쿠팡…약 3,370만 명의 개인 정보가 유출된 초유의 사태
정상적인 로그인 없이 3천만 개 이상 유출…
고객명, 이메일, 배송지 주소록 ...이름,전화번호,주소 유출 확인
정부 대책회의 후에야 뒤늦은 사과문…
유출된 정보를 이용한 2차 피해 우려
30일 오후 쿠팡 고객정보 유출 관련 긴급관계부처회의 참석한 쿠팡 박대준 대표이사. (사진=뉴스9)
(뉴스9=이호철기자) 3천만 명이 넘는 국민의 개인 정보를 유출시킨 쿠팡 사태와 관련해 정부가 긴급 대응에 나섰다. 정부의 현장 조사에선 쿠팡의 취약한 서버 인증 시스템이 사고의 원인으로 지목되었다.
전직 쿠팡 직원이 취약한 서버 인증을 이용해 로그인도 없이 정보를 빼냈을 가능성이 제기되고 있다. 쿠팡이 개인 정보 보호 조치를 제대로 한 건지 의문이다.
이에 경찰은 수사에 속도를 내고 있다. 약 3,370만 명의 개인 정보가 유출된 초유의 사태에 정부는 휴일인 30일 긴급 관계부처 회의를 소집했다.
정부는 지난 19일 쿠팡의 최초 유출 신고 당시 4,500여개였던 개인 정보가 후속 조사 과정에서 3,370만 개로 늘어났다고 밝혔다.
유출 원인으로는 서버 인증 취약점이 지목됐다고 밝혔다. 공격자가 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 3천만 개 이상의 고객의 고객명, 이메일, 배송지주소록(이름,전화번호, 주소)을 유출한 것으로 확인됐다.
다만 서버 해킹을 통한 정보 유출인지 다른 공격 방식을 통한 범행인지 단정하기는 이르다며 현재까지 쿠팡 서버에서 발견된 악성 코드는 없다고 밝혔다.
정부는 민관 합동 조사단을 오늘부터 가동하고 향후 3개월간 집중 모니터링하며 2차 피해 방제에도 적극 나설 방침이다.
한편 오늘 대책 회의에 참석한 쿠팡측은 대규모 유출 사실을 밝힌지 하루 만에 고개를 숙였다.
다만 일각에서 제기된 중국 국적의 전직 쿠팡직원의 소행 주장에 대해서는 일단 말을 아꼈다.
정부의 조사나 수사가 이루어지면 그런 부분들은 오히려 명확해질 거라고 생각을 한다고 쿠팡측은 말했다.
쿠팡이 개인정보 보호 관련 안전 조치 의무를 위반했는지 여부가 핵심 쟁점으로 떠오르는 가운데 경찰도 수사의 속도를 내고 있다.
지난 25일 성명불상자를 수사해 달라는 쿠팡측 고소장을 접수한 경찰은 쿠팡 서버 기록 등 관련 자료를 임의 제출받아 분석에 착수했다. 경찰은 정보 유출 피의자를 신속히 검거해 피해를 최소화하도록 노력하겠다고 밝혔다.
새벽 배송과 당일 배송을 앞세운 쿠팡에 소비자들은 불안감을 넘어 배신감까지 드러내고 있다. 유출된 정보를 이용한 2차 피해 우려도 커지고 있다. 피해자들을 중심으로 집단 소송 움직임도 일고 있다.
쿠팡이 공지한 유출 정보는 고객 이름과 전화번호, 이메일, 주소와 주문 내역 등이라 소비자들은 불안할 수밖에 없습니다. 집주소가 털린게 제일 두렵고 심지어 공동주택 거주 고객들은 공동현관 출입문 비밀번호 다 등록되어 있다.
특히 이미 오래전 탈퇴한 이용자들까지 유출 문자를 받으면서 인터넷 댓글에는 정보를 계속 갖고 있었다는 거냐는 비판과 함께 이윤만 남기지 말고 보안에 투자해라. 불매 운동해야 한다는 분노 섞인 반응이 이어지고 있다.
그런데도 쿠팡은 카드 정보와 비밀번호는 유출되지 않았다며 이번 유출사태를 축소하는듯한 설명을 하고있다. 심지어 고객들에게 뒤늦게 발송한 문자메세지에도 ‘유출’이 아닌 ‘노출’이라는 단어 사용했다.
29일 쿠팡이 고객들에게 발송한 문자메세지 내용. 문자 메시지 제목이 ‘유출’이 아니 ‘노출’로 되어있다. (사진=뉴스9)
이번 쿠팡 사태의 더 큰 문제는 2차 3차 피해로 이어질 수 있다. 메일을 보내서 해당 PC에 이 악성 코드를 감염시키는 전화번호하고 주소를 결합하면 찾아가서 물리적인 해꼬지를 할 수 있는 가능성까지 제기되고 있다.
현재 인터넷에는 쿠팡 개인 정보 유출 피해자들이 하나 둘 모인 카페가 개설돼 집단 소송을 준비하고 있다.
쿠팡은 오늘 늦은 오후가 돼서야 사과문을 올렸다. 피해 고객에게 어떤 대책을 내놓을지에 대해선 전혀 언급되지 않았다.
쿠팡은 30일 오후 4시 정부 긴급 대책 회의가 소집된 뒤에야 사과문을 개시했다. 그마저도 바로 보이는 팝업창 메시지가 아닌 광고 배너 옆을 클릭해야 볼 수 있다.
쿠팡 활성 고객수는 2,470만 명인데 유출된 정보는 3,370만에 달한다. 탈퇴한 회원을 포함해 쿠팡을 한 번이라도 썼던 국민이라면 사실상 정보가 털렸다는 말이다.
특히 쿠팡은 개인 정부 유출이 올해 6월 24일부터 시작됐다고 밝혔다. 고객정보 탈취 시도가 5개월 전에 시작됐는데 전혀 인지하지 못했다.
일각에서는 쿠팡이 미국에서 사업을 했어도 개인 정보를 이렇게 관리했겠냐는 비판도 나왔다.
또 실제 손해보다 더 무거운 배상액을 해야하는 징벌적 손해 배상 제도를 도입해야 한다는 지적도 힘을 얻고 있다.
한편 미국에서는 지난 2019년 정보를 여론 조사 기관과 공유한 페이스북의 50억 달러 당시 환율로 5조 9천억원의 과진금이 부과됐었다.
또 2013년 1억 여명의 개인 정보가 유출됐던 대형 유통업체 타겟은 이후 집단 소송에 나선 피해자들에게 1인당 수십에서 최대 만 달러까지 총 천만 달러 약 110억 원을 배상했다.
최근 고객정보유출 사태가 반복되면서 지난 9월 롯태 카드에서는 297만 명의 고객 정보가 유출됐고 같은 시기 KT는 가짜기지국의 통신망이 뚫리며 360여명의 고객들이 소액 결제 피해를 입었다.
이호철 기자 josepharies7625@gmail.com jebo@news9.co.kr
Copyright © 뉴스9. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.
쿠팡, 3, 370만명개인정보유출, 뒤늦은사과문, 징벌적손해배상
