쿠팡 고객 3370만 명 정보, 무단 외부 유출 확인

국내 최대 이커머스 업체 쿠팡은 고객 계정 약 3370만 개의 개인정보가 외부 무단 접근을 통해 유출된 사실을 11월 29일 공개했다.

이름·전화번호·주소·배송지 정보 등이 포함된 이 개인정보 유출은, 초기 쿠팡이 밝힌 약 4500건 규모와 비교하면 엄청난 차이다.

결제정보나 신용카드 정보, 로그인 정보는 포함되지 않았다는 쿠팡 측 설명이 있었지만, 이름·전화번호·주소 등 민감한 개인정보가 포함된 만큼, 향후 스미싱·보이스피싱 등 2차 피해 우려가 제기되고 있다.

또한 이번 유출은 단순 해킹이 아닌, 내부망 관리와 인증 키 관리의 허점을 통한 것이라는 분석이 나온다. 실제로 최근 퇴사한 인증 담당자에 대해 접근 권한이 남아 있었고, 이 점이 사고로 이어졌다는 보도도 있다.

쿠팡은 이전에도 정부로부터 2차례 개인정보보호 관리체계 인증(ISMS-P)을 받은 바 있지만, 인증 이후 최대 규모 유출 사건이 벌어졌다는 점도 지적되고 있다.

■ 국회 과방위, 긴급 현안질의 — “단어 하나도 책임져야 한다”

사건이 알려지자, 12월 2일 국회 과학기술정보방송통신위원회(과방위)은 쿠팡 개인정보 유출 사태를 다루기 위한 긴급 전체회의를 열었다.

이 자리에서 가장 논란이 된 것은, 쿠팡이 피해 사실을 알릴 때 사용한 ‘노출(exposure)’이라는 표현이었다. 더불어민주당 소속 의원들은 “이렇게 많은 정보가 유출됐는데 ‘노출’이라고 쓴 건 국민을 기만하는 것”이라고 지적했다.

이에 대해 쿠팡 측은 “의도적으로 책임을 회피하려 한 것이 아니다”라며 “저희가 생각이 부족했다”고 해명했다.

쿠팡 한국법인 대표인 박대준 대표는 “한국법인 대표로서 끝까지 책임지겠다”고 밝혔지만, 실질적 경영 지배자로 지목되는 김범석 쿠팡Inc 의장은 이날 모습을 드러내지 않았다.

과방위 소속 의원들은 “표현 하나에도 책임이 있다”며 “사과는 물론이고, 책임자 처벌 및 제도 개선이 필요하다”고 목소리를 높였다.

■ 제도적 안전장치 무시된 채로 인증만 반복 — 구조적 문제 제기

더 큰 문제는, 쿠팡이 정부의 개인정보보호 관리체계 인증을 받은 기업이라는 점이다. 그럼에도 불구하고, 내부 인증 체계 관리 부실과 퇴사자 권한 방치 등으로 인해 대규모 유출이 현실화된 것이다.

정보보호 전문가들은 이번 사건을 단순 ‘우연’이 아닌, 플랫폼 대기업의 보안과 관리 체계 전반의 구조적 문제로 보고 있다. 인증 제도만으로는 재발 방지를 장담할 수 없다는 지적이다.

또한 피해 사실을 인지하고도 초기 신고 규모가 극히 작았던 점과 4500건 → 3370만건으로 급격하게 확대된 점 등은 쿠팡의 사건 대응 능력과 내부 조사 체계가 얼마나 취약했는지를 보여준다.

이 때문에 단순 과징금 부과, 일시적 영업정지만으로는 근본 해결이 어렵다는 목소리가 커지고 있다. 기술적 보안 체계 개선, 외부 감사 및 감시 시스템 도입, 사용자 권리 보호 강화 등 근본적인 개편이 필요해 보인다.

■ ‘전 국민’ 정보 유출의 여파 — 소비자 불안과 규제 요구

3370만이라는 규모는 단순히 많은 수치를 넘어, 사실상 쿠팡 가입자 전체 또는 국내 성인 대다수가 피해당할 수 있는 수준이라는 평가가 나온다.

이에 따라 개인정보 악용을 통한 2차 피해 가능성에 대한 우려가 크며, 일부 소비자들은 탈퇴와 집단소송을 검토하고 있는 것으로 전해졌다.

정치권과 시민사회에서는 이번 사건을 계기로 개인정보 보호 관련 법과 인증 제도의 실효성, 그리고 플랫폼 기업의 책임을 강화하는 방향으로의 제도 개편을 요구하고 있다.

국민 신뢰를 기반으로 운영되는 대형 플랫폼이 이처럼 대규모 보안 허점을 반복한다면, 단순한 기업 이슈를 넘어 사회 전체의 ‘디지털 안전망’이 흔들릴 수 있다는 지적이다.