3370만 고객 정보 유출
중국 국적 전 직원 소행
5개월 만에 뒤늦게 발견
국내 최대 이커머스 기업 중 하나인 쿠팡에서 3천만 명이 넘는 고객 정보가 유출된 사건이 내부자의 소행으로 드러났다. 그런데 이 정보 유출 시점이 무려 5개월 전으로 문제는 이 사실을 그 누구도 눈치채지 못했다는 점이다.
3,370만 명 정보 유출…해킹 흔적은 없어
서울경찰청 사이버수사대는 지난 25일 쿠팡으로부터 고소장을 접수하고, 본격적인 수사에 들어갔다.
하지만 피의자로 지목된 인물은 이미 퇴사 후 한국을 떠난 중국 국적의 전직 쿠팡 직원으로 알려졌다. 경찰은 그의 신원을 특정하지 못한 상태다. 쿠팡이 고소장에서 ‘성명불상자’로만 기재했기 때문이다.
쿠팡은 지난 20일 입장문을 통해 “고객 정보가 비인가된 접근을 통해 조회된 정황이 포착됐다”고 밝혔다. 쿠팡 내부 네트워크에 대한 외부 침입은 없었고, 시스템도 해킹당한 흔적은 보이지 않았다고 설명했다.
결국 쿠팡 내부에 접근 권한이 있었던 누군가가 데이터를 빼낸 것이다. 그리고 이 ‘누군가’는 쿠팡을 이미 떠난 외국인 전 직원으로 좁혀지고 있다.
쿠팡 측은 현재까지 약 3,370만 개 고객 계정이 유출된 것으로 파악하고 있다. 이름과 이메일, 전화번호, 주소, 일부 주문 내역까지 빠져나갔다.
국내 성인 인구 3명 중 2명꼴로 정보가 털린 셈이다. 쿠팡 이용자의 거의 전부가 피해 대상에 해당할 수 있다는 의미다.
5개월 전 시작된 침탈
쿠팡은 이번 정보 침해가 지난 6월 24일부터 시작된 것으로 보고 있다. 즉, 이미 5개월 전부터 정보 유출이 진행되고 있었지만, 회사 내부에서는 그동안 아무런 징후를 감지하지 못한 셈이다.
이런 상황은 “보안 시스템이 실제 위협에 얼마나 둔감했는지를 보여준다”는 비판으로 이어지고 있다. 한 IT 보안 전문가는 “외부 침입만을 경계하는 기존의 보안 체계가 내부자 위협에는 무방비로 노출된 사례”라고 지적했다.
게다가 피의자로 지목된 전 직원은 이미 한국을 떠난 상태다. 수사 당국은 이 인물의 정확한 신원을 확인하는 데 어려움을 겪고 있으며, 국내 송환 여부도 불투명한 상황이다.
싸이월드 해킹 사태와 맞먹는 수준
쿠팡의 이번 고객 정보 유출 규모는 지난 2011년 약 3500만 명이 정보 유출 사태를 겪은 싸이월드·네이트 사례와 맞먹는다. 당시 이 사고는 해킹으로 인한 것이었다.
또한 개인정보 보호 위반으로 개인정보보호위원회로부터 역대 최대 과징금 1348억 원 처분을 받은 SK텔레콤의 개인정보 유출 역시 해킹 사고였다.
그러나 이번 쿠팡 사태는 내부인이 자행한 것으로 추정되고 있어 기업의 내부 보안 관리 실태에 대한 의문이 제기된다.
정부 조사 착수…과징금 가능성도
사건이 불거지자 정부도 곧바로 움직였다. 과학기술정보통신부는 민간 전문가들과 함께 ‘민관합동조사단’을 꾸려 사고의 원인을 분석하고 재발 방지 대책을 마련하겠다고 밝혔다.
개인정보보호위원회 역시 쿠팡으로부터 유출 신고를 받고 조사에 착수한 상태다. 쿠팡은 지난 20일과 29일 두 차례에 걸쳐 신고서를 제출한 것으로 확인됐다.
개인정보위 관계자는 “법령상 안전조치 의무 위반이 확인될 경우, 과징금 등 강력한 제재가 따를 수 있다”고 경고했다.
한편 쿠팡은 이번 사건으로 막대한 과징금을 물게 될 가능성이 크다. 개인정보보호위가 안전조치 의무 위반을 확인하면 엄정 제재하겠다고 밝힌 만큼, SK텔레콤 사례처럼 천억 원대 과징금이 나올 수도 있다.
조사철저사게해주세요
중국인을 믿으면 안되는 이유