쿠팡의 대규모 개인정보 유출 사건 때 대만 고객 약 20만명의 정보도 유출된 사실이 뒤늦게 확인됐다. 쿠팡은 지난해 11월 사건 발생 직후 “대만 피해 증거는 없다”고 공언했지만 석 달 만에 뒤집힌 것이다.
쿠팡은 지난 24일 “(한국과) 동일한 사건에서 (쿠팡) 전 직원이 무단 접근한 계정 중 약 20만개가 대만 소재 계정인 것으로 확인했다”며 “유출된 정보에 이름, 이메일 주소 등이 포함됐다”고 밝혔다. 쿠팡은 “사건 초기에는 증거를 찾지 못했지만 대만 디지털부의 감독 아래 글로벌 사이버 보안 업체를 통해 포렌식 조사를 이어 왔고 조사 결과를 디지털부에 통보했다”고 했다. 대만 디지털부는 이날 “쿠팡에 대한 행정 점검을 실시할 예정이며, 개인정보보호법 위반 사실이 발견될 경우 법에 따라 처리할 것”이라고 밝혔다.
이번 결과는 쿠팡이 사건 초기에 스스로 내린 결론과 정반대다. 쿠팡은 작년 11월 29일 한국 언론에 유출 사실을 알린 지 불과 두 시간 만에 대만 언론에 “대만 고객 데이터가 유출됐다는 증거는 없다”는 자료를 배포했다. ‘제2의 한국’으로 공을 들여온 대만 사업에 불똥이 튀는 것을 막으려는 선제 대응이었다. 하지만 이 발표가 석 달 만에 사실이 아님이 드러난 것이다.
피해 규모도 계속 불어나고 있다. 지난 5일에는 국내 민관 합동 조사단의 조사 과정에서 피해 계정 16만5000개가 추가 확인되며 국내 피해 계정 규모가 총 3386만5000개로 늘어났다. 쿠팡은 작년 12월 말부터 자체 조사 결과를 별도로 발표하며 정부와 ‘진실 공방’을 벌이기도 했다.
한편 쿠팡은 대만 피해 고객에게 1인당 1000대만달러(약 4만5000원) 상당의 보상 쿠폰을 지급하기로 했다. 금액만 보면 한국(5만원)과 엇비슷하지만, 쿠폰의 구성은 한국 고객들이 ‘역차별’로 느낄 수 있다는 지적이 나온다. 대만의 경우 사용 빈도가 높은 핵심 서비스에 금액을 몰아줬기 때문이다. 대만 보상 쿠폰은 물건을 주문 다음 날까지 배송하는 ‘로켓배송’과 해외 물건을 빠르게 구매할 수 있는 ‘로켓직구’에 금액이 절반씩 배정됐다. 한국에선 핵심 서비스인 쿠팡(로켓배송)과 쿠팡이츠(음식 배달)에 각 5000원씩만 배정됐고, 이용자 수가 적은 쿠팡트래블(여행)과 알럭스(명품 의류와 화장품)에 2만원씩 배정되며 실효성 논란이 일었다. 한국 사용자에게 지급한 쿠폰은 총액의 80%가 평소 잘 쓰지 않는 서비스에 집중된 셈이다.