정부가 쿠팡 해킹 사고 직후 발생할 수 있는 스미싱·보이스피싱 등 2차 피해를 경고하며 민관합동조사단을 꾸려 본격 대응에 나섰다.
배경훈 과학기술부총리 겸 과학기술정보통신부 장관은 30일 서울 종로구 정부서울청사에서 긴급 관계부처 장관회의를 주재하고 “이번 사고를 악용한 사칭 전화나 문자에 각별히 주의해달라”며 “쿠팡이 정보보호와 안전 조치 의무를 위반했는지 여부를 포함해 민관합동조사단을 즉각 가동하겠다”고 밝혔다.
이날 회의에는 박대준 쿠팡 대표가 참석해 사고 현황을 보고했다. 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무대행, 김창섭 국가정보원 3차장, 최우혁 과기정통부 네트워크정책실장 등이 함께 대응책을 논의했다.
회의장에 들어서던 박대준 대표는 취재진 앞에서 고개 숙여 사과했다. 그는 “쿠팡 고객과 국민께 심려를 끼쳐 죄송하다”며 “정부의 민관합동조사단 조사에 성실히 협조해 사태가 조속히 진정되도록 최선을 다하겠다”고 말했다.
정부는 조사와 병행해 이날부터 3개월간 ‘인터넷상 개인정보 유·노출 및 불법유통 모니터링 강화 기간’을 운영해 2차 피해를 최소화한다는 방침이다.
온라인 유통업체들의 개인정보 유출 사고는 비단 어제오늘 일이 아니다. 최근 1년 사이 GS리테일 홈페이지 해킹으로 편의점과 홈쇼핑 고객의 개인정보 160만여 건이 유출됐고, 국내 쇼핑 플랫폼 머스트잇도 수차례 해킹 시도를 겪었다. 디올과 루이비통, 까르띠에 등 명품 브랜드 고객들도 연락처와 구매정보 등 민감한 개인정보 유출 피해를 입었다.
공격자는 타 사이트에서 미리 확보한 아이디·비밀번호 조합을 GS리테일 웹사이트 로그인에 무작위로 대입하는 ‘크리덴셜 스터핑’ 방식을 사용한 것으로 파악됐다.
LVMH·케링 그룹 산하 브랜드인 디올·루이비통·까르띠에·티파니·구찌·발렌시아가 등 글로벌 명품 브랜드에서도 고객 개인정보 유출 사고가 연이어 발생했다. 세부적인 피해 규모는 공개되지 않았으나 구매내역 등이 함께 유출된 브랜드도 적지 않은 것으로 알려졌다.
국내 유통사들의 개인정보 유출 사고는 대부분 비밀번호 취약점이나 내부 관리 미흡에서 비롯됐다. 그러나 이번 쿠팡 사건은 내부 직원 소행 가능성이 제기되면서 임직원의 도덕적 해이와 내부 시스템 강화 필요성이 대두되고 있다.
쿠팡 정보유출 피해자들의 움직임도 본격화하고 있다. 30일 SNS에 개설된 ‘쿠팡 개인정보 유출 단체 소송 준비’ 오픈채팅방에는 오후 4시 22분 기준 1400명 이상이 입장해 집단소송에 대한 관심을 나타냈다.
쿠팡에서 발생한 대규모 개인정보 유출 사고가 직구 이용자들 사이에서 또 다른 불안을 불러일으키고 있다. 배송지 정보와 함께 수령인의 실명, 전화번호, 주소 등 민감한 정보가 외부에 노출된 가운데, 개인통관고유부호 역시 함께 사용됐을 가능성이 제기되면서 ‘번호를 바꿔야 안전한 것 아니냐’는 우려가 커지고 있다.
개인통관고유부호는 해외직구 시 세관 통관 절차를 위해 사용되는 개인 식별번호로, 주민등록번호를 대체하기 위해 도입됐다. 한 사람당 하나의 번호만 부여되며, 수입신고 시 해당 부호가 기재되지 않으면 통관 자체가 제한된다.
