안녕하세요, 오지랖입니다. 쿠팡에서 3370만건 규모의 개인정보 유출 사건이 발생했습니다. 최근 국내에서 통신사, 유통사 등 업계를 불문하고 개인정보 유출 사고가 잇따르고 있는데요. 한국 기업 보안 체계가 구멍 뚫린 것 아니냐는 우려가 나오고 있습니다. 무슨 일인지 오늘의 지식 라이프에서 알아보시죠.
피해 상황부터 짚어보자면 이번 사고로 고객들의 이름, 이메일 주소, 전화번호, 배송 주소, 일부 주문 내역이 무단으로 유출됐습니다. 그것도 무려 3370만명의 개인정보가 탈취당한 것인데요. 다행히 결제 정보와 신용카드 번호는 유출 범위에서 제외됐습니다.
그런데 이게요. 유출은 지난 6월부터 해외 서버를 통해 5개월 동안 일어났는데, 정작 쿠팡은 11월 중순쯤에야 이를 인지했다고 합니다. 심지어 쿠팡은 처음에 피해 규모가 4500건이라고 발표했다가 9일 만에 3370만건이라고 정정 발표했는데요. 이로 인해 소비자 불신은 눈덩이처럼 불어났습니다. 규모만 봐도 사실상 한국 성인 4명 중 3명꼴로 개인 정보가 탈취당했다는 거니까, 국가적 수준의 피해입니다.
자, 그래서 사건의 원흉은 무엇이었느냐. 등잔 밑이 어둡다고 하던가요. 최근에 뉴스에 자주 등장한 외부 해커의 소행도 아닙니다. 범인은 바로 쿠팡의 전직 직원이었던 중국인으로 밝혀졌는데요. 이 직원은 서버 액세스 토큰 서명키의 긴 유효 기간과 퇴사자 권한 미회수라는 치명적 허점을 악용해 해외 서버에서 국내 메인 서버로 침투했다고 합니다.
이 직원은 지난해 퇴사 이후, 개인 정보를 확보한 고객들에게 최근 주문 목록과 전화번호 사진을 첨부한 협박 이메일을 발송하며 “당신의 개인 정보를 알고 있다”고 위협하기도 했는데요. 깜짝 놀란 고객들이 쿠팡에 문제를 제기하자 쿠팡은 뒤늦게 자체 조사를 시작했고, 지난달 경찰에 신고했습니다. 문제는 피의자가 이미 출국한 상태라 IP 추적과 서버 로그 분석이 난항을 겪고 있단 겁니다.
피해 범위가 상상 이상으로 크다는 사실을 인지한 정부는 발 벗고 나섰습니다. 배경훈 과기정통부 장관은 지난달 30일 정부서울청사 긴급 회의에서 “정상 로그인 없이 3000만건 이상 유출을 확인했다”고 발표하며 민관 합동 조사단을 구성했습니다. 개인정보보호위원회도 안전 조치 의무 위반 여부를 조사 중이며 엄정 제재를 예고했고요. 내부 공모 가능성에 대한 의혹이 제기되고 있어 조사 범위와 대상이 더 커질 수 있는 상황입니다.
문제는 쿠팡에서 발생한 개인 정보 유출 사건이 이번이 처음이 아니라는 겁니다. 사실 쿠팡은 과거 개인 정보 유출 사건 4건이 발생했는데, 4건 모두 내부적인 문제에서 기인했습니다. 2021년 10월 앱 업데이트 오류로 14명 이름·배송지 노출, 2020년 8월~2021년 11월 쿠팡이츠 배달원 13만5000명의 이름·전화번호 유출, 2023년 12월 판매자 시스템 주문자·수취인 2만2440명 데이터 유출 등이 있습니다.
근데 이 모든 사건들의 누적 과징금과 과태료는 총 16억원에 불과했다는 점도 국민적 공분을 사는 대목인데요. 사실상 이런 ‘솜방망이 처벌’이 재앙을 부추겼다는 지적입니다.
또 이번 일을 통해 알려진 바로는 지난해 매출 41조원을 넘어선 쿠팡의 정보 보호 투자 비율은 0.2%(660억원)에 불과했단 겁니다. 고객 정보를 다루는 주요 대기업들과 비교하면 매출 대비 투자 비율이 상당히 적은데요. 카카오와 SK텔레콤은 0.7%, 네이버와 KT는 0.4% 수준이라고 합니다.
