쿠팡, 3370만 개인정보 유출…내부 직원 소행?
쿠팡 서버에서 3천370만개의 고객 개인정보가 무단으로 유출돼 정부가 조사에 나섰다. 정확한 피해 규모와 정보 유출 경위 등에 대한 조사는 아직 진행 중인데, 회사에서 인증업무를 담당했던 내부 직원이 개인정보를 유출했다는 이야기도 나온다. 쿠팡은 지난 29일 입장문을 내고 개인정보 유출로 노출된 계정이 약 3천370만개라고 정정했다. 이는 당초 언급했던 약 4천500개보다 7천500배 이상 큰 규모다. 이번 사태로 유출된 개인정보는 이름, 이메일 주소, 배송 주소록(입력한 이름·전화번호 주소), 일부 주문 정보다. 쿠팡 측은 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 선을 그었다. 특히, 쿠팡은 해외 서버를 통해 올해 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다. 회사는 무단 접근 경로를 차단했으며 개인정보 유출을 인지한 지난달 18일 즉시 경찰청, 한국인터넷진흥원, 개인정보보호위원회 등에 이를 신고했다. 이후 무단 접근 경로를 차단하고 내부 모니터링을 강화했다는 것이 쿠팡 측 설명이다. 이와 관련해 배경훈 부총리는 지난 30일 긴급 대책회의를 열고 “정부는 이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선의 노력을 다할 것”이라며 “쿠팡을 사칭하는 전화나 문자 등에 각별히 주의해 2차 피해가 일어나지 않도록 당부드린다”고 강조했다. 이날 배 부총리는 해킹 피해 확산을 방지하기 위해 민관합동조사단을 가동하고 쿠팡의 안전 조치 의무 위반 여부에 대한 조사에 나섰다고 밝혔다. 이번 개인정보 유출 사건으로 쿠팡에서 유출된 고객 계정은 약 3천370만개로, 올해 3분기 실적발표 컨퍼런스콜에서 프로덕트 커머스 부분 활성 고객 수가 2천470만명이라는 점을 감안하면 상당수의 정보가 유출된 것으로 파악된다. 또 정부는 개인정보가 인터넷상에서 유출될 가능성을 염두에 두고 3개월 간 다크웹(특수 경로로만 접근 가능한 웹사이트)을 포함한 '인터넷상 개인정보 유노출 및 불법유통 모니터링 강화 기간'을 운영한다. 과학기술정보통신부 관계자는 “쿠팡 멤버십 회원은 1천200만명 수준이지만, 한 사람이 여러 개 ID를 가지고 쓰는 경우가 있다보니 정확한 유출 규모나 숫자에 대해서는 개인정보보호위원회에서 지금 조사를 진행 중”이라며 “쿠팡과 관련된 정보가 혹시 다크웹에 올라오는지 여부도 집중적으로 보고 있지만, 아직까지 나타난 것은 없다”고 답했다. 이어 “결제 정보 등이 유출되지 않았다는 쿠팡의 주장이 맞는지는 조사를 해봐야하는 상황”이라며 “통관번호 등에 대한 유출 여부는 언급되지 않았지만 꾸려진 민관합동조사단을 통해 조사해나갈 예정”이라고 덧붙였다. 일각에서는 이번 개인정보 유출이 내부 직원 소행이라는 의혹이 제기됐다. 해당 직원이 개인정보를 유출한 뒤 한국을 떠나 중국에 체류 중이고, 협박성 이메일을 보낸 정황이 포착됐다는 것. 개인정보 유출 의혹을 받는 직원은 쿠팡 내부에서 인증 업무를 담당했던 것으로 알려졌다. 이 과정에서 인증토큰 서버인증키와 보안 취약점을 악용했을 가능성이 높다는 데 힘이 실린다. 박대준 쿠팡 대표는 “(직원 국적 등은) 수사 영역이고 수사에 적극 협조 중”이라며 “그 얘기를 하는 것 자체가 수사에 영향을 주는 만큼 말씀드리기 어렵다”고 말했다. 또 “피해자와 피해 범위, 유출 내용을 명확히 확정하는 게 우선”이라며 “그 다음 급한 것은 재발 방지 대책이다. 이런 부분이 확정되면 그 다음 피해에 대한 합리적 방안을 성실히 수행할 수 있을 것”이라고 부연했다.
