있는 상황”이라고 말했다.

쿠팡은 사과문에서 “진심으로 사과드리며, 쿠팡을 사칭한 전화·문자 피해에 각별히 주의해 달라”고 당부했다. 또한 보안 체계 재정비와 고객 불안 해소를 위한 후속 조치를 신속히 진행하겠다고 밝혔다.

하지만 업계는 이번 사고가 쿠팡의 개인정보 관리 책임, 보안 인프라 투자 수준, 사고 대응 투명성 등에 대한 본격적인 논쟁으로 확산할 것으로 보고 있다.

특히 주요 플랫폼 기업들의 잇단 초대형 유출 사고로 인해, 정부가 ‘대형 플랫폼 보안 규제 강화’에 나설 가능성도 높아졌다.

개인정보는 기업 경쟁력의 핵심 자원이다. 하지만 안전하게 관리하지 못하면 가장 큰 리스크가 되기도 한다.

이번 사고를 계기로 플랫폼 기업의 보안 투자 의무, 사고 공개 기준 강화, 집단 피해 보상 제도 개선 등에 대한 논의가 술렁일 전망이다.

전문가들은 “물류·클라우드·AI로 확장한 쿠팡에게 이번 사건은 단순 해킹 사고가 아니라 브랜드 신뢰의 핵심 시험대가 될 것”이라며 “보안 체계 강화가 이커머스 시장의 새로운 경쟁 요인으로 떠오를 것”이라고 분석했다.

세계일보