쿠팡 측은 유출된 정보 항목에 ‘일부 주문 정보’가 포함돼 있다고 밝혔지만, 구체적으로 어떤 주문 정보가 어떤 수준으로 노출됐는지는 밝히지 않고 있다. 이 때문에 직구와 병행수입 제품을 자주 구매해온 고객들 사이에서는 개인통관고유부호가 제3자에게 노출됐을 가능성을 염두에 두고 대응책을 검토하는 움직임이 나타나고 있다.
국내 최대 이커머스 기업 쿠팡에서 발생한 개인정보 유출 사고 여파가 예상보다 훨씬 심각한 국면으로 번지고 있다. 단순한 해킹 또는 보안 실패를 넘어, 노동·보상 문제에 이르기까지 쿠팡의 운영 전반이 사법적·정책적 심판대 위에 올라서는 모양새다.
쿠팡은 29일 고객 계정 약 3370만 건이 무단으로 노출된 사실을 확인했다고 밝혔다. 이름·이메일·배송지 주소록·전화번호 등이 포함된 이 유출 범위는 올해 3분기 기준 쿠팡의 활성고객수 2470만 명은 물론, 우리나라 총 경제활동 인구 2970만 명을 훌쩍 넘어선다.
문제는 사생활 정보 유출에만 국한되지 않는다. 쿠팡은 이달 들어 직원 및 배송 인력의 퇴직금 미지급 문제와 관련해 검찰 수사가 진행된 뒤, 당국의 수사 외압 의혹까지 불거졌다. 전직 부장검사가 핵심 증거를 누락한 채 무혐의 처분했다고 증언하면서, 쿠팡의 내부 인사 및 보상 체계 전반이 도마 위에 올랐다.
여기에 최근 이재명 정부와 여당 주도로 출범한 상설특검이 이 사건을 맡게 됐다. 수사 책임자는 안권섭 변호사로, 특검팀은 조만간 본격적인 조사에 돌입할 예정이다.
이번 특검은 단지 ‘퇴직금 미지급’에 국한된 것이 아니다. 특검의 대상은 개인정보 대량 유출 사태의 원인과 관리체계 부실, 내부 직원의 권한 통제 및 접근 관리, 보안 및 감시 체계의 허점, 고객 정보 보호 책임의 이행 여부, 노동·보상·복리후생 체계 전반에 이르기까지 매우 광범위하다.
특검 수사는 단기간에 끝날 가능성은 낮다. 개인정보 유출 경위, 내부자 관여 여부, 보안 시스템 설계와 운영 책임, 노동·퇴직금 체계 등 다층적 사안이 얽혀 있어서다.
쿠팡은 한국에서 영업하지만, 지배회사는 미국 델라웨어에 본사를 둔 쿠팡 Inc.이며 뉴욕증권거래소에 상장된 미국 기업이다. 국내에서 벌어들인 수익 대부분을 미국 본사로 귀속시키는 구조여서, 경영·감사·내부통제 체계 역시 한국 기업과 동일한 기준으로 규율하기 어렵다는 지적이 꾸준히 제기됐다.
결국 이번 사고는 단순한 보안 실패를 넘어, 한국에서 막대한 시장 지배력을 가진 플랫폼이 국내 감독 체계의 사각지대에 놓여 있는 구조적 문제를 드러낸 셈이다. 쿠팡이 한국 시장에서 누리는 압도적 영향력과 이용자 규모를 고려하면, 미국 상장사라는 지위를 앞세운 회피적 대응은 더 이상 통하기 어렵다. 국내 소비자와 사회 전체가 입은 피해에 상응하는 책임을 어떻게 이행할 것인지에 대한 명확한 답변이 필요하다.
박지혜 기자 bjh@bntnews.co.kr
