“당신 정보 안다” 다수 협박 피해… 쿠팡, 경찰엔 신고않고 ‘쉬쉬’ [쿠팡 개인정보 유출 파장]

고객 피해 은폐·축소 지적

지난달 16일 메일 수신 민원 접수
개보위에만 신고하고 경찰엔 함구
9일 뒤 고객센터 협박당하자 고소
전문가 “사실 파악에 시간 걸린 듯”
경찰 “기술 취약점 등 모두 살필 것”

쿠팡의 고객 개인정보 3370만건이 유출돼 2차 피해 우려가 확산하는 가운데 사실상 쿠팡 고객 다수가 이미 지난달 중순 ‘당신의 개인정보를 알고 있다’는 내용의 협박 이메일을 받았던 것으로 드러났다. 쿠팡과 경찰 측은 개인정보 유출 확인 이후 추가 피해 신고가 접수된 게 없다고 계속 밝히고 있지만 사실상 유출된 개인정보를 활용한 범행이 시도됐던 셈이라 불안이 가중할 수밖에 없는 상황이다.

더욱이 쿠팡은 이미 고객들에게 협박 이메일이 송신된 걸 인지하고도 당시 개인정보보호위원회에 신고했을 뿐 경찰엔 알리지 않았다. 쿠팡이 경찰에 고소장을 제출한 건 일주일여 지나 자사 고객센터에 협박 이메일이 들어온 걸 확인하면서였다. 개인정보 유출에 따른 고객 피해를 은폐·축소하려 했던 것 아니냐는 지적이 나올 수밖에 없는 상황이다.

대규모 고객 정보 유출 사태로 쿠팡이 위기에 처한 가운데 1일 서울의 한 지역에 쿠팡 배송차량들이 주차돼 있다. 남정탁 기자

◆쿠팡 고객, 이미 ‘협박 피해’ 입었다

1일 경찰 등에 따르면 지난달 16일 쿠팡 고객 다수가 유출된 개인정보를 활용한 협박 메일을 받았다. 쿠팡은 고객 민원을 통해 같은 날 이 사실을 확인한 것으로 전해졌다. 현재까지 확인된 바로는 16일 협박 메일을 보낸 계정은 동일 계정이란 게 경찰 측 설명이다.

쿠팡은 당시 내부 검증을 거쳐 이 협박 메일이 개인정보 유출에 따른 것이라 판단했다.

제3자가 사전에 획득한 인증 정보로 주문·배송 페이지에 접속한 뒤 고객 4500여명의 이름과 이메일·전화번호 등 개인정보와 배송지 주소록, 최근 주문 5건 등 정보에 접근했다는 구체적 사실을 확인하고 20일 개인정보보호위원회에 신고했다.

경찰 관계자는 이날 쿠팡 개인정보 유출 관련 2차 피해 접수 여부에 대해 “현재까지 스미싱·피싱 등 금전 피해 신고는 없다”고 말했다. 배경훈 부총리 겸 과학기술정보통신부 장관은 전날 관계부처 긴급 대책회의에서 “이번 사고를 악용해 피싱, 스미싱 공격으로 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안 공지를 진행하고 있다”며 각별한 주의를 당부하기도 했다.

다만 이런 요청과 별개로 사실상 이미 쿠팡 고객을 겨냥한 협박 메일이 송신된 사실이 드러난 만큼 2차 피해는 벌어지고 있는 상황이란 게 전문가 지적이다. 김환국 국민대 교수(정보보안암호수학)는 “정부나 쿠팡 측에서 2차 피해가 없다고 얘기하는 건 현시점에서 피해 신고가 추가로 들어온 게 없다는 것일 뿐”이라며 “어차피 개인정보가 유출됐으니 어떻게 결합하고 활용할 수 있을지는 예견이 가능하다. 개인정보가 외부로 나가면 2차, 3차 피해가 생길 수밖에 없다”고 말했다.

◆‘고객 협박’ 인지 9일 지나서야 고소

쿠팡이 개인정보 유출과 관련해 경찰에 고소한 건 고객 대상으로 한 협박 이메일 전송이 확인되고 9일이 지나서였다. 쿠팡이 경찰에 고소장을 제출한 당일인 25일엔 쿠팡 고객센터로 개인정보를 고리로 한 협박 이메일이 접수된 것으로 확인됐다. 경찰은 언론 보도를 통해 이 사건을 자체 인지하고 정식 수사 전 단계인 입건 전 조사를 진행해오다 쿠팡 측 고소장을 접수하면서 수사 절차를 개시했다.

쿠팡이 개보위에 신고를 하고 나서 일주일 넘게 지나 경찰에 고소한 게 결국 개인정보 유출에 따른 책임을 축소·은폐하기 위한 것 아니냐는 평가가 나올 수밖에 없다. 고객을 대상으로 한 협박 이메일이 확인됐을 땐 수사의뢰에 나서지 않다가 정작 쿠팡 스스로 협박 피해자가 되자 마지못해 고소장을 제출한 것 아니냐는 것이다. 쿠팡은 경찰 고소 이후 개인정보 유출 피해 인원을 기존 4500여명에서 3370만명으로 정정하기도 했다.

1일 서울 송파구 쿠팡 본사 부근 아파트에 쿠팡에서 발송된 택배 봉투가 놓여 있다. 연합

양진영 법무법인 민후 변호사는 “한국인터넷진흥원(KISA) 신고 기한은 72시간으로 정해져 있어서 빨리한 것 같고 고소는 그런 게 없으니 사실관계를 정리하느라 시간이 오래 걸렸을 수 있다”며 “사건 관련 쿠팡 측에 유리한 것과 불리한 것이 있을 텐데 보통 고소할 때는 유리한 것만 기재한다. 그런 부분을 선별하거나 사실관계를 파악하느라 시간이 걸렸을 수 있다”고 했다.

수사가 개시되면 쿠팡 측 책임도 따져봐야 하는 만큼 일종의 ‘대비’를 위해 고소가 늦었을 수 있다는 시각도 있다. 실제 경찰은 우선 개인정보를 유출한 혐의를 받는 피의자를 추적하는 한편 쿠팡 측 대응의 적법성도 따져본다는 방침이다. 경찰 관계자는 “쿠팡에서 필요한 조치를 했는지는 별도로 해야 할 것”이라며 “기술적인 취약점 등 모두 분석할 예정”이라고 밝혔다.