국내 최대 전자상거래 업체 쿠팡은 개인정보가 무단으로 노출된 고객 계정이 3370만개로 확인됐다고 29일 밝혔다. 이는 지난 18일 밝힌 4500개 대비 7500배로 늘어난 수치다. 

노출된 정보는 이름과 이메일 주소, 배송지 주소록에 저장된 이름·전화번호·주소, 일부 주문 정보 등이며 결제 정보나 신용카드 번호, 로그인 정보는 포함되지 않았다고 밝혔다. 

쿠팡은 경찰청과 한국인터넷진흥원, 개인정보보호위원회와 공조해 조사에 착수했으며 해외 서버를 통한 무단 접근 경로는 차단했다고 설명했다.

[미니해설] 3370만 계정 유출…쿠팡, 초유의 개인정보 관리 위기

국내 최대 전자상거래 업체인 쿠팡에서 3370만개에 달하는 고객 계정의 개인정보가 무단으로 노출된 사실이 확인되며 파장이 커지고 있다. 

쿠팡은 29일 보도자료를 통해 "현재까지 조사 결과 해외 서버를 통해 지난 6월 24일부터 개인정보에 대한 무단 접근이 있었던 것으로 추정된다"며 "현재는 해당 접근 경로를 차단하고 내부 모니터링을 강화한 상태"라고 밝혔다.

이번에 확인된 피해 규모는 쿠팡이 지난 18일 처음 밝힌 4500개 계정 대비 7500배 수준으로 급증했다. 쿠팡은 당시 무단 접근 사실을 인지하고 추가 피해 여부를 조사 중이라고 밝혔지만, 후속 조사 결과 실제 노출 범위가 대폭 확대된 것이다.

노출된 개인정보 항목은 이름과 이메일 주소, 배송지 주소록에 저장된 수령인 이름·전화번호·주소, 일부 주문 정보 등이다. 쿠팡은 별도로 관리되는 결제 정보, 신용카드 번호, 계정 비밀번호 등은 포함되지 않았다고 설명했다. 이에 따라 계정 비밀번호 변경이나 결제 정보 관리와 관련해 고객이 별도로 취할 조치는 없다고 덧붙였다.

그러나 유출된 계정 수가 사실상 쿠팡 전체 고객 수에 맞먹는 규모라는 점에서 소비자 불안은 쉽게 가라앉지 않을 전망이다. 

쿠팡은 정확한 전체 회원 수를 공식적으로 공개한 적이 없다. 다만 지난 3분기 실적 발표 당시 구매 이력이 있는 프로덕트 커머스 부문 활성 고객 수는 2470만명으로 집계됐고, 유료 멤버십인 '쿠팡 와우' 회원 수는 2023년 말 기준 약 1400만명으로 알려져 있다. 이를 단순 합산해도 3870만명 수준으로, 이번에 확인된 노출 계정 수가 기존에 알려진 고객 수에 근접하거나 일부 상회하는 셈이다.

인지 12일 지연·고객 수 추월한 노출 규모…플랫폼 신뢰 흔들

더 큰 논란은 사고 인지 과정에서도 불거지고 있다. 쿠팡이 한국인터넷진흥원(KISA)에 제출한 침해사고 신고서에 따르면, 무단 접근은 지난 6일 오후 6시 38분 발생했으나 쿠팡이 이를 인지한 시점은 12일이 지난 18일 오후 10시 52분이었다. 침해 발생 이후 상당한 시간이 흐른 뒤에야 내부 인지가 이뤄졌다는 점에서 보안 체계 전반에 대한 의문도 제기된다.

쿠팡은 사고 인지 직후 외부 독립 보안업체 전문가를 영입해 자체 조사를 진행하는 한편, 경찰청과 KISA, 개인정보보호위원회와 공조 체계를 구축해 원인 규명과 후속 대응에 나섰다고 설명했다. 회사 측은 "현재까지 확인된 범위에서는 결제 정보 유출 정황은 없다"면서도 "수사 결과에 따라 추가 피해 여부가 확인될 가능성은 배제할 수 없다"고 밝혔다.

쿠팡은 고객 공지를 통해 "이번 일로 인해 발생한 모든 불편과 우려에 대해 진심으로 사과드린다"며 "쿠팡을 사칭한 전화나 문자 메시지, 악성 링크 등에 각별히 주의해달라"고 당부했다. 

대규모 개인정보 유출 사고가 반복되는 상황에서 플랫폼 기업의 정보 보호 책임과 보안 투자 수준을 둘러싼 사회적 논의도 다시 본격화될 전망이다.