쿠팡 대처에 소비자 '실망·괘씸'…탈팡+집단손배 '눈덩이'


지난 6월 24일 해킹 시작됐지만…5개월 동안 인지 못해
'유출' 대신 '노출' 단어 사용…쿠팡, 집단소송 대책은 '아직'

국내 최대 이커머스 플랫폼 쿠팡에서 3370만 건에 달하는 개인정보가 유출된 가운데 지난 1일 오후 서울 송파구 쿠팡 본사의 모습이 보이고 있다. /박헌우 기자

[더팩트ㅣ문화영 기자] 쿠팡의 개인정보 유출 사태가 확산하며 소비자 불신이 커지고 있다. 사태 초기 쿠팡의 늑장·축소 대응에 실망한 소비자들은 '탈팡(쿠팡 탈퇴)'을 선언하고 있으며 집단 소송 참여 규모도 늘어나는 모양새다.

2일 관련업계에 따르면 쿠팡은 지난달 29일 공식 입장문을 내고 약 3370만개 계정 규모의 개인정보가 무단으로 노출됐다고 밝혔다. 쿠팡 측은 노출된 정보에 이름, 이메일 주소, 배송지 주소록, 일부 주문 이력이 포함돼 있다고 설명하면서도 결제정보, 신용카드 번호, 로그인 정보 등은 안전하게 보호 중이며 계정 관련 조치를 취할 필요가 없다고 강조했다.

그러나 이 과정에서 쿠팡은 '유출' 대신 '노출'이라는 표현을 사용하며 책임을 희석한다는 비판을 받고 있다. 개인정보 유출이라는 단어 사용 대신 '심려와 걱정' 혹은 '무단 접근'이라는 표현을 통해 마치 오히려 문제 발생의 피해자인 뉘앙스를 풍겨 '책임 회피성'이라는 지적이 나온다. 이와 관련해 쿠팡 관계자는 "이 상황에서 유출이든 노출이든 해당 단어는 별로 중요해 보이지 않는다"고 답했다.

아울러 쿠팡의 '늑장 대응'도 도마 위에 올랐다. 쿠팡은 유출이 지난 6월 24일부터 시작된 사실을 5개월 동안 알아채지 못했다. 쿠팡은 앞서 지난달 18일 자체 모니터링 과정에서 약 4500개 계정의 개인정보 노출 사실 인지했다고 알렸다. 땨문에 이튿날인 19일에 정부에 사고 발생을 알렸고, 20일에 개인정보보호위원회에 회원 개인정보 유출을 신고했다. 하지만 실제 접속 이상이 처음 발생한 시점은 12일 전인 11월 6일이었다.

그럼에도 쿠팡은 '인지 즉시 신고했다' 등의 표현을 통해 5개월 공백에 대한 구체적인 해명과 사과를 피해 갔다. 여기에 초기 4500명 수준으로 알려졌던 피해가 실제로 3370만 계정에 달하는 것으로 드러나자 소비자들의 불안과 여론의 비판은 더욱 거세졌다.

쿠팡의 불투명한 안내가 이어지자 소비자들은 스스로 '예방 수칙'을 공유하며 자구책 마련에 나서는 분위기다. 이들은 회원 탈퇴, 멤버십 해지, 로그인과 비밀번호는 물론 해외 직구 시 사용하는 개인통관고유번호 변경 등을 공유하고 있다. 실제로 각종 SNS에는 쿠팡 탈퇴를 인증하는 게시물이 올라왔다.

유출된 정보에는 개인 정보 외 공동현관문 비밀번호, 주문 내역, 부재 시간 등 생활 기반 정보가 포함된 것으로 알려졌다. 이에 소비자들은 2차 피해에 대한 불안감까지 호소 중이다. 다만 쿠팡 관계자는 "(2일 오전 기준) 아직까지 확인된 2차 피해는 없다"고 말했다.

박대준 쿠팡 대표가 11월 30일 오후 서울 종로구 정부서울청사에서 기자들의 질문에 답변을 마친 뒤 청사를 나서고 있다. /임영무 기자

손해배상 소송 움직임도 커지고 있다. 카페와 SNS 등 관련 커뮤니티에는 수십만명이 몰리며 소송 참여 의사를 밝히고 있다. 2일 오전 기준 '쿠팡 집단소송' 관련 카페는 '쿠팡 해킹 피해자 집단소송 카페', '쿠팡 개인정보유출 집단소송카페', '쿠팡 해킹 피해자 모임' 등 10여개 이상 생겼으며 '쿠팡 집단 소송 카페'의 가입자 수는 13만명에 달한다.

이 가운데 쿠팡 이용자 14명이 지난 1일 서울중앙지법에 쿠팡을 상대로 1인당 20만원의 위자료를 청구하는 손해배상 소송을 내며 법적 대응도 본격화되는 모양새다. 이 소송을 기점으로 추가 소송도 잇따를 전망이다. 네이버 카페·카카오톡 오픈채팅방 등 온라인에서는 피해자 모집이 활발하다. '쿠팡 피해자 집단소송 카페' 회원은 8만명, '해킹 피해자 모임' 회원도 5만명을 넘었다. 각 카페는 "대형 로펌과의 공동대응을 준비 중"이라고 밝혔다.

소비자들이 발 빠르게 움직이는 이유는 쿠팡이 최근 5년간 4차례의 개인정보 유출 사고가 발생한 바 있음에도 계속 같은 사고가 반복되고 있기 때문이다. 지난 2021년 쿠팡이츠 배달원 13만5000여명의 개인정보가 유출됐으며 같은 해 쿠팡 앱 검색창과 배너 광고 사이에 회원 31만여명의 이름과 주소 등이 일부 노출됐다. 또 지난 2023년에는 쿠팡 판매자 전용 시스템에 주문자와 수취인의 개인정보 노출사고가 발생했다. 해당 사건들로 쿠팡은 과징금 및 과태료 16억원을 부과받았다.

쿠팡 이용자 A씨는 "해킹 사고가 연달아 일어났으나 제대로 처리하지 않아 현재 상황까지 이어진 것"이라며 "이번에는 쿠팡에게 제대로 책임을 물어 3370만명이 넘는 소비자들에 대한 적절한 대처가 이뤄져야 할 것"이라고 말했다.

개인정보보호법에 따르면 개인정보 처리자인 사업자가 법 위반 행위로 손해를 발생시킨 경우 배상 책임을 지며 사업자는 고의·과실이 없음을 스스로 입증해야한다. 2023년 개정된 개인정보보호법에선 법 위반 시 매출액의 3%까지 과징금을 부과할 수 있다. 쿠팡의 지난해 매출 규모가 41조원임을 감안하면 과징금 규모는 최대 1조원에 달할 가능성이 있다. 사업자의 중대한 과실이 인정될 경우엔 최대 5배까지 징벌적 배상도 가능하다.

이 가운데 쿠팡은 소비자들의 피해 상황에 별다른 대책을 내놓지 못하는 상황이다. 쿠팡 관계자는 "집단 소송과 보상 요구에 대한 대응은 아직"이라고 말했다.

culture@tf.co.kr

Copyright@더팩트(tf.co.kr) All right reserved.