쿠팡에서 3370만 명에 달하는 고객 개인정보 유출 사고가 발생했다. 역대 최대 규모의 개인정보 유출 사건이다.

쿠팡은 1차적으로 고객들에게 결제정보 노출은 없었다고 통보했다. 다만 쿠팡의 소극적 대응과 개인정보 유출 사태에서 나타난 기업들의 '말바꾸기'를 고려할 때 아직 안심하긴 이르다는 목소리가 나온다.

30일 업계에 따르면 쿠팡은 개별 고객을 대상으로 문자메시지를 통해 개인정보 유출사실을 통보 중이다.

일일 발송 문자메시지에 한계가 있는 탓에, 쿠팡 가입자 중에는 아직까지도 개인정보 유출 사실을 통지받지 못한 사람도 적지 않은 것으로 알려졌다.

쿠팡에 따르면 유출된 정보는 △이름 △이메일 주소 △배송지 주소 △전화번호 △일부 주문정보다.

쿠팡 측은 "카드정보 등 결제정보 및 패스워드, 로그인 관련 정보는 노출이 없었음을 확인했다"며 "안전하게 보호되고 있다"고 했다.

하지만 조사가 진행되는 과정에서 피해 범위가 확대될 가능성을 배제할 수 없다. 다른 기업에서 발생한 해킹 사건의 경우 추가 조사를 통해 드러나지 않았던 피해들이 발견된 경우가 있어서다.


쿠팡 역시 전례가 있다. 쿠팡은 지난 2019년부터 2021년 사이 쿠팡이츠 배달원의 실명과 휴대전화 번호를 동의없이 음식점에 노출시켜 2억 7865만 원의 과징금을 부과받은 바 있다. 쿠팡 측은 안심번호만 전송한다고 했으나, 조사 결과 실제로는 실명과 전화번호까지 전송된 걸로 파악됐다.

국민들의 불안감에 보안 전문가들은 쿠팡의 발표 결과를 불신할 필요는 없으나, 추가 피해 가능성도 고려해 정부 조사가 이뤄져야 한다고 제언했다.

염흥열 순천향대 정보보호학과 교수는 "기술적으로 구매정보와 결제정보 데이터베이스를 분리해 보관하도록 되어 있고, 각 정보에 접근할 수 있는 취급자도 분리하는 것이 원칙"이라며 "(결제정보 쿠팡이 자체 조사에서 개인정보처리시스템 접근 도구 기록 등을 검토해 확신을 갖고 발표한 내용으로 생각된다"고 설명했다.

다만 "내부 직원이 권한을 상승하거나 확대할 수 있는 부분이 있는데, 인증과 접근통제라는 기술적 과정을 통과해야 한다"며 "(추가 유출 가능성을) 전혀 배제할 수는 없기 때문에 이 부분의 조사도 함께 이뤄져야 한다고 본다"고 덧붙였다.

한편 과학기술정보통신부와 개인정보보호위원회는 이날부터 민관합동조사단을 구성해 사고 원인 분석 및 재발 방지 대책을 마련한다고 발표했다.

특히 개인정보위는 국민 다수의 연락처·주소 등이 포함돼 있는 만큼 신속한 조사를 거쳐 개인정보보호법상 안전조치 의무 위반 여부를 확인하고, 위반 사항이 드러날 경우 엄정 제재할 방침이다.

Kris@news1.kr