쿠팡 개인정보 대규모 유출, 거의 반년 전부터?

쿠팡 고객 3370만 개 계정의 개인정보가 무단으로 노출된 사실이 뒤늦게 확인됐어요. 이름, 이메일, 전화번호, 주소, 일부 주문정보 등이 포함됐고, 결제·로그인 정보는 제외된 것으로 알려졌는데요. 쿠팡은 6월 24일부터 해외 서버를 통해 개인정보에 접근한 것으로 보고 있고, 11월 18일에야 이를 인지했다고. 

쿠팡 개인정보 유출 사태 분석: 해킹 아닌 내부자 소행? 

쿠팡은 처음엔 개인정보 유출 계정이 4500여 개라고 발표했지만, 조사를 거치면서 피해 규모가 사실상 전체 고객 계정 수준인 3370만 개로 확인됐어요 🔐👀. 구매 이력이 있는 ‘활성 고객 수’는 2470만 명, 유료 멤버십 가입자 수는 1400만 명 수준이라 노출된 계정 수가 이를 훌쩍 넘는 셈이에요. 지난 2011년 해킹으로 약 3500만 명이 정보 유출 사태를 겪은 싸이월드·네이트 사례와 맞먹고요. 또 개인정보 보호 위반으로 역대 최대 과징금 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘어요.

특히 이번 사고는 외부 해킹이 아닌 중국 국적의 내부 직원이었던 퇴사자가 정보에 무단 접근한 것으로 파악됐는데요 🧑‍💻. 쿠팡은 경찰에 고소장을 접수했고, 정부는 민관합동조사단을 구성해 사고 원인을 분석하고 있어요 🔎. 다만 해당 직원이 외국 국적자인 데다 이미 한국을 떠난 것으로 알려지면서 수사에 어려움을 겪는 게 아니냐는 우려도 나와요.

쿠팡 개인정보 유출 비판과 반응: 유명무실한 국가 인증?

쿠팡은 개인정보보호와 관련된 국가 인증 제도(ISMS-P)를 2021년, 2024년에 두 차례 받았어요. 하지만 이번 사고를 포함해 인증 이후에도 4건의 정보 유출 사고가 발생했는데요. 따라서 국가 인증이 사후 대응이나 실질적 예방 효과로 이어지지 못하고 있다는 지적이 나와요. 국회에서도 “개인정보보호 제도를 손봐야 한다”는 주장이 나왔고, 개인정보보호위원회는 이번 사건에 대해 법 위반 여부를 조사 중이에요.

한편 이번 사고 이후 쿠팡 고객들 사이에선 불안과 분노가 커지고 있어요 😠. 쿠팡은 문자 공지와 사과문을 발표했지만, 웹사이트엔 아직 안내 배너조차 없다는 지적도 나왔고요. 시민단체는 이번 사건을 계기로 징벌적 손해배상* 제도 도입이 필요하다고 강조하고 있어요.