쿠팡 개인정보 유출 3천370만건… 전체 고객 규모 넘는 충격

쿠팡에서 발생한 개인정보 유출 사고의 규모가 3천370만개 계정에 이르는 것으로 드러나면서, 국내 최대 전자상거래 플랫폼의 보안 관리 실태에 대한 우려가 커지고 있다.

쿠팡은 11월 29일 해당 사실을 공식 발표하며, 현재까지 파악된 유출 정보에는 고객 이름, 이메일 주소, 배송지 주소록의 연락처 및 주소, 일부 주문 정보가 포함됐다고 설명했다. 다만, 별도로 분리 관리되는 결제 정보나 로그인 비밀번호 등은 유출되지 않았다고 밝혔다. 이에 따라 쿠팡 측은 고객이 계정을 변경하거나 추가 조치를 취할 필요는 없다고 안내하고 있다.

문제는 유출된 계정 수가 쿠팡 고객 전체 수에 육박하는 수준이라는 점이다. 쿠팡은 회원 수를 공식적으로 밝히지 않았지만, 지난 기업 실적 발표에서 ‘활성 고객’ 수치를 기준으로 약 2천470만 명, 유료 멤버십 ‘쿠팡 와우’ 회원이 1천400만 명이라는 점을 감안하면, 유출 규모가 이보다 크다는 점은 충격적이다. 초기에는 약 4천500개 계정 정보만 노출된 것으로 파악됐지만, 추가 조사를 통해 피해 범위가 7천500배 이상 확대됐다는 결과가 나온 것이다.

이번 사고는 쿠팡 서버에 대한 무단 접근이 지난 6월 24일부터 시작된 것으로 추정되며, 침해 사실이 실제로 인지된 시점은 12일이 지난 7월 18일이었다. 즉, 약 3주간 어떠한 감지나 대응 없이 개인정보가 외부에 노출됐을 가능성이 존재한다. 이같은 대응 지연은 심각한 보안 실무상의 허점을 드러낸 것으로 풀이된다.

쿠팡은 현재 무단 접근 경로를 차단하고 외부 보안 전문가를 영입해 조사에 착수한 상태다. 아울러 경찰청, 한국인터넷진흥원, 개인정보보호위원회 등 관계 기관들과 협력하고 있으며, 추가 피해 방지를 위해 내부 모니터링도 강화 중이다. 고객들에게는 스미싱이나 피싱 시도를 경계해달라는 당부도 잊지 않았다.

이번 유출 사건은 기업의 디지털 보안 리스크가 단순 기술 문제가 아니라 고객 신뢰와 직결되는 핵심 경영 이슈임을 다시금 상기시킨다. 특히 국내 유통 시장에서 쿠팡의 영향력이 절대적인 만큼, 보안 체계 강화와 투명한 정보 공개가 병행되지 않는다면 후속 소비자 반발은 더 거세질 수 있다. 향후 조사 결과와 쿠팡의 대응 수준에 따라 전자상거래업계 전반의 개인정보 보호 규범이나 관련 제도 정비에 추가 파장이 미칠 가능성도 있다.