쿠팡, 전직 직원에 의한 대규모 정보 유출…3천370만명 개인정보 털렸다

국내 최대 전자상거래 기업인 쿠팡에서 고객 약 3천370만명의 개인정보가 유출되는 사고가 발생했으며, 이번 유출은 외부 해킹이 아닌 내부 직원에 의한 것으로 추정되고 있다.

이번 사고는 쿠팡이 지난 11월 20일 자사 고객의 개인정보가 비인가 상태에서 열람된 정황을 확인하면서 처음 알려졌다. 유출된 내용은 이름, 전화번호, 주소, 이메일 등 기본 신상 정보와 일부 주문 내역이다. 이는 우리나라 전체 성인 인구의 약 75%에 해당하는 수치로, 쿠팡 전체 가입자 규모와 대등한 수준이다. 특히 유출 규모만 놓고 보면 2011년 싸이월드와 네이트에서 발생한 대규모 해킹 사건 당시의 피해 규모(약 3천500만명)와 유사하다.

쿠팡 측은 사고 직후 조사 결과, 시스템 외부에서 이뤄진 해킹 흔적은 발견되지 않았다고 밝혔다. 이에 따라 사고 원인은 내부 인사의 비인가 접근일 가능성에 무게가 실리고 있다. 실제로 이번 유출을 일으킨 것으로 지목된 인물은 쿠팡에서 근무한 적 있는 중국 국적의 퇴직 직원으로 알려졌다. 문제는 해당 인물이 이미 한국을 떠난 정황이 포착돼 경찰 수사에 어려움이 생길 수 있다는 점이다. 현재 서울경찰청 사이버수사대는 쿠팡으로부터 고소장을 접수하고 수사에 돌입한 상태다.

정부도 이번 사건을 심각한 개인정보보호 위반 사례로 인식하고 민관합동조사단 구성을 통해 사고 원인 조사에 착수했다. 관계 부처인 과학기술정보통신부와 개인정보보호위원회는 각각 기술적 사고 분석과 법적 책임 여부에 대한 조사를 진행 중이다. 특히 개인정보보호법상 보안조치 의무 위반이 확인되면 최고 수준의 제재가 이뤄질 수 있다고 예고했다.

과거 기술적 해킹에 의한 대규모 정보 유출 사례와 달리, 이번처럼 내부 직원에 의한 사고는 기업의 내부 보안 체계 전반을 다시 점검해야 할 필요성을 강하게 제기하고 있다. 특히 대폭 늘어난 고객 데이터를 다루는 플랫폼 기업의 경우, 일반 보안 시스템 외에도 직원 접근권한 통제와 상시 모니터링 체계 등 ‘정보 최소 접근’ 원칙을 실질적으로 적용해야 한다는 지적이 나온다.

이 같은 흐름은 향후 정보보호 정책의 방향성을 바꿔놓을 가능성도 있다. 단순히 외부 침입을 막는 데 집중했던 기존 정책에서 한발 더 나아가, 내부 통제와 윤리적 기업 운영 강화를 중심으로 한 종합적 데이터 보호 체계 정비가 요구될 전망이다.