세계일보

국내 전자상거래 시장 1위 업체인 쿠팡에서 고객계정 약 3370만개가 무단 유출됐다. 개인정보보호위원회(개보위)로부터 역대 최대 과징금 1348억원의 처분을 받은 SK텔레콤(약 2324만명)을 훌쩍 뛰어넘는 유출 규모다. 성인 넷 중 셋의 개인정보가 털렸다니 충격적이다. 쿠팡은 지난 20일 정보 유출 계정이 4500여개라고 발표했다가 9일 만에 약 7500배나 상향 조정해 피해 축소 의심마저 산다.

쿠팡에 따르면 유출된 정보는 고객이 입력한 이름·전화 번호·배송지 및 이메일 주소, 주문 정보(구매 기록) 등이다. 카드 번호 등 결제 정보와 비밀번호 등 로그인 정보는 유출되지 않았다고 한다. 유출된 정보만으로도 전화나 문자 메시지로 쿠팡을 사칭한 보이스피싱이나 스미싱 같은 2차 피해로 이어질 수 있어 소비자는 각별히 주의해야 할 것이다.

쿠팡은 자체 조사 결과 해외 서버를 통해 지난 6월24일부터 무단으로 고객 개인정보에 접근한 것으로 추정된다고 밝혔다. 이번 유출은 지난 18일 오후 10시52분 인지했다는데, 인가받지 않은 채 고객 개인정보에 접근한 시도를 5개월 가까이 몰랐다니 보안 시스템이 제대로 작동했는지 의문이다. 쿠팡은 배달원 개인정보 등의 유출로 2020년부터 세 차례에 걸쳐 개보위로부터 과징금·과태료 처분을 받은 전력도 있다.

쿠팡 측이 지난 25일 서울경찰청에 제출한 고소장엔 이번 사고가 외부 해킹이 아닌 내부 직원이 저지른 것으로 적시됐다고 알려졌다. 중국 국적인 이 직원은 퇴사 후 출국한 것으로 전해졌는데 쿠팡의 소홀한 내부 관리도 도마 위에 오르게 됐다. 개보위, 과학기술정보통신부, 서울경찰청 등 관계기관은 진상 규명과 엄중한 처벌을 통해 재발 방지책을 마련하고, 소비자 2차 피해 방지에도 만전을 기해야 할 것이다. 특히 과기정통부와 개보위는 공동 운영 중인 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 2021년과 2014년 취득한 쿠팡이 연이어 사고를 낸 데 대해 이 제도가 실효성이 있는지 다시 살펴봐야 할 것이다.

Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지