이번 사태로 쿠팡이 어떤 규모의 과징금을 맞을지 모르지만, 규모만 놓고 봤을 때 최근 벌어진 SK텔레콤의 2324만명 개인 정보 유출을 넘어서는 만큼, SK텔레콤에 내려진 1348억원을 넘어설 것이란 예상이 많습니다.
근데 이게 참, 최근에 롯데카드, KT 등 곳곳에서 비슷한 사건이 발생했잖아요. IT 강국이라고 자부하는 한국에서 이런 문제들이 꾸준히 발생한다는 사실이 부끄럽기만 합니다. 한국이 디지털에 친화적인 인구가 많아 다양한 온라인 서비스가 발달했으니까 외부 해커 집단이나 악심을 품은 내부자 입장에선 개인 정보를 유출해서 얻을 범죄 수익이 많을 순 있겠죠. 그럼 당연히 기업들은 그만큼 책임감을 가지고 경계 태세를 유지해야 하는데, 비슷한 피해가 꾸준히, 반복적으로 발생하는 현실이 안타깝기만 합니다.
소비자들은 뿔났습니다. 신뢰가 무너졌기 때문이죠. 온라인 커뮤니티와 소셜미디어 등에는 “고객 피해는 누가 책임지냐” “다 털려서 무섭다”는 반응이 잇따르고 있습니다. 또 온라인에서는 ‘쿠팡 탈퇴 인증’ 사진이 홍수처럼 쏟아지고 있는데요. 카카오톡 ‘쿠팡 개인정보 유출 단체 소송 준비방’에는 “고객센터가 ‘안심하라’만 반복하는데 너무나 무책임하다” “최근 스팸 전화·문자가 갑자기 많아졌는데 내 정보가 벌써 넘어간 것 아니냐”는 분노와 불안감이 커지고 있습니다.
일부 소비자는 법적 절차도 밟기 시작했습니다. 지난 1일 한 피해자 모임은 서울중앙지법에 1인당 20만원 위자료 청구 소장을 제출했습니다. 이들은 “집 주소·구매 이력 유출로 사생활 침해와 보이스피싱 등 2차 피해가 발생할 수 있다”고 주장했습니다. 틀린 말은 아니죠. 온라인에서도 1인당 10만원씩 청구하는 대규모 손해배상 소송 조짐도 나타나고 있습니다. 관련 온라인 카페 회원 수가 나날이 늘어나면서 최소 수십만 명 규모의 국내 최대 단체 소송으로 번질 수 있다는 예상도 나오고 있죠.
그럴 만도 한 게 개인 정보 유출은 2차, 3차 피해로 이어질 수 있는 게 사실입니다. 주소와 구매 이력 노출로 보이스피싱·스토킹 위험도 생겼고요. 이런 개인 정보는 실제로 다크웹에서 돈을 받고 팔 수 있기도 합니다. 범죄 일당이 어떤 악랄한 수법으로 이를 악용할지도 모를 일이고요. 이 때문에 개인정보보호위는 다크웹 모니터링을 강화하며 추가 유출 여부를 감시 중입니다. 그런데 이 와중에 쿠팡 고객센터는 “안심하세요”만 반복하고 있으니 불신의 불씨가 커지고 있습니다.
아마 이 영상을 보시는 많은 분이 쿠팡을 이용하고 있고, 개인 정보가 유출됐다는 문자를 받으셨을 텐데요. 일단 우리가 할 수 있는 건, 쿠팡 앱 비밀번호 변경, 2단계 인증 활성화, 의심스러운 전화·문자·이메일을 무시하는 정도입니다.
전문가들 사이에서는 이번 사건이 국내 기업들의 보안 부실이 드러난 ‘빙산의 일각’일 수도 있다는 우려가 나오는데요. 재앙의 반복은 반드시 막아야 합니다. 앞으로 개인 정보를 취급하는 한국의 기업들이 어떻게 보안 시스템을 개선해 나갈지 모두의 관심이 필요한 때입니다.