국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생한 가운데 이러한 유출이 이미 반년 전부터 진행됐을 가능성이 제기됐다. 이에 소비자들 사이에서는 피해 규모가 더 커지는 게 아니냐는 불안감이 커지고 있다.
정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나섰고, 경찰은 이번 사태에 대한 수사에 착수했다.
30일 유통업계에 따르면 쿠팡은 전날 오후 "고객 계정 약 3천370만개가 무단으로 노출된 것으로 확인됐다"고 공지했다
쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다.
이어 "현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다"고 덧붙였다.
고객 정보 탈취 시도가 이미 5개월 전에 시작됐다는 것이다.
쿠팡은 이 사고를 지난 18일 인지하고 지난 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다.
아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다.
이번 고객 정보 유출은 쿠팡에 근무했던 중국 국적자가 저지른 것으로 알려졌다.
그러나 이 직원이 외국 국적자인 데다 이미 쿠팡에서 퇴사해 한국을 떠난 것으로 전해지면서 수사의 어려움을 겪는 게 아니냐는 우려도 나온다.
서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인 정보 유출 사태에 대한 수사에 착수했다.
쿠팡에서 대규모 고객 정보 유출 사고가 발생하면서 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다.
전날 관련 기사에는 '고객 피해는 누가 책임지나', '다 털려서 너무나 두렵다', '유출한 것에 대한 보상을 해줘야 한다'는 등의 댓글이 잇따랐다.
특히 쿠팡이 피해 규모를 9일 만에 약 7천500배로 조정한 것을 두고, 추가 피해가 더 나오는 게 아니냐고 보는 시각도 있다. 또 지난 6월부터 정보 탈취 시도가 있었던 것으로 확인된 만큼, 정보 유출이 수개월에 걸쳐 이뤄졌을 가능성도 제기된다.
쿠팡은 지난 20일에는 정보 유출 피해 고객 계정이 4천500여개라고 발표했으나, 전날 3천370만개라고 다시 공지했다.
쿠팡이 지난 3분기 실적 발표 당시 언급한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)은 2천470만명인데, 이보다 많다. 사실상 전체 고객의 정보가 유출된 것으로 보인다.
또 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1천348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2천324만명)를 뛰어넘는 규모다.
다른 기업들의 보안 관련 사고에서도 당국의 조사가 진행되면서 피해 규모는 더 커졌다.
쿠팡에서 대규모 개인정보 유출 사고가 발생하자 소비자들의 불만이 터져 나오고 있다.
소비자들 사이에서는 집단 소송을 검토하는 움직임도 시작됐다.
맘카페와 온라인 커뮤니티 등에서는 이번 사고와 관련해 '쿠팡 개인정보 유출 충격이다', '내 정보가 과연 어디까지 털린 것인지 불안하다'는 등의 반응이 이어지고 있다.
특히 쿠팡이 고객의 집 앞까지 배송을 하는 만큼 공동 현관 비밀번호까지 털린 게 아니냐는 소비자들의 우려도 어렵지 않게 찾을 수 있다.
이에 따라 구체적으로 어떤 정보가 유출됐는지 궁금해하는 소비자들이 많다.
또 쿠팡에서 정보 유출 피해를 알리는 공지 문자를 뒤늦게 받았다는 소비자들이 많아 불만이 고조되고 있다.
전날 문자를 받았다는 소비자들도 있지만, 이날 오전 10시와 오후 1시 등에 문자를 받았다는 등 공지를 받은 시간은 다양하다.
한 40대 소비자는 연합뉴스에 이와 관련해 "개인 정보 털린 것을 기사로 알게 됐다"며 "제대로 조치하지 않으면 탈퇴를 고민하겠다"고 밝혔다.
또 다른 소비자는 "아직 문자가 안 왔는데 안 털린 건지, 더 기다려야 하는 건지 모르겠다"라며 "제대로 안 알려줘서 답답하다"고 말했다.
심지어 수년 전 탈퇴했는데도 고객 정보 유출 문자를 받았다는 소비자들도 있다.
이는 쿠팡이 관계 법령에 따라 대금 결제와 계약, 소비자의 불만 등에 대한 데이터를 5년간 보유하는 데 따른 것으로 보인다.
이에 쿠팡을 탈퇴한 지 5년 미만인 경우 이름과 이메일 등 주문 데이터가 유출됐을 가능성이 있다.
소비자들은 피해 사례를 공유하고 보상과 재발 방지를 위해 법적 대응을 검토하기 위해 카카오톡 오픈채팅에 '쿠팡 정보유출 피해자 모임' 대화방을 개설하기도 했다.
한편, 쿠팡은 대규모 개인정보 유출 사고로 인해 논란이 커지자 공개 사과했다.
박대준 쿠팡 대표는 30일 오후 정부서울청사에서 기자들과 만나 이 같은 뜻을 밝혔다.
박 대표는 "이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다"고 고개를 숙였다.
그러면서 이번 사태의 원인이 빠르게 규명될 수 있도록 노력하겠다는 뜻도 전달했다.
