국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3370만 개가 유출된 것을 확인했다. 이는 국내 성인 네 명 중 세 명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다. 사진은 30일 서울 시내 쿠팡 차량 차고지. 연합뉴스

국내 이커머스(전자상거래) 시장 최강자 쿠팡에서 약 3400만 건의 대규모 정보 유출 사고가 발생하면서 소비자들의 불안이 커지고 있다. 쿠팡이 피해 규모를 9일 만에 약 7500배로 조정한 것을 두고, 추가 피해 가능성도 점쳐진다.

특히 해킹 피해 등으로 인한 정보 유출 사고를 겪은 다른 기업과 달리 내부 직원의 소행이라는 데 무게가 실리면서 논란이 일고 있다. 더군다나 이 직원이 중국 국적으로 알려져 유출된 개인정보를 활용한 추가 피해 가능성에 대한 우려도 커지고 있다.

30일 유통업계에 따르면 쿠팡은 전날 오후 "고객 계정 약 3370만 개가 무단으로 노출된 것으로 확인됐다"고 공지했다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다.

이어 "현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정한다"고 덧붙였다. 고객 정보 탈취 시도가 이미 5개월 전에 시작됐다는 것이다.

특히 쿠팡은 국가 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 두 차례 취득했지만 내부 직원에 대한 정보관리에 허점을 드러냈다. 이번 고객 정보 유출은 해킹이 아닌 쿠팡 직원 소행으로 추정된다. 이 직원은 중국 국적으로 알려졌으며 이미 쿠팡에서 나와 한국을 떠난 것으로 전해져 조사와 수사에 난항도 예상된다.

30일 국회 정무위원회 소속 사회민주당 한창민 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면, 쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 받았지만 이후 올해까지 네 차례의 유출 사고를 냈다.

ISMS-P 인증은 과기정통부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다.

2018년 과학기술정보통신부의 '정보보호 관리체계 인증(ISMS)'과 개인정보위의 '개인정보보호 관리체계 인증(PIMS)'을 통합해 만들었다. 쿠팡은 2021년 3월 ISMS-P 최초 인증을 받았고, 2024년 3월 갱신 인증을 받았다. 인증 범위는 로켓배송과 쿠팡이츠 등을 포함한 '쿠팡 서비스' 전체다.

문제는 인증 취득 이후에도 쿠팡의 유출 사고가 계속해서 발생했다는 점이다. 2021년 10월 앱 업데이트 간 테스트를 소홀히 해 14건의 유출 사고가 발생했다.

한편 쿠팡은 전날 피해 고객에게 문자 메시지를 보냈지만 일부 고객은 이날 오전 10시가 넘어서야 쿠팡에서 문자를 받았다면서 "뒤늦은 대처"라고 비판했다. 쿠팡 웹사이트에는 해킹 피해 사실을 알리는 배너는 아직 올라오지 않았다.

소비자들은 피해 사례를 공유하고 법적 대응을 비롯한 집단행동을 준비하기 위해 카카오톡 오픈채팅에 '쿠팡 정보유출 피해자 모임' 대화방을 개설했다.

박지훈 기자 lionking@busan.com