서울 송파구 쿠팡 본사의 모습. 2024.8.8/뉴스1 © News1 김성진 기자
e커머스업계 1위 업체인 쿠팡에서 최대 규모의 고객 개인정보 유출 사고가 발생하면서 소비자 불안이 가중되고 있다.
쿠팡의 유료 멤버십 회원 수는 지난해 기준 1500만 명으로, 당초 알려진 구매 이력까지 포함한 고객 수(2470만 명)보다 피해 계정 수가 많은 것으로 파악되면서 추가 피해 가능성도 제기된다.
무엇보다 해외 서버를 통해 무단으로 개인정보에 접근한 최초 시점을 5개월이 지나서야 파악한 데다 내부 소행 가능성도 제기되면서 쿠팡의 보안 관리도 도마 위에 오를 전망이다.
'2019·2023·2025년'에도 털렸다…개인정보 유출 재발 논란
30일 업계에 따르면 쿠팡은 전날 "고객 계정 약 3370만 개가 무단으로 노출된 것으로 확인됐다"고 공지했다. 노출된 정보는 이름, 이메일 주소, 배송지 주소록, 일부 주문정보 등이다. 쿠팡 측은 "결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다"고 밝혔다.
쿠팡의 전체 회원수는 공개된 바 없으나 지난 3분기 기준 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)은 2470만 명이다. 사실상 쿠팡의 전 회원 계정이 뚫린 셈이다.
앞서 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 최초 인지했다. 이후 20일 개인정보보호위원회, 한국인터넷진흥원 등 관련 기관에 신고했으며 지난 25일엔 서울경찰청 사이버수사대에 고소장을 제출했다.
현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정된다. 고객 정보 탈취 시도가 이미 5개월 전 시작됐음에도 쿠팡은 이를 인지하지 못했던 셈이다.
쿠팡의 해킹 피해는 처음이 아니다. 쿠팡이츠 배달원 13만 5000여 명의 개인정보와 판매자 시스템에서 2만 2000여 명의 주문자 및 수취원 개인정보가 유출된 바 있다.
쿠팡은 2019년 11월 쿠팡이츠 배달원의 개인정보 보호를 위해 안심번호만 음식점에 전송하는 것으로 정책을 변경했다. 하지만 실제로는 2021년 11월까지 배달원의 실명과 휴대전화번호를 그대로 음식점에 전송되고 있었다.
쿠팡은 2021년 11월 개인정보 유출 사실을 인지했으나 24시간 이내 유출 사실을 통지해야 하는 규정도 지키지 않았다. 개인정보보호위원회는 당시 쿠팡에 16억 원에 달하는 과징금 및 과태료 처분을 내렸다.
2023년에는 해커들이 쿠팡 고객의 개인정보 46만 건을 탈취해 다크웹에서 거래해 논란이 된 바 있다.
© News1 윤주희 디자이너
약관 변경·제도 개선도 무용지물…내부 보안 관리 도마 위
쿠팡의 '개인정보 처리방침'에 따르면 쿠팡은 인터넷을 통해 전달되는 고객 정보의 보안 및 안전한 거래를 위해 SSL(Secure Socket Layer) 암호화 보안시스템을 도입해 개인정보를 관리하고 있다.
SSL은 브라우저와 서버 간 통신에서 정보를 암호화해 해킹으로 정보가 유출되더라도 해당 정보의 내용을 보호할 수 있게 해주는 보안 시스템이다.
이와 함께 쿠팡은 고객 개인정보 보호를 위해 휴대전화 번호를 일회성 임시 가상번호로 자동 전환하는 무료 서비스 '안심번호 서비스'를 시행 중이다. 고객의 실제 연락처 대신 안심번호가 판매자 및 택배사에 전달돼 개인정보 유출을 예방한다는 설명이다.
2023년에는 보호조치 약관 변경에도 나섰다. 고객의 쿠팡 계정 정보가 개인정보 판매사이트 등 안전하지 않은 타 사이트에 노출된 것으로 감지되면 쿠팡 측이 고객 개인정보를 보호하고 도용으로 인한 피해를 예방하고자 일시적으로 계정을 잠금 처리하고 로그인된 모든 기기에서 로그아웃시키는 일련의 조치다.
쿠팡 계정 정보가 △아이디 및 비밀번호 판매사이트 등에서 정보 노출이 확인된 경우 △타 사이트에서 노출된 계정 정보가 도용될 가능성이 확인된 경우 △이 밖에 다른 이상 행위가 확인된 경우 등 안전하지 않은 사이트에 노출된 것으로 확인될 시 고객 개인정보를 보호하고 도용으로 인한 피해를 예방하고자 보호조치를 하고 있다.
개인정보 보호 관련 약관 변경 및 제도 개선에도 불구하고 대규모 유출 사건이 발생하면서 내부 보안 관리가 도마 위에 오를 전망이다. 뒤늦은 사고 인지와 내부 소행 가능성까지 제기되면서다. 경찰 등에 따르면 쿠팡이 제출한 고소장에는 피고소인이 특정되지 않아 '성명불상자'로 기재된 가운데 중국 국적의 전 직원 소행일 가능성도 열어두고 수사하고 있다.
축소 발표 논란도 거세다. 쿠팡은 이상 징후 발견 이틀 뒤인 지난 20일 1차 발표에서 "약 4500명의 배송지 정보가 비인가 접근으로 노출됐다"고 밝혔으나 추가 조사 결과 이후인 29일 "정밀 재조사 결과 3370만 명의 개인정보 유출을 확인했다"고 입장을 바꿨다. 당초 발표보다 피해 규모가 약 7500배 늘어난 수치다.
쿠팡은 이번 사태와 관련해 무단 접근 경로를 차단했으며 내부 모니터링을 강화했다는 입장이다. 이를 위해 독립적인 리딩 보안기업 전문가들을 영입했다고도 했다.
쿠팡 관계자는 "현재 조사가 진행 중이며 쿠팡은 사법 기관 및 규제 당국과 지속적으로 협조하고 있다"고 말했다.
jinny1@news1.kr
