3370만명 고객정보 유출, 5개월간 몰랐다…쿠팡 보안관리 '구멍'


쿠팡, 지난달 29일 공식 입장문 통해 해당 사실 알려
무단 접근 경로 차단, 내부 모니터링 강화

이커머스 플랫폼 쿠팡에서 3370만건에 달하는 개인정보가 유출된 것으로 알려졌다. /뉴시스

[더팩트ㅣ문화영 기자] 국내 최대 이커머스 플랫폼 '쿠팡'이 사상 최대 규모인 개인정보 유출 사태에 직면했다. 초기에는 4500명 수준으로 알려졌던 피해가 실제로는 3370만 계정에 달하는 것으로 드러나면서 소비자 불안과 여론의 비판이 더욱 거세지고 있다. 개인정보 유출은 지난 6월 진행됐지만 쿠팡은 이를 뒤늦게 인지해 기업의 보안 시스템과 대응 체계 전반에 문제가 드러났다는 지적도 제기된다.

1일 관련업계에 따르면 쿠팡은 지난달 29일 공식 입장문을 내고 약 3370만개 개인정보가 무단으로 노출됐다고 밝혔다. 이는 지난달 18일 자체 모니터링 과정에서 약 4500개 계정의 개인정보 노출 사실을 인지해 신고한 직후 이뤄진 추가 조사 결과다.

쿠팡 측에 따르면 유출된 정보에는 이름, 이메일 주소, 배송지 주소록, 일부 주문 이력이 포함돼 있다. 다만 결제 정보, 신용카드 번호, 로그인 정보는 안전하게 보호 중이라며 계정 관련 조치를 취할 필요가 없다고 강조했다.

문제는 유출이 지난 6월 24일부터 시작된 사실을 5개월 동안 알아채지 못했다는 점이다. 4500명 규모 유출 당시조차 실제 접속 이상이 처음 발생한 시점은 11월 6일이었으나 쿠팡이 이를 파악한 것은 12일이 지난 11월 18일이었다.

아울러 쿠팡은 이번 사태의 배후로 중국 국적의 전 직원을 의심하고 있다. 회사가 정보통신망법 위반 혐의로 제출한 고소장에 피고소인은 특정되지 않은 '성명불상자'로 기록됐다. 해당 직원은 이미 퇴사 후 한국을 떠난 것으로 알려졌다.

내부 직원의 접근 권한을 통한 유출 가능성이 제기되면서 퇴직자 계정과 접근권한 관리 부실, 서버 인정 취약점 방치, 보안 정책 미비 등 기업 내부 관리 책임을 둘러싼 논란도 함께 커지고 있다.

사태가 심각해지자 박대준 쿠팡 대표이사는 곧바로 사과문을 올렸다. 박 대표는 "모든 고객 정보를 보호하는 것은 쿠팡의 가장 중요한 우선순위"라며 "이 의무를 매우 중요하게 생각하며 종합적인 데이터 보호 및 보안 조치와 프로세스를 유지하고 있다"고 말했다.

박대준 쿠팡 대표가 지난달 30일 오후 서울 종로구 정부서울청사에서 열린 쿠팡 관련 긴급 관계부처 장관회의를 마친 뒤 기자들의 질문에 답변을 하고 있다. /임영무 기자

이어 "향후 이러한 사건으로부터 고객 데이터를 더욱 안전하게 보호할 수 있도록 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다"며 "고객 여러분께 심려와 걱정을 끼쳐드려 진심으로 사과드린다"고 덧붙였다.

정부도 사태의 심각성을 고려해 즉각 조사에 착수했다. 과학기술정보통신부는 지난달 30일 배경훈 부총리 겸 장관 주재로 민관 합동 대책회의를 열고 박대준 쿠팡 대표이사 사장을 참석시켰다. 배 부총리는 회의에서 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상 로그인 절차 없이 3000만개 이상의 고객 정보를 열람한 것으로 확인됐다"고 말했다.

개인정보보호위원회와 한국인터넷진흥원(KISA)도 지난달 20일과 29일 두 차례 접수된 신고를 바탕으로 본격적인 조사에 착수했다. 또 스미싱 등 2차 피해를 막기 위해 보호나라 누리집을 통해 대국민 보안공지도 진행했다.

쿠팡의 월간 활성 이용자 수가 약 3200만명임을 고려하면 이번 유출은 사실상 '전 회원'이 피해자 인것으로 보인다. 해당 규모는 올해 4월 발생한 역대 최대 과징금 사례인 SK텔레콤 해킹보다도 큰 수치다. 이에 일부 소비자 사이에서는 법적 대응 움직임도 나타나고 있다. 이미 '쿠팡 소송'이라는 온라인 카페가 개설됐으며 회원 수는 1일 오전 기준 1만명을 돌파했다.

전문가들은 이번 사태로 쿠팡이 퇴사 직원 관리 시스템을 되돌아봐야 한다고 지적한다. 염흥열 순청향대 정보보호학과 교수는 "전화번호, 주소, 공동현관 비밀번호 등 민감한 정보가 유출됐으며 이에 여러 2, 3차 피해가 발생할 가능성이 있다"며 "퇴사한 직원이 개인정보를 빼갔다고 알려졌기에 쿠팡은 퇴사자 관리와 보안관리에 있어 허점을 보완할 필요성이 있다"고 말했다.

이어 "소비자 입장에서는 '정보보호 10대 수칙'에 따라 링크, 이메일, 첨부파일 등 출처가 불분명한 경우 절대 클릭하지 말아야 한다"며 "스스로 지켜야 한다는 차원에서 경각심을 가져야 한다"고 말했다.

쿠팡 측은 현재 무단 접근 경로를 차단했으며 내부 모니터링을 강화한 상태라고 밝혔다. 쿠팡 관계자는 "독립적인 리딩 보안기업 전문가들 영입과 사법 기관 및 규제 당국과 협력 중"이라면서도 중국인 직원 유출 의혹에 대해 "확인할 수 있는 내용은 따로 없다"고 말했다.

culture@tf.co.kr

Copyright@더팩트(tf.co.kr) All right reserved.